Over ons

ISO 27001: veilig werken aan digitale oplossingen

Als je door ons een krachtige webshop, een slimme applicatie of een op maat gemaakte website laat maken, dan vertrouw je ons veel toe. Je kunt dan denken aan klantgegevens, betaalinformatie, bedrijfsstrategieën en technische documentatie. Logisch dat je zeker wilt weten dat die informatie bij ons in goede handen is. Wij weten dat we er alles aan doen om een betrouwbare partij te zijn en we willen dat jij dat ook weet. Daarom zijn wij aan de slag gegaan om een ISO 27001-certificaat te krijgen en we nemen je graag mee in dat proces.

Wat is ISO 27001?

ISO 27001 is een internationale norm die organisaties helpt om risico’s rondom informatiebeveiliging te beheersen. Dit gaat verder dan technische maatregelen zoals firewalls en het versleutelen van teksten, het gaat ook om processen, beleid en mensen. Het ISO 27001-certificaat geldt drie jaar en er worden ieder jaar audits uitgevoerd om te controleren of een organisatie nog aan alle eisen voldoet. Na drie jaar moet de certificering opnieuw aangevraagd worden.

Waarom ISO 27001?

Informatiebeveiliging is geen nice-to-have meer. Wij vinden het pure noodzaak en daar hebben we een aantal redenen voor:

• Vertrouwen winnen (en behouden)
Natuurlijk verwachten klanten dat hun data veilig zijn bij ons. Een ISO 27001-certificaat is een krachtig signaal dat persoons- en bedrijfsgegevens bij ons veilig zijn.

• Risico’s verkleinen, schade beperken
Hackers vinden ieder mogelijk “gaatje”, waardoor geen enkel systeem honderd procent veilig is, met de juiste maatregelen voorkomen we de meeste problemen. Als er dan toch iets gebeurt beperken we de impact.

• Wettelijke verplichtingen en audits
We kennen inmiddels allemaal de Algemene Verordening Gegevensbescherming (AVG) die maakt dat informatiebeveiliging niet vrijblijvend is. Daarnaast dwingt een ISO 27001-certificaat ons door de jaarlijkse audits om aandacht te blijven geven aan de beveiliging van informatie.

• Kansen vergroten
Als we aan kunnen tonen dat we veilig, gestructureerd en transparant werken vergroot het onze kansen bij aanbestedingen van bijvoorbeeld overheid, universiteiten en zorginstellingen.

Hoe werkt het?

Het ISO 27001-certificaat krijgen is geen klus die van vandaag op morgen is geklaard. Het is belangrijk om het gestructureerd aan te pakken. Wij gaan als volgt te werk:

1. Nulmeting
Aan de hand van een ISO-handboek beschrijven we alle bestaande werkprocessen, interne en externe invloeden en de wensen en behoeften van belanghebbenden zoals klanten, leveranciers en medewerkers. We krijgen dan een goed beeld van Before Sales.

2. Risico’s analyseren
We kijken kritisch naar mogelijke risico’s. Wat gebeurt er als er klantgegevens op straat liggen? Wat als medewerkers toegang hebben tot te veel systemen? Hoe zijn back-ups en de controle van het gebruik van systemen geregeld? Enzovoort …

3. Maatregelen kiezen en doorvoeren
We gaan actie ondernemen om kansen te benutten en risico’s te beperken.

4. Beleid, processen en controles opstellen
We leggen verantwoordelijkheden, rollen en bevoegdheden en de manier waarop we incidenten afhandelen vast en we beschrijven hoe we blijven verbeteren.

5. Audit en certificering
Als alles staat kunnen we ons melden bij een onafhankelijke partij die checkt of we voldoen aan de ISO 27001-norm.

Wij staan nog maar aan het begin van het aanvraagproces en zijn druk bezig met stap 1: de nulmeting. Dat geeft ons al veel stof tot nadenken, bijvoorbeeld over hoe je omgaat met de privé mobiele telefoons op de werkvloer (Bring Your Own Device) en zoiets simpels als altijd je computer vergrendelen als je even wegloopt van je werkplek.

Hoewel het een stevige klus is, zien we het niet als een papieren tijger. Het is voor ons onderdeel van ons vakmanschap. Beveiliging is voor onze klanten immers de basis om met vertrouwen met ons te werken.