Wat is ISO 27001?

De ISO/IEC 27001 norm is de ISO-standaard voor informatiebeveiliging en van toepassing op alle typen organisaties.

In de norm zijn eisen gespecificeerd over het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) met als doel de algemene bedrijf bedrijfsrisico’s voor organisaties te bewaken.

Door als bedrijf aan deze standaard te voldoen kan worden aangetoond dat de processen die organisaties uitbesteden geborgen zijn.

ISO certificering

Synetic is al langere tijd bezig om informatiebeveiliging te verankeren in haar processen.

Om een volgende stap hierin te zetten en de ISO 27001 certificering te realiseren hebben wij consultancybureau Kader, bureau voor kwaliteitszorg bv, ingeschakeld om ons tijdens dit proces naar ISO 27001 informatiebeveiliging te begeleiden, waarna DEKRA verscheidene audits heeft uitgevoerd.

De eerste stap was om via een risicoanalyse in kaart te brengen welke systemen en informatiestromen er binnen Synetic aanwezig zijn. Daarin kwamen de volgende zaken aan bod: beveiliging, integriteit en vertrouwelijkheid

Aan de hand van de uitkomsten uit de risicoanalyse en in aanloop naar de audits hebben wij de benodigde documentatie opgesteld en maatregelen genomen in het ISMS. Bijvoorbeeld dat op onze acceptatie- en testomgeving data wordt geanonimiseerd. Daarnaast zijn er stappen gezet in het onderling uitwisselen van databases en het creëren van een beter overzicht welke personen binnen de organisatie toegang hebben tot bepaalde data.

Audits

Na de risicoanalyse volgde vijf maanden later een eerste audit. Tijdens deze audit is gekeken of we alle vereiste documentatie volgens de norm hebben opgesteld. Deze dag is zeer positief verlopen.

Anderhalve maand later volgde nog een audit, waarin een auditor vier dagen bij ons over de vloer kwam om gesprekken te voeren met diverse medewerkers. Hierdoor werd nog meer inzicht verkregen of wij ook doen wat wij zeggen in ons ISMS en daadwerkelijk hebben nagedacht over de processen rondom informatiebeveiliging.

ISO 27001 gecertificeerd

Sinds oktober 2017 is Synetic officieel ISO 27001 gecertificeerd en hebben Hessel en ik ons certificaat ontvangen. Het certificaat heeft betrekking tot het grafisch en technisch ontwikkelen en beheren van Drupal-gebaseerde websites en webapplicaties.

De certificering levert ons een aantal belangrijke voordelen op met betrekking informatiebeveiliging:

1. Wij zijn beter in staat om processen te identificeren en optimaliseren
2. Er is meer bewustwording binnen de organisatie over communicatie en verantwoordelijkheden omtrent data
3. Er is eerder zicht op incidenten en hoe die kunnen worden voorkomen
4. Gestandaardiseerde processen leiden tot een verhoging van de efficiëntie en mogelijke kostenbesparingen

Om de certificering te waarborgen komt jaarlijks een auditor langs om onze processen onder de loep te nemen en voeren wij zelf interne audits uit, waarin getest wordt of alle processen nog naar behoren functioneren. Daarnaast worden deze zaken maandelijks gemonitord en gerapporteerd.

Het ISO certificaat is natuurlijk geen garantie voor succes, maar zorgt er wel voor dat wij voldoen aan de normeisen die klanten van ons mogen verwachten rondom informatiebeveiliging. En wij doen er natuurlijk alles aan om hieraan te blijven voldoen!