Begin van dit jaar kondigden we in onze socials al aan dat we ISO 27001 willen behalen. Dit certificaat laat zien dat je allerlei maatregelen en procedures hebt opgesteld en geïmplementeerd op het gebied van informatieveiligheid. Veel mensen kennen vaak ISO 9001, dat gaat over kwaliteitssystemen en hoe je kunt borgen dat de producten en diensten die je levert van een bepaalde kwaliteitsstandaard zijn. Het broertje daarvan is 27001, waarbij er veel  overeenkomsten zijn met 9001, maar ook enkele verschillen. Voor ons betekent 27001 een volgende stap in de professionalisering van onze organisatie, waarbij we aan onze opdrachtgevers laten zien dat we informatieveiligheid serieus nemen. 

In samenwerking met Kader, die ons begeleidt in het ISO traject, hebben we afgelopen maanden gewerkt aan het opstellen en vastleggen van onze procedures. Alleen al de gesprekken die we in ons team hierdoor hebben gehad over informatieveiligheid laat de meerwaarde van het ISO traject zien. Veel dingen die we dagelijks doen zijn zo vanzelfsprekend, dat we onszelf te weinig realiseerden dat het ook belangrijk is om kritisch te blijven op de wijze waarop we werken. Zo werken wij bijvoorbeeld al jaren met LastPass voor het beheren van onze wachtwoorden, maar zijn we dankzij het ISO traject opnieuw gaan kijken naar de toegang die collega’s hebben tot deze wachtwoorden. Moet iedereen wel bij iedere website kunnen of kun je hier toch nog een beter onderscheid in maken? Dat laatste bleek het geval en dankzij ISO is het niet alleen een eenmalige actie, maar staat het nu jaarlijks op de agenda voor een revisie.

Een ISO traject is dus ook duidelijk meer dan alleen het behalen van een papiertje. Je hoort nog wel eens dat bedrijven een ISO traject hadden afgerond en als dan de jaarlijkse audit plaatsvond, ze snel de mappen uit de kast moesten halen om te kijken wat erin stond. Dat is precies wat wij niet voor ogen hadden. Het inrichten en behalen van ISO is geen goedkope aangelegenheid en als team hebben wij dus afgesproken dat we het niet doen voor het ophangen van een bordje aan de muur of een logo op de site. Het moet ons echt helpen om beter te worden in hoe wij werken. En wij durven met trots te zeggen dat we daarin al een heel eind op weg zijn. Komende maanden ronden we de implementatie van de procedures verder af en is het de bedoeling dat we begin volgend jaar de externe audit gaan houden. Toch best nog wel spannend, want het voelt dan toch als een examen of je het goed hebt gedaan. 

Binnen ISO 27001 leggen wij met name afspraken vast over ons beleid op het gebied van personeelsmanagement, systeembeheer en development van sites en software. Denk bijvoorbeeld aan het werken op afstand. Hoe ga je hiermee om in relatie tot informatieveiligheid? Het lijkt zo logisch dat je voorzichtig moet omgaan met gegevens die je bij je draagt. Sluit jij altijd jouw laptop af als je even een kop koffie pakt? Zet jij altijd een VPN verbinding op als je op een wifi netwerk bij de klant zit? Waar gewerkt wordt, worden fouten gemaakt is het gezegde. En dat is ook zeker zo binnen onze organisatie. Maar dankzij het ISO traject hebben we al goede gesprekken gehad over tal van dit soort onderwerpen en zijn de afspraken vastgelegd. Ieder teamlid heeft hiervoor ook aanvullende overeenkomsten moeten tekenen, zodat zij zich bewust zijn van de gewenste werkwijze. En nog belangrijker is dat we ook een cyclus hebben geïmplementeerd om iedereen op de hoogte te houden van deze werkwijze en de verbeteringen die er jaarlijks zullen zijn.

Naast het vastleggen en implementeren van allerlei procedures, is het inrichten van een periodieke cyclus van verbeteringen ook een voordeel van ISO. Met een aantal collega’s vormen wij het ISO team, waarbij we 4x per jaar bij elkaar komen om op basis van een vaste agenda de stand van zaken van ISO te bespreken. Welke incidenten hebben we gehad en hoe gaan we hiermee om? Welke verbeteringen zijn we aan het doorvoeren en wat is de status? Zijn de ISO documenten nog actueel of moeten we dingen veranderen? In een ochtend spreken we al deze items door en bepalen we samen wat we oppakken voor de volgende ISO meeting. Hierdoor werken we continu aan verbetering van informatieveiligheid in onze organisatie, waardoor onze klanten er vanuit mogen gaan dat hun informatie veilig is bij ons. En dat werkt wel zo prettig samen.

Kortom, ISO helpt ons om nog beter ons werk te kunnen doen en ons bewust te zijn van de kwetsbaarheid van informatie in een organisatie. Natuurlijk zijn we ons al langer heel erg bewust van AVG en het voorkomen van hacks in onze sites en applicaties. Dankzij ISO weten we ook dat er nog zoveel andere momenten zijn in het dagelijks werken, waar informatieveiligheid een item is. Daar sta je niet altijd bij stil, maar sinds we aan de slag zijn met ISO staat het wel op de agenda. En dat geeft een veilig gevoel. 

Meer weten over ISO 27001? TUV legt het helder voor je uit.