Hoera, wij hebben ons ISO 27001 certificaat behaald! Dat is op dit moment belangrijker dan ooit omdat er steeds meer hacks, ransomware, DDos en andere cyberaanvallen plaatsvinden. Wij besteden nu dus extra aandacht aan de beveiliging van onze bedrijfsgegevens en de persoonsgegevens die we verwerken.
We weten dat wij niet de enige zijn voor wie informatiebeveiliging (IB) een actueel thema is. Sinds 2018 is de AVG strikter van toepassing. Relatief nieuw dus en daarom worstelen nog veel organisaties met hoe ze dit precies in moeten vullen. En IB is zoveel breder dan alleen AVG. Vandaar dat wij graag met jullie onze ervaring en kennis delen. Van risicoanalyse tot certificering, in het ISO 27001 stappenplan hieronder lees je hoe wij dat gedaan hebben.

Hoe hebben wij dit gedaan?

  • Projectteam samengesteld
  • Goed verdiept in de ISO 27001
    (tip: lees het “Handboek ISO 27001” van Cees van der Wens)
  • Extern advies ingewonnen
  • Praktische voorbeelden gezocht bij partners
  • Ons eigen systeem ingezet
  • Een ISO 27001 stappenplan opgesteld en gevolgd
  • Stap 1: Het projectplan

    Het vastleggen van het doel, de aanpak, de planning, de project risico’s, het budget etc. Iedere afdeling was vertegenwoordigd met een extern adviseur als begeleider. In het projectteam hebben we een collega tot security officer bekroond (en opgeleid), die belangrijke taken krijgt in met name het beheer van het managementsysteem.

  • Stap 2: De nulmeting

    Waar stonden we nu ten opzichte van de eisen uit de ISO 27001 norm. Dat hebben we door een extern adviseur laten vaststellen. Dan is daarna helder wat er allemaal nog dient te gebeuren.

  • Stap 3: Onze huidige processen

    Het in kaart brengen en vastleggen van onze huidige processen in onze eigen software. Dat wilden we gezien de groei van de organisatie toch al doen maar nu met nog meer focus.

  • Stap 4: De risicoanalyse voor informatiebeveiliging

    Dit was een hele kluif maar absoluut nuttig en nodig om goede IB-maatregelen te treffen. Gelukkig hebben we goede tooling om die risicoanalyse te doen. 😉

  • Stap 5: Het IB-beleid

    Het opstellen en vastleggen van nieuwe beheersmaatregelen en diverse registers. Dat allemaal met de ISO 27001 bijlage A, in de hand. Alle 114 beheersmaatregelen uit de ISO 27001 bijlage A hebben we doorgenomen en waar nodig geïmplementeerd.

  • Stap 6: Het informeren en trainen

    Onze aangewezen security officer heeft voor alle huidige en nieuwe medewerkers een IB-training verzorgd zodat iedereen op de hoogte was van de juiste beveiliging. Verder hadden we periodiek overleg met het projectteam en informeerden wij alle collega’s over de voortgang tijdens onze maandelijkse vergaderingen.

  • Stap 7: Interne audits en controles

    Ook hierbij hebben we de expertise van een extern adviseur ingeschakeld. Na het uitvoeren van de audits en controles hebben we de bevindingen opgelost door ze als taken in ons eigen systeem op te nemen.

  • Stap 8: De managementreview

    Op basis van diverse analyses (SWOT, Stakeholders, risico’s etc.) hebben wij KPI’s, doelstellingen en verbeterplannen voor het komende jaar vastgesteld. Aan de slag met verbeteringen en het borgen daarvan.

  • Stap 9: Certificering!

    De externe auditor was onder de indruk van ons managementsysteem en zei zelfs dat hij nog nooit zo’n mooi, compleet en inzichtelijk managementsysteem gezien had! Als dat niet het delen waard is! #trotsoponzesoftware.

Na het doorlopen van dit ISO 27001 stappenplan heb je als het goed is het certificaat in de pocket, maar ben je zeker nog niet klaar! Blijf onze blogs in de gaten houden voor meer uitleg over wat er gebeurt na de certificering, hoe wij dagelijks omgaan met informatiebeveiliging en onze lessons learned. Ze zijn nu te lezen!

Nog vragen over hoe wij met onze Inception software ons ISO 27001 certificaat hebben behaald? Vraag dan een demo aan! Wij vertellen je heel graag meer over hoe wij jouw specifieke bedrijf kunnen helpen met informatiebeveiliging, en nog veel meer. Liever eerst nog even rondsnuffelen? Klik dan eerst eens rond op onze website onder het thema informatieveiligheid of download ons stappenplan.