Het ISO 27001 Traject

In Algemeen

Voor onze organisatie is het erg belangrijk dat onze klanten weten dat wij op een veilige en verantwoorde wijze omgaan met hun data. Om de werkwijzen die wij hierbij hanteren te vertalen naar een certificering, hebben wij besloten een ISO traject te starten.

Wat houdt een ISO certificering nou eigenlijk in?
ISO is een internationale organisatie die standaarden uitgeeft. Zo is er een standaard voor milieumanagement, een standaard voor projectmanagement en een standaard voor informatiebeveiliging. Deze laatste standaard is voor ons belangrijk: ISO 27001. Aan deze standaard is een certificaat gekoppeld waarmee wij als organisatie aan kunnen tonen dat wij voldoen aan de eisen zoals gesteld in deze ISO standaard. Buiten de vereisten vanuit de wetgeving, kan met een ISO certificering een veel groter oppervlak gedekt worden als het gaat om procedures, afspraken en hoe deze binnen onze organisatie geïmplementeerd worden. Zo wordt vanuit de wetgeving vereist dat persoonsgegevens geanonimiseerd worden. Wil je een ISO certificering, dan dien je aan te geven hoe je de processen om deze gegevens te anonimiseren borgt. Denk hierbij aan autorisatieniveaus (wie mag er bij welke informatie komen) en een clean-desk policy (geen gevoelige informatie op je bureau als je er niet bent). Pas als je dit in kaart hebt gebracht en je organisatie heeft zich die manier van werken eigen gemaakt, kan je aanspraak maken op een dergelijk certificaat.

ISO
Designed by Macrovector / Freepik

Wat deed Softbrick al aan databeveiliging?
Voordat wij begonnen met het in gang zetten van het ISO traject was de veiligheid van onze data én die van onze klanten al een ‘hot topic’. De input van onze software zal altijd de ‘workforce’ zijn: het personeel. Deze input bestaat uit kwetsbare data en zal met grote zorg behandeld moeten worden. Zo komt het voor dat de data die onze Service Desk onder ogen krijgt – tijdens het oplossen van klantencases – personeelsgegevens bevat. Deze data werd in die gevallen al geanonimiseerd, maar dat betekende wel dat er al personeelsgegevens verwerkt werden: daar was dus ruimte voor verbetering. Daarnaast is één van de belangrijkste taken van onze Consultancy afdeling het inrichten van onze software bij klanten, inclusief het importeren van het personeelsbestand. Hier ontkom je niet aan en dus is het belangrijk dat hier duidelijke afspraken en procedures voor bestaan. Dat is waar ISO ons bij kan helpen.

Wat heeft het ISO traject voor impact op de organisatie?
De impact van het ISO traject is aanzienlijk. Al onze collega’s dienen betrokken te zijn bij de veranderingen en iedereen moet op de hoogte zijn van afspraken en procedures. In de praktijk betekent die dat er een goede communicatie plaats vindt vanuit de Kwaliteitsmanager. Hij verzorgt in samenwerking met anderen de procedures en communiceert deze vanuit een centrale plaats. Eenmaal in de maand organiseren wij een ontbijtsessie: tijdens deze sessie is er een vaste plek voor een update op het gebied van gegevensbescherming. Belangrijke wijzigingen buiten deze sessie om worden direct gecommuniceerd via e-mail, de televisie in onze lunchruimte of op onze SharePoint omgeving.
Misschien is de belangrijkste rol wel weggelegd voor onze systeembeheerders. Zij verzorgen de infrastructuur waarmee wij onze werk kunnen doen. Voor wat betreft het beveiligen van onze gegevens en die van klanten speelt deze infrastructuur een centrale rol. Zo kunnen onze servers moeten voldoen aan de in de ISO gestelde eisen, hetzelfde geldt voor overige systemen zoals PC’s, laptops en andere datadragers. Deze eisen zijn niet gering, maar zorgen er uiteindelijk wel voor dat we kunnen werken volgens de procedures en afspraken die wij met z’n allen maken.