ICT-bedrijf WeSeeDo vertelt over hun certificeringstraject voor ISO 27001
Door nieuwe wijzigingen in het Certificatieschema Arbodiensten is de uitwisseling en opslag van informatie een stuk belangrijker geworden. Zelfs zó belangrijk dat vanaf begin dit jaar arbodiensten verplicht zijn om samen te werken met ISO 27001 gecertificeerde leveranciers. ICT-bedrijf WeSeeDo is ruim op tijd begonnen met ISO 27001 certificering. Lees hier verder over het ISO 27001 certificeringstraject.
“Terugkijkend naar het afgelopen 1,5 jaar ben ik ontzettend blij dat we de stap hebben genomen om ISO 27001 gecertificeerd te worden. In de digitalisering van zorgtechnologie is veiligheid ontzettend belangrijk. Het verbaast me hoe zorgorganisaties hier nu soms mee omgaan, uit het oogpunt van het tonen van respect en vertrouwen naar de patiënten/cliënten toe”, aldus Iebele Otten, directeur van WeSeeDo.Het certificeringstraject bij WeSeeDo
WeSeeDo is sinds mei 2019 gecertificeerd tegen de ISO 27001 norm en voldoet hiermee ruim voor de deadline aan de wettelijke verplichting voor leveranciers van arbodiensten. Dit is niet de enige reden waarom het bedrijf zich tegen de ISO 27001 heeft laten certificeren. Met het ISO 27001 certificaat toont WeSeeDo namelijk aan dat hun diensten én de gehele organisatie voldoen aan alle eisen rondom informatiebeveiliging. Peter de Geus, hoofd financiën en ISO-coördinator van WeSeeDo vertelt over het ISO 27001 certificeringstraject.Hoe is WeSeeDo gestart met het certificeringstraject?
WeSeeDo is het certificeringstraject gestart met behulp van een adviesbureau. Het adviesbureau heeft WeSeeDo geholpen met de verschillende onderdelen binnen het traject, waaronder de nulmeting. Na het opzetten van het ISO 27001 managementsysteem is er een nulmeting uitgevoerd. Hierdoor heeft de organisatie een goed inzicht gekregen of het huidige beleid in lijn is met de eisen van ISO 27001. Wanneer dit niet het geval is, worden er verbeteringen opgesteld in het informatiebeveiligingsbeleid en/of het personeelshandboek.
Voordat de externe audit plaatsvond door DNV, heeft het adviesbureau binnen anderhalve dag alle ISO-normeisen doorlopen om te controleren of WeSeeDo hieraan voldeed.
Wat zijn de volgende stappen binnen het traject?
Een certificeringsproject is een doorlopend proces. “Het is nooit af, je documentatie wordt als het ware een levend document dat constant aan verandering onderhevig is”, aldus Peter de Geus.
Bij het doorlopende proces komt de PDCA-cyclus aan de orde. PDCA staat voor: Plan, Do, Check, Act. Deze virtuele cirkel geeft het continue proces van verbetering op een goede manier weer. Na het uitvoeren van een nulmeting, dat eenmalig gedaan wordt, dienen de volgende stappen uitgevoerd te worden:
- Een risicoanalyse opstellen;
- Het managementsysteem opzetten en inrichten;
- Het managementsysteem analyserenen en evalueren;
- De verbeteringen die uit de analyse komen, uitvoeren en implementeren;
- Een interne audit uitvoeren;
- PEN-testen: penetratietesten waarin de ICT infrastructuur op de security wordt getoetst.
Door deze punten periodiek uit te voeren kan het managementsysteem aldoor in de juiste richting gestuurd worden.
WeSeeDo heeft voor de ISO 27001 certificering alle zaken betreffende het proces van informatiebeveiliging vastgelegd in een Information Security Management System (ISMS). Binnen een ISMS worden zaken vastgelegd en beschreven denk aan het beleid, verschillende kaders en uitgangspunten, afspraken en processen. De risico’s die daarbij horen moeten inzichtelijk zijn en u moet laten zien dat u daar afdoende op acteert. Niet in de laatste plaats moet u aangeven hoe u zorgt dat alles gaat zoals afgesproken en hoe u dat controleert.
