Constant IT heeft recentelijk de audit voor de hercertificering van de ISO 27001 succesvol doorlopen. Robert de Weerd, Manager Security & Compliance, vertelt waarom dit certificaat zo belangrijk voor Constant IT en haar klanten is en hoe het proces van certificeren in elkaar steekt.
Gefelicteerd met het behalen van de hercitificering van de ISO 27001, Robert! Wat betekent de ISO 27001 voor Constant IT?
“Dank je wel! De ISO 27001 certificering betekent dat Constant IT zijn veiligheidsmaatregelen en security op orde heeft en deze regelmatig controleert. Dit is zowel goed voor het bedrijf zelf als voor de klanten, omdat het aantoont dat de veiligheidsmaatregelen effectief zijn en continu worden verbeterd.”
Waarom heeft Constant IT toendertijd ervoor gekozen om deze certificering te behalen?
“Er zijn meerdere redenen. Enerzijds willen we in controle blijven houden over onze eigen omgeving en de dienstverlening naar de klant op een veilige manier uitvoeren. Anderzijds zien we dat steeds meer klanten deze certificering van hun leveranciers vragen.”
Hoe werkt de audit voor de ISO certificering?
“De audit is een driejarenplan. Het eerste jaar wordt het hele beleid en de getroffen maatregelen gecontroleerd. Als je door de audit komt, mag je het certificaat gebruiken als bewijs dat je je zaken op orde hebt. De twee jaren daarna worden controle audits uitgevoerd op een deel van de punten die het eerste jaar zijn beoordeeld.”
Welke maatregelen heeft Constant IT genomen om aan de certificering te voldoen?
“De belangrijkste maatregel is het opstellen van een beleid voor het omgaan met IT-middelen op een controleerbare en veilige manier. Dit omvat zowel technische als beleidsmaatregelen, samengevat in een document. Ons security team voert regelmatige controles en steekproeven uit om te zorgen dat het beleid goed wordt toegepast.”
Kun je een voorbeeld geven van beveiligingsmaatregelen die jullie hebben genomen?
“Een voorbeeld van een technische maatregel is dat gebruikers alleen mogen inloggen met een veilig wachtwoord en multifactor authenticatie. Daarnaast proberen we dat mensen inloggen op diensten van derde partijen met hun Constant IT account, zodat er zoveel mogelijk sprake is van single sign-on.”
Wat waren de grootste uitdagingen in het certificeringsproces?
“Een van de grootste uitdagingen was de fusie met een andere partij, wat significante wijzigingen in de omgeving met zich meebracht. Dit vereiste een nieuwe risicobeoordeling en aanpassing van het beleid. Daarnaast moesten nieuwe collega’s up-to-date worden gebracht met het ISO-beleid van Constant IT.”
Hoe zie je de toekomst van de certificering?
“Ik verwacht dat het steeds lastiger wordt om aan de certificering te blijven voldoen, zeker met nieuwe wetgeving zoals de Cyberbeveiligingswet (Cbw). Constant IT zal de eisen van deze wet moeten integreren in ons controlemechanisme. Daarnaast zullen klanten steeds hogere beveiligingseisen stellen.”
Heb je aanbevelingen voor andere bedrijven die overwegen om de ISO certificering te behalen?
“Zeker. Ik raad andere bedrijven aan om goed na te denken of ze de certificering willen behalen, omdat het veel tijd kost en het bedrijf een nieuwe manier van werken moet hanteren. Heb je er niet veel verstand van? Dan raad ik zeker aan om een bedrijf in te huren om te helpen met de eerste stappen.”
Hoe kan Constant IT andere bedrijven helpen in dit proces?
“Constant IT kan bedrijven helpen met basis security maatregelen, controles, steekproeven, monitoring en het opstellen van documentatie zoals ICT-beleid, continuïteitsplan en risicoanalyse. Deze elementen zijn allemaal noodzakelijk voor het behalen van een certificaat als de ISO 27001.”
Bedankt voor het delen hoe jullie het certificeringsproces aanpakken. Op naar de volgende succesvolle audit!
Gerelateerd
Wij helpen
u graag
Heeft u een vraag of bent u benieuwd wat wij voor uw organisatie kunnen betekenen? Neem contact met ons op, wij staan altijd voor u klaar.