Het creëren van een veilige werkomgeving – onze ISO 27001 certificering

Bij het ontwikkelen van ons platform zijn er verschillende pijlers essentieel; een daarvan is het creëren van een veilige en compliant omgeving en platform. We verbinden verschillende bedrijven, netbeheerders en aannemers uit de infra-keten om projecten sneller en efficiënter te kunnen uitvoeren.

Bij deze projecten wordt er veel data uitgewisseld en gaat het in veel gevallen om gevoelige informatie. Daarom is het bieden van een platform waarbij de informatiebeveiliging goed geborgd is een absolute vereiste.

Onlangs hebben we de ISO 27001 en ISO 9001-certificering behaald. We spraken met onze collega Erica Breems, Compliance Manager, over het proces van certificering, de inhoud en de impact voor de organisatie.

‘’Klopt! We hebben onlangs de ISO 27001-certificering voor informatiebeveiliging en de ISO 9001-certificering voor kwaliteitsmanagement behaald.’’

‘’De ISO 27001 is een internationale norm voor informatiebeveiliging. Met deze certificering toon je als organisatie aan dat je de informatiebeveiliging goed op orde hebt en zorgvuldig omgaat met gevoelige gegevens.

In de norm worden de eisen beschreven voor het opzetten, implementeren, onderhouden en verbeteren van een Information Security Management System (ISMS). Dit systeem bestaat uit een set beleidslijnen, procedures, werkinstructies, risicoanalyses en controles die samen zorgen voor een effectief beheer van informatiebeveiliging. Op deze norm kan je je als organisatie laten certificeren.

Daarnaast heb je de ISO 27002, dit is geen norm maar meer een richtlijn voor de implementatie van de beveiligingsmaatregelen uit de ISO 27001. Het biedt een gedetailleerde lijst van maatregelen en is daarmee een handige tool om het beleid en de procedures in de praktijk te brengen.’’

‘’Informatiebeveiliging is om een aantal redenen belangrijk. Het zorgt ervoor dat:

Het beveiligen van informatie is van cruciaal belang voor het beschermen van gevoelige informatie, het behouden van het vertrouwen van klanten en partners en het waarborgen van naleving van wet- en regelgeving. Een ISO 27001-certificering is dus van grote waarde.’’

‘’Als Compliance Manager ben ik bij Infradock betrokken om de informatiebeveiliging op te zetten en te structureren. Dit was voor het management een prioriteit in de afgelopen periode en ontstond uit de motivatie om het ‘’gewoon goed geregeld’’ te hebben voor de klanten. We werken aan de vitale infrastructuur van Nederland, dan is veilig werken een must.’’

‘’Het ging niet zo zeer om het behalen van de certificering an sich, maar meer om zaken die we hiervoor moesten regelen. En het resultaat daarvan: een veilige en compliant omgeving bieden. Dit was én is een must: voor onze klanten, stakeholders en onszelf. Daarnaast is het opzetten van het beleid en de procedures niet alleen nuttig voor ons als organisatie maar ook voor onze huidige oplossingen (software) en voor nieuwe oplossingen. Door nu de basis te leggen, kan hier in de toekomst slim gebruik van worden gemaakt.’’

‘’Over een periode van circa zes maanden hebben we de nodige stappen genomen. Dit hebben we gedaan met het hele team. Door iedereen te betrekken wordt informatiebeveiliging geen papieren werkelijk, maar een ‘’way-of-working’’.

Na een analyse hebben we een veiligheidsbeleid, procedures en werkafspraken opgesteld in een ISMS. Om de bewustwording op dit gebied verder te vergroten, hebben we de medewerkers getraind op het gebied van informatiebeveiliging en privacy.

Toen alles gereed was, hebben we een interne audit uitgevoerd. Daarna is er door KIWA, een certificerende instantie, een externe audit gedaan.’’

‘’We zijn een relatief kleine organisatie die nu zelf veel stappen heeft gezet. Dit vraagt om een grote betrokkenheid bij dit onderwerp. Iedereen bekijkt het onderwerp vanuit zijn/haar eigen expertise en werkveld. Om dit samen te brengen, hebben we geprobeerd om op een efficiënte manier de genomen stappen te documenteren. De verschillende tools van het ISMS en de ISO 27002 hebben ons daar ook bij geholpen. Dit geeft een goede leidraad voor de documentatie en implementatie.’’

‘’We implementeren SSO (Single Sign-On) en Identity Access Management om veilig en compliant te kunnen werken. Daarnaast is elk bedrijf is verantwoordelijk voor de autorisatie van nieuwe gebruikers.’’

‘’We hebben verschillende maatregelen getroffen om onze data veilig te houden en zorgen voor een nauwkeurige documentatie van wijzigingen. We documenteren onder andere welke data-uitwisseling er is, wie de eigenaar is, hoe de autorisatie is ingericht en waar data wordt gelogd.

Het is prettig dat er steeds meer aandacht voor en bewustwording van dit onderwerp. Dat maakt dat we met elkaar een veilige omgeving creëren en behouden om in te werken.’’

‘’We zijn beter voorbereid op nieuwe ontwikkelingen op het gebied van informatiebeveiliging en privacy. Deze gaan namelijk snel, dreigingen nemen toe en er komt de komende tijd nieuwe wet- en regelgeving bij.’’

‘’Voor 2025 hebben we een veiligheidskalender gemaakt met daarin de checks en tests die we periodiek gaan uitvoeren als onderdeel van de borging van de maatregelen, zoals geautomatiseerde security testen. Zo houden we iedereen scherp.

We gaan uit van het principe: ‘’Plan – Do – Check – Act’’, zo kunnen we onszelf continu verbeteren. Informatiebeveiliging en kwaliteitsmanagement zijn geen eenmalige acties, maar een doorlopend proces van evalueren, aanpassen en verbeteren. Daarnaast is (informatie)veiligheid en kwaliteitsmanagement een vast onderdeel geworden van de ontwikkeling van onze huidige en nieuwe software en producten. Een certificering heeft een geldigheid van drie jaar, wel krijg je jaarlijks een check.’’