Sinds in 2018 de nieuwe AVG van kracht is geworden, heeft het onderwerp informatiebeveiliging (IB) een vlucht genomen. Als je onze andere blogs over dit onderwerp gelezen hebt, ben je daar intussen van op de hoogte. Mensen en bedrijven maken zich steeds meer zorgen over privacy en IB. Kunnen mijn klanten erop vertrouwen dat hun gegevens veilig zijn in onze organisatie, in ons systeem en in de handen van onze werknemers? Zo ja, dan wil je dat natuurlijk ook communiceren aan de wereld met een mooi certificaat. En waar moet je dan op letten bij het behalen van je ISO 27001 certificaat?

Juiste motivatie

Veel bedrijven starten met de verkeerde motieven aan een informatiebeveiligingstraject. De aanleiding is vaak een klantvraag en dat maakt het een moetje. Ze kunnen zich niet voorstellen dat het een meerwaarde heeft voor hun organisatie en daarom voelen maar weinig directeuren zich verantwoordelijk om het goed te regelen. Iedereen wil voorkomen dat het misgaat, maar dat een norm en een managementsysteem ook daadwerkelijk de kans verkleinen dat het misgaat is nog niet voor iedereen duidelijk. Als je die verantwoordelijkheid eenmaal voelt zijn ISO 27001 en NEN 7510 mooie hulpmiddelen om je IB-doelen te behalen. En met een systeem als dat van Inception wordt dat nog makkelijker. Hoe meer je kan borgen in een systeem dat daarvoor gemaakt is, hoe minder inspanning het vraagt om zo’n systeem te onderhouden en steeds weer met vlag en wimpel door de audit te komen.

Volwassen organisatie

Een andere factor is het volwassenheidsniveau van een organisatie. Vanuit een norm kijken de auditors naar je processen. Dus als je die al duidelijk beschreven hebt met eigenaar en verantwoordelijkheden, dan is zo’n implementatie een stuk makkelijker. Is er helemaal nog niets? Dan begin je met het documenteren van je bedrijfsprocessen. Veel bedrijven vinden dat moeilijk. Elk bedrijf is anders. De norm beschrijft niet hoe je het moet doen maar dat je het moet doen. Dus heb je goed omschreven hoe jullie werken? Dan is het goed!

Goede Planning

Een ander belangrijk onderdeel is planning. Duidelijke afspraken over het samenkomen en de vervolgstappen. Iedereen heeft het altijd te druk, dus als je je werksessies niet goed plant maak je geen structurele voortgang.
Ook een deadline is belangrijk. Staat de stip te ver op de horizon? Dan is er altijd iets anders belangrijker. Dus plan die audit en geef het informatiebeveiligingstraject prioriteit!

Dek je risico’s en wek vertrouwen

Zoals in het begin al even genoemd werd, pakken maar weinig bedrijven het informatiebeveiliging traject op vanuit interne behoefte. Terwijl er zo veel redenen zijn om het goed aan te pakken. Geen imagoschade, geen boetes van de autoriteit persoonsgegevens, maar ook het vertrouwen dat je je klanten kan geven dat hun informatie veilig is bij jullie bedrijf. ISO 27001 is een internationale norm. Zo weet iedereen dat jouw IB op voldoende hoog niveau ligt. Je hoeft het wiel niet opnieuw uit te vinden om je risico’s te dekken. Door een norm te volgen maak je gebruik van heel veel jaren ervaring in verschillende organisaties.

Wil je meer weten over hoe wij ons ISO 27001 certificaat hebben gehaald? Lees dan ons stappenplan in deze blog.

Categories: Blog, Informatiebeveiliging /