De SloeCentrale vertelt over hun certificeringstraject over ISO 27001
In dit klantverhaal leest u het verhaal over het certificeringstraject van de SloeCentrale. Waarom is de SloeCentrale gestart met het certificeringstraject, hoe hebben zij collega's bewust gemaakt van informatiebeveiliging en wat waren de leermomenten en uitdagingen tijdens het certificeringstraject?
De SloeCentrale is een geavanceerde gasgestookte elektriciteitscentrale met een capaciteit van 870 megawatt. Hiermee kunnen twee miljoen huishoudens worden voorzien in hun dagelijkse energiebehoefte. De SloeCentrale is door DNV ISO gecertificeerd op het gebied van kwaliteit, veiligheid en milieu, informatiebeveiliging en asset management. Wij hebben Ronald Caljouw, Chief Information Security Officer en application engineer, een aantal vragen gesteld over hoe de SloeCentrale het certificeringstraject heeft ervaren.
Waarom is de SloeCentrale gestart met het ISO 27001 certificeringstraject?
Voor ons is het belangrijk dat wij goed inzicht hebben in de IT security risico’s en de beheersing hiervan op een goede manier aan kunnen tonen. Ook is het belangrijk om de continuïteit van productie te garanderen. Daarbij vallen wij onder de WBNI, de Wet Beveiliging Netwerk- en Informatiesystemen. Binnen deze Europese wet vallen organisaties opererend binnen de vitale sectoren in deze wet. De SloeCentrale valt hier ook onder, omdat wij een energiecentrale zijn. Wanneer er binnen de vitale sector een groot incident gebeurt, heb je maatschappelijke ontwrichting. Hieronder wordt verstaan dat er geen normaal werkende maatschappij meer is en zonder energie is er veel niet meer mogelijk.
Inmiddels hebben wij nu 5 certificaten. Wij zijn gestart met ISO 9001, ISO 14001 en ISO 45001. Toen wilden wij ook het ISO 55001 voor asset management behalen en omdat deze hier goed bij aansluit hebben wij ook voor ISO 27001 gekozen.
Hoelang duurde het ISO 27001 certificeringstraject?
Het totale certificeringstraject heeft ongeveer een jaar geduurd. In 2020 zijn wij wel al wel gestart met bedenken hoe we de aansluiting willen maken tussen de WBNI en het aantoonbaar en inrichten van onze risico’s. In augustus 2021 besloot de SloeCentrale om op basis van ISO 27001 het informatiebeveiligingssysteem in te richten. In juli 2022 zijn wij gecertificeerd.
Wat heb je gedaan om je collega's bewust te maken van informatiebeveiliging?
Binnen de SloeCentrale sturen wij daily safety messages op het gebied van veiligheid, waaronder cybersecurity. Elke maand gaan deze berichten over een ander thema. Als wij in een meeting zitten, is het verplicht om de meeting te starten met een daily safety message. Ook staan deze berichten dagelijks op Sharepoint. Het draagt bij aan de veiligheidscultuur. Elke week is een andere collega binnen de organisatie hiervoor verantwoordelijk. Daarnaast volgen de collega’s trainingen via de online portal. Dit zijn korte trainingen over bepaalde onderwerpen, rekening houdend met de jaarkalender voor veiligheid binnen de SloeCentrale.
Wat waren de uitdagingen en leermomenten tijdens het certificeringstraject?
Een groot leermoment was het belang van cyber security bij contracten en leveranciersrelaties. We dachten dat dat wat gemakkelijker was. Dit hebben wij goed uitgezocht en inmiddels aangepast. Bij elk contract wat de deur uitgaat, bekijken wij of er IT risico’s toe doen. We hebben een 15 stappenplan, waar de contracten aan moeten voldoen.
Een andere leermoment was dat wij de annex van de ISO 27001 niet gekoppeld hadden aan onze risicoanalyse. De beheersmaatregelen waren wel impliciet gekoppeld, maar niet expliciet gekoppeld. Dat hebben wij nu wel gedaan.
Er worden vaak auditbevindingen geschreven op interne audits, hoe pakt de SloeCentrale interne audits op?
Wij hebben de interne audits extern uitbesteed. Wij zijn een organisatie en hebben maar een klein beperkt aantal mensen die geschikt zijn om audits uit te voeren. Daarom past het beter binnen onze organisatie om de interne audits uit te besteden.
Ronald Caljouw vertelt dat hij het prettig vindt dat iemand de interne audits doet, die niets met de organisatie te maken heeft. Met een externe auditor kan er scherper teruggekoppeld worden dan wanneer je het intern oppakt. Externe ogen zijn dwingender.
Wat vind je van de samenwerking met DNV?De SloeCentrale heeft DNV al jaren als vaste certificeringspartner. Het gehele certificeringstraject voor ISO 27001 hebben wij als pittig ervaren. Voor mij was het allemaal nieuw, dus het gehele traject was wennen. Sharepoint heeft goed geholpen, daar stond alles op en kon de auditor ook inzien. De samenwerking verliep soepel en de auditor had veel inhoudelijke kennis. De auditor kon ook goed uitleggen hoe de norm geïnterpreteerd werd en wat er zodoende van ons verwacht werd. Kortom, de samenwerking met DNV vinden wij heel prettig.