INBISCO QHSE Community
8 okt 2024
INBISCO heeft recent de certificering voor de ISO 27001:2022 behaald. We zijn hier natuurlijk heel trots op! In deze blog beantwoorden onze Security teamleden Maureen de Raad en Jesper den Boer een aantal vragen over wat deze certificering voor INBISCO betekent, hoe de overstap van de 2013 naar de 2022 versie is verlopen en hoe ze het hebben aangepakt.
Maureen: Het is gestart als vereiste voor een klant voor wij INBISCO werden. Daarna is informatieveiligheid doorgegroeid naar iets dat onderdeel is geworden van de cultuur en het imago van ons bedrijf. We hebben de certificering daarom altijd doorgezet.
Jesper: Het certificaat is niet de prioriteit. Het hebben van een informatiebeveiligingssysteem is de voornaamste reden waarom we de ISO 27001 implementeren. Dit helpt ons om onze processen, rond informatiebeveiliging, continu te verbeteren.
Maureen: Ja, zoals Jesper aangeeft, we doen het niet voor het certificaat aan de muur. Het is belangrijk om de veiligheid en vertrouwelijkheid van informatie voor onze klanten te kunnen garanderen. Informatiebeveiliging zit in het DNA van INBISCO. De audit voor certificering is een extra moment om het niveau en de status van informatiebeveiliging te toetsen en te kunnen blijven verbeteren.
Maureen: In de overgang van de 2013 naar de 2022 versie hebben we een fit-gap analyse uitgevoerd. We hebben de nieuwe versie gepakt, vanaf punt één opnieuw beoordeeld en gekeken waar de relatie naar de 2013-versie lag. Vanuit daar is beoordeeld of de huidige implementatie of beheersmaatregel voldoende aansloot.
Jesper: We hebben gekeken welke veranderingen er waren in de norm en de appendix. Op basis van deze veranderingen zijn we gaan kijken welke acties er uitgevoerd moesten worden.
Jesper: De wens was om de Verklaring van Toepasselijkheid op te zetten in ons eigen ISMS (Information Security Management System), en dan met name onze RAS-applicatie (Risk Assesment System), in plaats van in een Excel-sheet. Onze RAS-applicatie hebben we recentelijk vernieuwd en de functionaliteiten zijn nu aanwezig om de Verklaring van Toepasselijkheid hierin te maken. Het was veel werk, maar het is gelukt.
Jesper: Wij hebben als KPI dat alle processen en documenten ieder jaar beoordeeld moeten worden. De proces- en documenteigenaren moesten dus weer door de interne audit heen en, waar nodig, hun processen en documenten updaten.
Maureen: Alle medewerkers worden betrokken bij het intern auditen van onze processen. Zij krijgen training om als auditor aan de slag te gaan. Dit zorgt ervoor dat iedereen betrokken is bij het proces. Verder is informatiebeveiliging een onderdeel van de missie en visie van INBISCO. Dit wordt uitgedragen aan iedereen die bij INBISCO werkt.
Jesper: Medewerkers werden voor de audit ook op de hoogte gehouden. Er werd vanuit het management uitgelegd wat er van hen werd verwacht tijdens de audit en de ontwikkelingen rondom de audit werden intern gecommuniceerd.
Jesper: Er zijn jaarlijkse awareness-sessies. Deze worden georganiseerd door verschillende personen van verschillende afdelingen en gaan bijvoorbeeld over phishing of IT-awareness. Verder vragen wij onze medewerkers problemen, en ook zeker, suggesties te registreren.
Maureen: Vertrouwen op je eigen kennis. Er is nog weinig te vinden over hoe je precies de transitie naar de nieuwe versie moet maken. We hebben zelf een methode bedacht op basis van de kennis die we hebben en deze is succesvol gebleken.
Jesper: Begrijp de veranderingen in de norm en wees overtuigd van de acties die je hebt uitgevoerd.
Jesper: Je bent heel actief bezig met informatiebeveiliging. Door de PDCA-cirkel wordt het continu verbeteren gestimuleerd.
Maureen: We maken gebruik van de nieuwe functionaliteit voor ons ISMS. Het is super leuk om te zien hoe onze eigen software aansluit op de zaken die nodig zijn binnen een ISMS. Door het gebruik van onze geupdate RAS voor onze Verklaring van Toepasselijkheid hebben we weer een nieuwe toepassing binnen onze software ontwikkelt en gebruikt. Daar wordt iedereen bij INBISCO enthousiast van.
Jesper: Medewerkers denken mee over informatiebeveiliging en er worden suggesties gedaan voor het verbeteren van de processen.
Maureen: Dit is onderdeel van het jaarplan. Hier staan de gestelde doelen, KPI’s en uitgezette acties in voor komend jaar.
Jesper: We werken met steekproeven, trendanalyses, kwartaaloverleg, managementreviews. Verder worden de meldingen gemaakt in ons ISMS natuurlijk gemonitord.
Maureen: Dit is een terugkerend onderdeel van het proces. Er wordt continu gekeken naar verbeteringen.
Jesper: We streven altijd naar verbeteringen, door het doorlopen van de PDCA-cirkel en het aanpassen van de KPI’s in het Security Jaarplan.
Jesper: Het opzetten van ons nieuwe ISMS. We ondervonden dat bepaalde instellingen in ons ISMS beter konden. Bijvoorbeeld, het verbeteren van de workflows en het opschonen van niet meer relevante data. We zijn ook de ISO 27017 en de CIS controls aan het onderzoeken.
Jesper: Het doel is om iedereen mee te krijgen. Het management moet commitment, resources en budget geven. Het is een continu proces, dus geen eenmalige actie om het certificaat te halen. Het gebruik van de INBISCO ISMS-software kan ondersteunen bij het implementeren en onderhouden van een ISMS. En dus ook het behalen van de ISO 27001!
Voor het behalen van de ISO 27001-certificering hebben wij ons eigen ISMS gebruikt. INBISCO – Secure maakt het beheren van informatie over beleid en werkwijzen voor informatieveiligheid een fluitje van een cent. Iedereen kan eenvoudig meldingen maken van afwijkingen en mogelijke verbeteringen, waardoor je constant op de hoogte blijft van potentiële bedreigingen. Het uitvoeren van de risico-inventarisatie kan binnen het systeem. Dit stelt je in staat om tijdig maatregelen te treffen.
Hier vind je onze nieuwste blogs, evenementen, demomiddagen en klantverhalen. Blijf op de hoogte van de laatste ontwikkelingen en laat je inspireren door praktijkvoorbeelden op het gebied van kwaliteit, gezondheid, veiligheid en milieu.