Hacken, phishing, malware, AVG, GDPR zijn kreten waarmee we de laatste jaren om de oren zijn geslagen. Iedere keer worden we er op gewezen hoe belangrijk het is om informatie te beveiligen en/of hier vertrouwelijk mee om te gaan. Als leverancier van veilige, betrouwbare, snelle en robuuste ICT- en WiFi-netwerken zijn wij ons hier terdege van bewust. Klanten en andere belanghebbenden moeten het vertrouwen hebben dat hun gegevens goed beschermd zijn bij Brite.
Normen geven houvast
Een goede reden om verder te zoeken hoe dit in te passen in de dagelijkse gang van zaken. Al snel kom je dan bij normen uit. Voor informatiebeveiliging is ISO 27001 ingericht. Voor de zorg is daar NEN 7510 die op de ISO-norm een verdere verdieping geeft.
Als je als klant en leverancier beide gecertificeerd bent voor dergelijke normen, dan scheelt dat een hoop moeilijke vragen stellen als je in een aankooptraject zit. Doordat je beide vanuit de normen werkt kun je hier naar verwijzen en weet je dat bepaalde onderwerpen goed zijn afgedekt.
Wat kom je tegen tijdens het implementatietraject?
Afgelopen januari zijn we begonnen met dit ISO- en NEN-traject waarbij wij ons hebben laten begeleiden door een in ISO en NEN gespecialiseerd bedrijf. Ook al denk je alles nog zo goed voor elkaar te hebben, toch zie je dat er tal van onderwerpen beter moeten. Aan de hand van het traject breng je allerlei vormen van beveiligingsrisico’s in kaart.
De volgende stap is om hier maatregelen voor te nemen om de risico’s te beperken of te beheren. Je neemt processen door en past deze aan aan de nieuwe situatie. Registratie is een belangrijk gereedschap in allerlei overlegsituaties en om afwijkingen, klachten of verbeteringen vast te leggen.
Inzicht, bewustwording en draagvlak omtrent informatiebeveiliging creëren binnen de organisatie is het belangrijkste. Hoe kun je doorlopend het niveau verhogen en hoe borg je dat dit ook zo wordt uitgevoerd?
De audits
Eind juni was voor ons de datum van de eerste audit, de zog. document review. De auditor, van DNV-GL, een onafhankelijke certificerende instantie, heeft op deze dagen allerlei documenten en processen tegen het licht gehouden. Wij dachten dat we, na alle begeleiding en voorbereidingen, de lat al hoog hadden liggen, deze werd nog een flink stuk hoger gelegd. De auditor gaf ons goede inzichten en al zijn opmerkingen waren raak. De lat kon inderdaad nog een stuk hoger.
De extra inspanningen om aan dat niveau te voldoen werden 3 weken later beloond tijdens de definitieve audit. Zijn bevindingen luidden:
“De organisatie heeft de tijdens de eerste fase opgemerkte verbeterpunten boven gemiddeld geadresseerd. Niet alleen zijn correcties en corrigerende maatregelen getroffen maar ook zijn de processen aangepast zodat de aanpassingen onderdeel zijn geworden van de “day to day” business”.
Tijdens de definitieve audit zijn er interviews gehouden met Brite medewerkers. Een auditor krijgt zo een indruk dat de bedrijfsprocessen zijn aangepast naar het nieuwe niveau en niet dat het om een papieren aanpassing gaat. Aan het eind van de audit gaf hij aan tevreden te zijn met onze manier van werken en vooral het oppikken van verbeteringen en het implementeren hiervan. Hij zou ons voordragen voor certificering. De uiteindelijke certificering gebeurt door de ISO organisatie die hierbij ook de auditor beoordeeld op het afnemen van de audit.
In the pocket
De certificering voor ISO 27001 en NEN 7510 hebben we afgelopen week binnen gekregen en hier zijn we blij mee. Binnen 6 maanden hebben de inspanningen het gewenste resultaat opgeleverd.
Voor onze klanten en belanghebbenden een signaal dat hun informatie bij ons in goede en vertrouwde handen is. Voor onszelf dat we de stap genomen hebben om doorlopend onze informatiebeveiliging te verbeteren. Kwaadwillenden, die informatie van anderen willen hebben, staan niet stil en zullen telkens trachten nieuwe ingangen te vinden om de informatie te verkrijgen.
Op deze manier willen wij hen voor blijven en onze klanten en belanghebbenden in de toekomst beschermen.
