Blog
schedule
5 feb 2024
person
Robin Vermeij

Best Practices ISO 27001:2022

INBISCO heeft recent de certificering voor de ISO 27001:2022 behaald. We zijn hier natuurlijk heel trots op! In deze blog beantwoorden onze Security teamleden Maureen de Raad en Jesper den Boer een aantal vragen over wat deze certificering voor INBISCO betekent, hoe de overstap van de 2013 naar de 2022 versie is verlopen en hoe ze het hebben aangepakt.

Wat heeft jullie gemotiveerd om de ISO 27001-certificering na te streven?

Maureen: Het is gestart als vereiste voor een klant voor wij INBISCO werden. Daarna is informatieveiligheid doorgegroeid naar iets dat onderdeel is geworden van de cultuur en het imago van ons bedrijf. We hebben de certificering daarom altijd doorgezet.

Kan je kort uitleggen waarom deze certificering belangrijk is voor INBISCO?

Jesper: Het certificaat is niet de prioriteit. Het hebben van een informatiebeveiligingssysteem is de voornaamste reden waarom we de ISO 27001 implementeren. Dit helpt ons om onze processen, rond informatiebeveiliging, continu te verbeteren.

Maureen: Ja, zoals Jesper aangeeft, we doen het niet voor het certificaat aan de muur. Het is belangrijk om de veiligheid en vertrouwelijkheid van informatie voor onze klanten te kunnen garanderen. Informatiebeveiliging zit in het DNA van INBISCO. De audit voor certificering is een extra moment om het niveau en de status van informatiebeveiliging te toetsen en te kunnen blijven verbeteren.

Hoe hebben jullie de overgang van de ISO 27001:2013 naar de ISO 27001:2022 aangepakt? Welke stappen hebben jullie gemaakt?

Maureen: In de overgang van de 2013 naar de 2022 versie hebben we een fit-gap analyse uitgevoerd. We hebben de nieuwe versie gepakt, vanaf punt één opnieuw beoordeeld en gekeken waar de relatie naar de 2013-versie lag. Vanuit daar is beoordeeld of de huidige implementatie of beheersmaatregel voldoende aansloot.

Jesper: We hebben gekeken welke veranderingen er waren in de norm en de appendix. Op basis van deze veranderingen zijn we gaan kijken welke acties er uitgevoerd moesten worden.

Zijn er specifieke uitdagingen geweest tijdens het proces? En hoe zijn jullie daarmee omgegaan?

Jesper: De wens was om de Verklaring van Toepasselijkheid op te zetten in ons eigen ISMS (Information Security Management System), en dan met name onze RAS-applicatie (Risk Assesment System), in plaats van in een Excel-sheet. Onze RAS-applicatie hebben we recentelijk vernieuwd en de functionaliteiten zijn nu aanwezig om de Verklaring van Toepasselijkheid hierin te maken. Het was veel werk, maar het is gelukt.

Hoe hebben jullie samengewerkt met verschillende afdelingen binnen de organisatie?

Jesper: Wij hebben als KPI dat alle processen en documenten ieder jaar beoordeeld moeten worden. De proces- en documenteigenaren moesten dus weer door de interne audit heen en, waar nodig, hun processen en documenten updaten.

Hoe zorgen jullie dat alle medewerkers op de hoogte zijn van het belang van informatiebeveiliging?

Maureen: Alle medewerkers worden betrokken bij het intern auditen van onze processen. Zij krijgen training om als auditor aan de slag te gaan. Dit zorgt ervoor dat iedereen betrokken is bij het proces. Verder is informatiebeveiliging een onderdeel van de missie en visie van INBISCO. Dit wordt uitgedragen aan iedereen die bij INBISCO werkt.

Jesper: Medewerkers werden voor de audit ook op de hoogte gehouden. Er werd vanuit het management uitgelegd wat er van hen werd verwacht tijdens de audit en de ontwikkelingen rondom de audit werden intern gecommuniceerd.

