Transitietijd! Het ISO-certificeringstraject in de spotlight [deel 3]

Dat het bij Visma Solidbricks transitietijd is, las je al in deel 1 en deel 2 van deze blogreeks. Daarin vertelde Marien Vlug, quality-coördinator van het ISO-certificeringstraject, over de ISO 9001-certificering die we hebben behaald. Maar daar hield het niet bij op. In het kader van informatiebeveiliging zijn we daarna doorgegaan met de ISO 27001-certificering, die we inmiddels ook binnen hebben. Hoe dat traject verlopen is, vertelt Marien vandaag!

ISO 27001: aantonen dat je informatiebeveiliging écht op orde hebt

“De ISO 27001-certificering gaat niet alleen over Visma Solidbricks,” vertelt Marien. “We hebben te maken met een gecombineerd certificaat. De Visma Group heeft al jarenlang een overkoepelende ISO 27001-certificering voor veel van haar bedrijven. Nu wij de ISO 27001 binnen hebben, vallen we onder deze overkoepelende certificering, die zich almaar uitbreidt.”

Maar wat is dat nu eigenlijk precies: de ISO 27001-certificering? “Middels uitgebreide checklisten wordt gekeken of je overal aan gedacht hebt op het gebied van informatiebeveiliging,” legt Marien uit. “Je moet precies opschrijven wat je in dit kader doet. Er zitten allemaal hoofdstukken in die je in een specifieke volgorde afwerkt. Per hoofdstuk beantwoord je allerlei vragen om aan te tonen dat je de zaken écht op orde hebt.”

Van leiderschap en support tot het gebouw: wat kwam er allemaal aan bod?

Het proces klinkt uitgebreid, maar ook abstract. Wat heeft Visma Solidbricks concreet gedaan om de ISO 27001-certificering te behalen?

“Er zijn zeven hoofdpunten,” vertelt Marien. “Allereerst leg je uit hoe je organisatie eruitziet. Vervolgens komt het onderwerp ‘leiderschap’ aan bod: hoe stuur je je bedrijf aan? Wanneer je dat uiteengezet hebt, toon je aan hoe jouw organisatie zorgt dat alles netjes verloopt en compliant is. Daarna bespreek je hoe jij ondersteuning levert en op welke wijze je met klanten omgaat. Je interne manier van werken is net zo belangrijk: je moet aangeven welke methodes je precies gebruikt om je werk uit te voeren. Ook vertel je hoe je meet of je jouw doelen bereikt. Ten slotte ga je in op de interne verbeterprocessen: voor de ISO 27001-certificering is het cruciaal om uit te leggen hoe je deze hebt ingericht.”

Een hele waslijst aan punten! Maar er was nog méér. Marien: “De certificering vereist ook dat je de controlepunten binnen je organisatie specificeert. Dit betekent dat je bijvoorbeeld aantoont hoe je de tevredenheid binnen je organisatie meet. Daarnaast moet je vertellen op welke wijze je omgaat met personeel: hoe zijn de onboarding- en offboardingprocedures ingeregeld? Bij het aannemen van nieuwe mensen leggen wij bijvoorbeeld uit hoe het zit met veiligheid en hoe wij denken over kwaliteit. Dat hebben we nu dus allemaal moeten vastleggen.”

En dan is er óók nog het gebouw waar je gevestigd bent, zegt Marien: “Voor de ISO 27001-certificering moet je kunnen aangeven dat je alles daar netjes op orde hebt. Daarnaast is het cruciaal om te laten zien dat je de zaken technisch veilig hebt ingeregeld. Er is echt aan alles gedacht!”

Meer licht aan het eind van de certificeringstunnel

Als quality-coördinator en securitymanager beseft Marien als geen ander hoe belangrijk oog voor detail is wanneer het gaat om informatiebeveiliging. Hij ging dus niet over één nacht ijs. “We hebben een intensief proces doorlopen en hebben daarbij verbeteringen en aanscherpingen doorgevoerd,” zegt hij. “Dat geldt voor de trajecten rondom ISO 9001 én ISO 27001.”

Maar aan het eind van de certificeringstunnel schijnt meer licht dan voorheen: “Dit overkoepelende geheel van stappen die we in de afgelopen tijd doorlopen hebben, zorgt dat we als organisatie nog beter in control zijn. Onze klanten weten nu met meer zekerheid dat we met een zeer kritische en actuele blik hebben gekeken naar een onderwerp als beveiliging. Met onze verscherpte processen en onze certificeringen op zak gaan we de toekomst met verve tegemoet!”