ISO 27001 als basis voor een veilig én gezond bedrijf
Het certificaat voor de ISO 27001 norm behalen hebben we bij SERA nét even anders aangepakt.
SERA Business Design is gecertificeerd volgens de ISO 27001 norm met aanvullend de BIO standaard. Om het certificaat te kunnen behalen, moet je als bedrijf een Information Security Management System (ISMS) inrichten. SERA besloot dat nét even wat anders aan te pakken dan wat gebruikelijk is. Onze Security Officer legt uit hoe en waarom.
“ISO 27001 is een internationale norm voor kwaliteitsbewaking en informatiebeveiliging. Met de certificering heeft SERA aangetoond processen, producten en diensten continu te evalueren en te verbeteren”, vertelt Kevin van Brussen. Hij is als Security Officer bij SERA verantwoordelijk voor de processen, het beleid en de werkwijzen die te maken hebben met informatiebeveiliging.
“Grotere klanten, de overheid en overheidsbedrijven eisen dit van leveranciers van bedrijfskritische software. Met ruim 30 jaar ervaring in de softwarebranche, het succes van onze producten zoals SERA Dataduiker, én een plek in de Main Software 50 Benelux, mag SERA zich met recht een belangrijke softwareleverancier noemen.”
ISMS zelf inrichten en beheersen
De ISO 27001 certificering gaat hand in hand met een Information Security Management System (ISMS). Hierin staan de afspraken en procedures rondom het beveiligen van (vertrouwelijke) informatie binnen een organisatie.
“Het is gebruikelijk om een externe consultant in te schakelen bij de start van een ISO-certificering. Bij SERA was al de nodige kennis én ervaring met het werken volgens kwaliteitsnormen. We wilden niet dat het een ‘papieren tijger’ zou worden. We wilden het ISMS een echt onderdeel van onze werkprocessen laten zijn. Daarom hebben we besloten de inrichting en implementatie in eigen beheer te doen, zonder hulp van derden. We vinden het belangrijk om alle ins en outs van het ISMS te kennen en de logica erachter te begrijpen en het daarna ook daadwerkelijk toe te passen.”
Informatiebeveiliging aantoonbaar op orde
“We hebben in kaart gebracht hoe onze organisatie werkte en hoe dit al dan niet aansloot bij de ISO-norm. Tijdens dat proces bleek dat we weinig aan hoefden te passen. Het extra werk was vooral het bureaucratische deel: alles noteren zodat het aantoonbaar is en de auditor kan zien hoe we het doen. De auditor moet uiteindelijk oordelen of onze beveiliging aantoonbaar op orde is. We zijn een half jaar bezig geweest totdat de certificering een feit was. Voor de kenners: dat is erg snel.”
Het ISMS is geen op zichzelf staande verzameling van procedures. “Vertrouwelijk informatie - waar we hele dag mee bezig zijn - moet op de juiste manier verwerkt en opgeslagen worden en ook altijd beschikbaar zijn voor de klant. Eigenlijk ben je een soort interne verzekeraar voor onze afnemers”, stelt Kevin. “Je moet veiligheidsrisico’s van je eigen organisatie identificeren en beheersen en permanent alert zijn op mogelijke verbeteringen. Vervolgens moet je een plan maken hoe je dit in het systeem voor informatiebeveiliging integreert en implementeert.”
Link met een gezonde werkomgeving
Het ISMS gaat overigens nog een stap verder. “Om ons systeem in orde te houden, is het essentieel dat er sprake is van een goede sfeer en een gezonde werkdruk. Dat geldt voor al het personeel, maar in het bijzonder voor de technische mensen. De arbeidsmarkt is krap en zeker programmeurs zijn schaars. De werkdruk kan dan snel hoog worden. Continuïteit, kwaliteit en gegevensbeveiliging zouden dan in gevaar kunnen komen. Daarom is het belangrijk om in het ISMS ook de menselijke component te benadrukken.”
Zo zie je maar, als de basis van je organisatie op orde is en je weet wat je doet, kun je in een half jaar tijd het certificaat voor de ISO 27001 norm behalen. Wil je meer weten over hoe wij bij SERA het behalen van ons ISO-certificaat hebben aangepakt? Neem vooral contact met ons op.