Download de whitepaper: Wat is een ISMS?
In de whitepaper ‘Wat is een information security management system (ISMS)?’ leest u waaruit een ISMS bestaat en hoe u deze het beste in kunt richten. Download de whitepaper over het ISMS hier.
Hoe wordt er bewustwording binnen de organisatie gecreëerd?
Peter de Geus: “De eerste stap in het kader van bewustwording is het personeelshandboek. Hierin staan alle regels en afspraken in over informatieveiligheid waar medewerkers van WeSeeDo zich aan dienen te houden. Bij indiensttreding tekenen zij deze voor akkoord.”
Bewustwording creëren bij medewerkers is een van de belangrijkste dingen binnen informatiebeveiliging. WeSeeDo heeft dit goed aangepakt door tussen de interne en externe audit medewerkers bewust te maken. Gedurende deze periode heeft de organisatie de werkplekken van de medewerkers steekproefsgewijs gecheckt op onder andere de ‘Clear Screen Policy’. Dit betekent dat medewerkers voor het verlaten van hun werkplek hun computer dienen te vergrendelen.
Daarnaast is er ook een ‘Clear Desk Policy’ ingevoerd. Hierbij werd gecontroleerd of werknemers geen gevoelige documentatie achterlieten op hun bureau en of dat bepaalde gegevens opgeborgen zijn in kasten die op slot zijn.
Omdat informatiebeveiliging een belangrijk onderwerp is dat continu onder de aandacht moet blijven, heeft de organisatie dit onderwerp wekelijks op de agenda staan. Ook wordt er een maandelijks overleg gehouden waarin belangrijke onderdelen van informatiebeveiliging worden besproken. WeSeeDo borgt met behulp van de PDCA-cyclus de kwaliteit van informatiebeveiliging binnen de organisatie en zorgt voor een blijvende ontwikkeling en verbetering op het gebied van informatiebeveiliging.
Het verloop van de audit door DNV
DNV heeft de ISO 27001 audit in twee fases uitgevoerd. Hierbij heeft WeSeeDo het criterium in acht genomen dat het ISO 27001 certificaat bij een certificatie-instelling (CI), die hiervoor geaccrediteerd is door de Raad voor Accreditatie (RvA), moet worden behaald. “Schakel je een certificatie-instelling in die niet geaccrediteerd is door de RvA, dan wordt je ISO 27001 certificaat niet door je opdrachtgevers erkend”, aldus Peter de Geus.
Tijdens de initiële audit/documentatiebeoordeling heeft de auditor van DNV alle documenten met betrekking tot de ISMS doorgenomen en beoordeeld. In dit gedeelte van de audit wordt bepaald of een organisatie klaar is om gecertificeerd te worden.
Gedurende de tweede fase van de audit heeft de auditor voornamelijk de medewerkers geïnterviewd en gekeken hoe de ISMS binnen de organisatie geïmplementeerd is en onderhouden en verbeterd wordt. Tijdens deze fase wordt de werking van alle processen en maatregelen met betrekking tot informatiebeveiliging conform de ISO 27001 norm beoordeeld.
Wanneer de audit afgerond is, stelt de auditor een auditrapport op. Deze wordt bij de onafhankelijke certificatie commissie van DNV ingediend. Daar wordt uiteindelijk bepaald of een organisatie het certificaat behaald. Wanneer een organisatie een ISO 27001 certificaat behaalt, is deze geldig voor een periode van drie jaar. Binnen deze drie jaar wordt jaarlijks een audit uitgevoerd om te controleren of de organisatie nog steeds voldoet aan de eisen van de ISO 27001 norm.
Bron: BG Magazine
Kijk hier voor meer informatie over ISO 27001 certificering.