Informatiebeveiligingbinnen Eleven
ISO 27001
Security en privacy zijn geen nieuwe onderwerpen binnen Eleven: we houden interne audits, hanteren beleid omtrent databeveiliging en zorgen ervoor dat we de fysieke toegang tot het pand scherp organiseren.
De introductie van regelgeving rondom de AVG heeft heel werkend Nederland aan het denken gezet, maar ook de constante stroom nieuws over datalekken e.d. draagt bij aan een hoger bewustzijn. Onze relaties willen logischerwijs weten of hun data bij ons goed geborgd is. Uit de praktijk blijkt er een concrete behoefte van een ISO 27001 certificering bij Eleven.
Een traject van certificering zorgt er bij ons niet voor dat alles ineens anders moet, maar heeft wél als effect dat we de huidige maatregelen met een frisse blik hebben kunnen bekijken. We hebben tijd gereserveerd om belangrijke zaken op te pakken of aan te scherpen. Een bijkomstig voordeel van dit traject is dat de organisatie meer bewust wordt van beveiliging van informatie. Het stimuleert iedereen om zaken sneller te melden of te verbeteren, zelfs zonder een formele (interne) audit.
Het traject
Aangezien het traject van een certificering niet tot onze dagelijkse werkzaamheden behoort, hebben wij een externe partij gevraagd om ons hierbij te helpen. Samen met Noordbeek B.V. hebben we een plan van aanpak opgesteld aan de hand van een geadviseerde werkwijze. We hebben een Information Security Management System (ISMS) ingericht en structuur gegeven aan de hand van de onderwerpen in de ISO normering. Hierbij hebben we zoveel mogelijk gebruik gemaakt van bestaande tools om het voor onze organisatie laagdrempelig te houden.
Met een goede uitleg van de normering, waren we in staat om bestaande procedures en afspraken te documenteren en daarnaast een aantal nieuwe maatregelen kunnen ontwerpen en implementeren. Zo hebben we beleid uitgewerkt en hebben we het melden van informatiebeveiligingsincidenten laagdrempelig gemaakt. Het resultaat is een compleet beleidsdocument waarin de genomen maatregelen worden beschreven en toegelicht. Zaken die nu nog missen of die extra maatregelen vergen, worden in het ISMS opgenomen. Indien er nog open eindes blijken te zijn is dat niet direct een probleem, zolang het maar beheerst is. Er zijn altijd ontwikkelingen op het gebied van beveiliging van informatie, zolang er maar voortgang wordt geboekt. De certificering is dan ook vooral bedoeld om aan te tonen dat er een robuust systeem (ISMS) is om risico’s te signaleren en gecontroleerd aan te pakken.
Gecertificeerd!
We hebben veel werk gestoken in het halen van deze certificering:
onze eerste gedachte was dan ook “Yes, die is binnen!”
Voor ons een mooie bevestiging dat we goed bezig zijn met informatiebeveiliging.
Heel snel hierop volgde de gedachte “Oh jee, hij is binnen!”
De certificering krijgen is namelijk één ding, maar om deze te behouden moeten we continu verbeteren.
Elk jaar kijkt men of alle opmerkingen bij de vorige audit zijn aangepakt.
Daarbij komen er elk jaar nieuwe onderwerpen en uitdagingen bij omdat de wereld niet stil staat.
Het is onze ambitie het kwaliteitsniveau dat we nu hebben te blijven verbeteren. Ook in de komende jaren zullen we hier veel energie in steken om bij te kunnen dragen aan het succes van onze relaties.
Wil je meer weten over onze certificering of het traject dat wij hebben doorlopen?
Neem dan contact op met Teeuwis Hillebrand.