Zijn er specifieke initiatieven genomen om het bewustzijn te vergroten?

Jesper: Er zijn jaarlijkse awareness-sessies. Deze worden georganiseerd door verschillende personen van verschillende afdelingen en gaan bijvoorbeeld over phishing of IT-awareness. Verder vragen wij onze medewerkers problemen, en ook zeker, suggesties te registreren.

Zijn er specifieke leermomenten of uitdagingen die jullie zijn bijgebleven tijdens het certificeringsproces?

Maureen: Vertrouwen op je eigen kennis. Er is nog weinig te vinden over hoe je precies de transitie naar de nieuwe versie moet maken. We hebben zelf een methode bedacht op basis van de kennis die we hebben en deze is succesvol gebleken.

Jesper: Begrijp de veranderingen in de norm en wees overtuigd van de acties die je hebt uitgevoerd.

Wat zijn volgens jullie de belangrijkste voordelen van het behalen van de ISO 27001-certificering?

Jesper: Je bent heel actief bezig met informatiebeveiliging. Door de PDCA-cirkel wordt het continu verbeteren gestimuleerd.

Hebben jullie al positieve effecten of verbeteringen opgemerkt binnen de organisatie?

Maureen: We maken gebruik van de nieuwe functionaliteit voor ons ISMS. Het is super leuk om te zien hoe onze eigen software aansluit op de zaken die nodig zijn binnen een ISMS. Door het gebruik van onze geupdate RAS voor onze Verklaring van Toepasselijkheid hebben we weer een nieuwe toepassing binnen onze software ontwikkelt en gebruikt. Daar wordt iedereen bij INBISCO enthousiast van.

Jesper: Medewerkers denken mee over informatiebeveiliging en er worden suggesties gedaan voor het verbeteren van de processen.

Hoe gaan jullie ervoor zorgen dat de naleving van de ISO 27001-norm wordt gehandhaafd?

Maureen: Dit is onderdeel van het jaarplan. Hier staan de gestelde doelen, KPI’s en uitgezette acties in voor komend jaar.

Jesper: We werken met steekproeven, trendanalyses, kwartaaloverleg, managementreviews. Verder worden de meldingen gemaakt in ons ISMS natuurlijk gemonitord.

Zijn er plannen voor continue verbetering op het gebied van informatiebeveiliging?

Maureen: Dit is een terugkerend onderdeel van het proces. Er wordt continu gekeken naar verbeteringen.

Jesper: We streven altijd naar verbeteringen, door het doorlopen van de PDCA-cirkel en het aanpassen van de KPI’s in het Security Jaarplan.

Wat zijn de volgende stappen nu jullie de ISO 27001:2022-certificering hebben behaald?

Jesper: Het opzetten van ons nieuwe ISMS. We ondervonden dat bepaalde instellingen in ons ISMS beter konden. Bijvoorbeeld, het verbeteren van de workflows en het opschonen van niet meer relevante data. We zijn ook de ISO 27017 en de CIS controls aan het onderzoeken.

Wat is jullie advies voor organisaties die ook de certificering willen behalen?

Jesper: Het doel is om iedereen mee te krijgen. Het management moet commitment, resources en budget geven. Het is een continu proces, dus geen eenmalige actie om het certificaat te halen. Het gebruik van de INBISCO ISMS-software kan ondersteunen bij het implementeren en onderhouden van een ISMS. En dus ook het behalen van de ISO 27001!

INBISCO Secure

Voor het behalen van de ISO 27001-certificering hebben wij ons eigen ISMS gebruikt. INBISCO – Secure maakt het beheren van informatie over beleid en werkwijzen voor informatieveiligheid een fluitje van een cent. Iedereen kan eenvoudig meldingen maken van afwijkingen en mogelijke verbeteringen, waardoor je constant op de hoogte blijft van potentiële bedreigingen. Het uitvoeren van de risico-inventarisatie kan binnen het systeem. Dit stelt je in staat om tijdig maatregelen te treffen.