Met trots presenteren wij het behaalde ISO 27001 certificaat! Dit certificaat toont aan dat een organisatie het onderwerp informatiebeveiliging serieus neemt, hier maatregelen voor getroffen heeft en continu werkt aan het verbeteren hiervan.
In 2023 begonnen wij bij Paree aan het ISO 27001-certificeringstraject om onze informatiebeveiliging naar een hoger niveau te brengen. Deze certificering werd steeds meer een vereiste voor zowel interne als externe stakeholders.
Collega’s uit het projectteam Bob Redelijk (manager Telecom-IT) en Joost Zuidijk (hoofd KAM), vertellen meer over het tweejarig certificeringsproces.
Het traject
Onder leiding van projectleider Joost Zuidijk, startte het projectteam in 2023. “Het team bestaat uit vijf vaste medewerkers met kennis van IT, informatiebeveiliging en managementsystemen, aangevuld met specialisten.” Joost vervolgt: “Wekelijks vond er voortgangsoverleg plaats. De perfecte basis voor voldoende draagvlak en discipline bij de deelnemers. Daarbij speelde de betrokkenheid en medewerking van het management een cruciale rol.”
Bob voegt hieraan toe: “Een softwarepakket hielp bij het in kaart brengen en aanpakken van de normkaders.”
Belangrijke maatregelen
Bob somt enkele belangrijke maatregelen op die voortkwamen uit de risico-inventarisatie en evaluatie (RI&E):
- Een Security Awareness campagne om medewerkers bewust van en weerbaar te maken tegen digitale dreigingen;
- Monitoring van de continu veranderende wereld om snel op eventuele bedreigingen in te spelen;
- Een cybersecurity calamiteitenprocedure en business continuïteitsplan voor hacks of andersoortige ‘verstoringen’.
Uitdagingen
Eén van de grootste uitdagingen was het garanderen van de voortgang binnen de beschikbare tijd, mede door de verschillende mogelijkheden van interpretatie en de complexiteit van de normelementen.
De balans tussen veiligheid en werkbaarheid moest bewaakt worden. Bob legt uit: “Het was belangrijk om voldoende informatiebeveiliging te realiseren zonder gebruikers te belemmeren in hun werk. Gevoelsmatig heeft een gebruiker toch snel het idee dat hem rechten of vrijheden worden ontnomen.”
Inmiddels is iedereen binnen Paree volledig vertrouwd met de ISO 27001-standaard.
Joost en Bob vertellen trots: “De bewustwording is serieus toegenomen en de informatiebeveiliging en procedures zijn versneld naar een hoger niveau getild.”
Tips
Gaat uw organisatie ook het certificeringstraject voor ISO 27001 in? Hier volgen enkele tips.
Bepaal de scope
Bepaal eerst wie of wat je wilt certificeren; de scope. Omvat het de gehele organisatie en volledige dienstverlening of alleen een bepaalde afdeling/specifieke diensten?
Normkennis
Bijlage A maakt ISO 27001 wezenlijk anders dan ISO 9001. Aan alle 93 hierin beschreven eisen moet worden voldaan. Zorg voor normkennis over ISO 27001.
Projectleider
Wijs een projectleider aan, zoals een KAM-coördinator, die het proces overziet en de structuur bewaakt. Met kennis van managementsystemen en hoe de norm is opgebouwd.
Projectmanagementtool
Gebruik een tool om het proces te organiseren en monitoren. Overweeg integratie ISO 9001 en 27001 in één managementsysteem. De normen kennen veel overeenkomsten. Het grote verschil is de bijlage A van de ISO 27001.
Betrokkenheid team
Betrek het hele team om draagvlak te creëren en zorg dat iedereen zijn rol begrijpt.
Interne audit
Voer een interne audit (is vereiste volgens de norm) uit door een extern (niet bij het proces betrokken) persoon om de gereedheid voor de externe audit te beoordelen.
Certificatie-audit
Is de organisatie zover? Vraag dan de certificatie-audit tijdig aan; dit proces duurt ongeveer een half jaar.