De weg naar ISO 27001 certificering: fase 1 externe audit geslaagd

ISO 27001 is een internationale norm voor het informatiebeveiliging managementsysteem van een organisatie, het ISMS. Dit systeem richt zich op de veiligheid van alle (digitale) gegevens van de organisatie door het continu terugbrengen van risico’s op het gebied van informatiebeveiliging. De norm wordt zowel intern als extern gebruikt om te beoordelen of de organisatie voldoet aan de wet- en regelgeving en de bedrijfseigen criteria voor veiligheid van informatie.

Waarom certificeren?

Wij zijn een ICT-dienstverlener. Dit betekent dat wij allerlei informatie van onze partners en klanten te verwerken krijgen. Daarom is de beveiliging van deze informatie voor ons topprioriteit. Door ons te laten certificeren, zijn we verplicht onze bedrijfsprocessen en dienstverlening continu te verbeteren en daarbij informatiebeveiligingsrisico’s zo veel mogelijk te beperken.

ISO 27001 in de praktijk

Nu kan het concept van een ISMS vrij ongrijpbaar zijn voor personen die niets met ISO-normen te maken hebben. De belangrijkste “middelen” van een bedrijf zijn de personen die er werken. Daarom bevat het ISMS zaken als de personeelsgids, de ethische code, de gedragscode, een ICT-regeling, een exit-procedure, rollen en verantwoordelijkheden en een overzicht voor vakbekwaamheid van de medewerkers. Daarnaast zijn er een aantal procedures voor bedrijfsvoering van belang. Denk hierbij aan hoe er om wordt gegaan met het beheer van informatie, met communicatie, met incidenten, investeringen en wijzigingen en toegangsbeveiliging en autorisaties. Ook van belang zijn de doelstellingen van het bedrijf, risicobeoordeling, continuïteit, toegang en middelen, procedures rondom de GDPR/AVG en natuurlijk beleidsuitgangspunten voor de informatiebeveiliging.

Met alleen alles documenteren ben je er natuurlijk niet. Er moeten ook processen bestaan die dit alles tegen de praktijk aanhouden. Dit betekent dat er van alle gedocumenteerde zaken bewijs aanwezig moet zijn dat het gedaan wordt en ook dat het geëvalueerd is. Hiervoor moet het meetbaar zijn. Denk hierbij aan een tijds- en kosteninschatting vooraf en de werkelijk besteedde middelen achteraf.

Bureaucratie?

Dit lijkt allemaal erg omslachtig en tijdrovend en dat kan het in het begin zeker zijn. Het is ontzettend belangrijk om het ISMS zo op te stellen dat het aansluit bij de praktijk en dat het niet allerlei bureaucratische muren opricht die voor de medewerkers onoverkomelijk zijn. Als alles eenmaal op orde is, kun je een dergelijke norm echt voor je laten werken. De bedrijfsprocessen zijn voor iedereen van begin tot eind kraakhelder en alles is meetbaar en naspeurbaar. Dit komt de kwaliteit van de dienstverlening zeer ten goede en daarmee uiteindelijk ook de klanttevredenheid. En niets is fijner voor een bedrijf dan tevreden klanten, want daar doen we het uiteindelijk allemaal voor.

Hoe krijg je dit allemaal voor elkaar?

Beginnen aan een dergelijke norm is een enorme kluif, zeker voor een klein bedrijf. Gelukkig zijn we in contact gekomen met KMC Solutions. Zij hebben ons in het voortraject uitstekend bijgestaan met hun uitgebreide kennis en kunde, waardoor we een ISMS hebben kunnen opstellen dat perfect bij ons bedrijf past en voor ons gaat werken.

Initiële audit: fase 1 en fase 2

De eerste audit gebeurt in 2 fases. Bij fase 1 wordt bepaald of de organisatie daadwerkelijk klaar is voor de certificering. De auditor controleert dan of de vereisten in de norm volledig worden gedekt in het ISMS. Bij fase 2 bekijkt deze de afzonderlijke onderdelen met meer diepgang en brengt afwijkingen daarbij in kaart. Wanneer deze binnen de perken blijven, ontvangt het bedrijf het certificaat. Tussen fase 1 en 2 wordt een periode van een aantal maanden ingelast, omdat het ISMS bij fase 1 klaar moet zijn en bij fase 2 al een tijdje in gebruik moet zijn.

Fase 1 in de pocket!

Donderdag 6 december kwam de externe auditor van Quality Masters langs voor de fase 1 audit. Hij heeft ons uitgebreid aan de tand gevoeld over de opgestelde documenten en procedures. Gelukkig waren we goed in staat de vragen te beantwoorden en zijn we geslaagd voor fase 1.

De fase 2 audit vindt plaats op 1 maart 2019. Dan worden we echt door de mangel gehaald en krijgen we te horen of we ons ISO 27001 gecertificeerd mogen noemen.

Auteur

Richard de Vroede

Een perfectionistische alleskunner die al zijn passie in zijn werk gooit.

Facebooktwittergoogle_pluslinkedin

Facebooklinkedinrssyoutube