blog.
ISO27001 & NEN7510 – Meer dan een papiertje aan de muur
Sinds 2019 is Whyellow gecertificeerd conform ISO 27001 en NEN 7510. Dit zijn de internationale standaarden voor informatieveiligheid. Met deze certificaten bewijzen we dat alle risico’s rond vertrouwelijkheid en beschikbaarheid van gevoelige informatie op adequate en integere wijze zijn afgedekt. Leuk zo’n certificaat aan de muur, maar wat zegt dat nu eigenlijk in de praktijk?
Als dienstverlenende organisatie vinden wij het niet alleen belangrijk dat we laten zien dat we werken volgens eisen. We willen er ook intern iets aan hebben en blijven verbeteren. Daarom hebben we een jaarlijkse controlecyclus ingericht, met bijvoorbeeld interne audits en een management review. Verbeterpunten en incidenten verwerken we en volgen we op in Jira.
“Sebastiaan Sloos, COO: Jasper en daarmee QSN heeft ons vorig jaar ondersteund bij het behalen van het ISO 27001 en NEN 7510 certificaat. We merkten dat het betrekken van een objectieve partij die goed in de materie zit echt van toegevoegde waarde is. Daarnaast is QSN qua flexibiliteit een partij die erg goed bij ons past. Vandaar dat we Jasper ook dit jaar weer hebben gevraagd om ons te begeleiden en ondersteunen in het auditproces.”
Interne audits doen we samen
Deze week was het weer zo ver. QSN Consultant Jasper stond weer op de stoep voor de interne audits. We organiseren deze interne audits bewust halverwege het kalenderjaar, omdat de externe audits aan het einde van het kalenderjaar gepland staan. Op deze manier zijn we twee keer per jaar extra scherp. Het interne auditproces hebben we ingericht volgens de Brown Paper methodiek aangevuld met 1 op 1 interviews over onze kritische processen. Dit was de tweede keer dat QSN’er Jasper de Brown Paper sessie heeft georganiseerd. Jasper had wat specifieke eisen, zoals Whyellow medewerkers betrekken die nog niet eerder getoetst waren en een echte dwarsdoorsnede van de hele organisatie inclusief de development teams.
Tijdens een Brown Paper audit komen auditees uit de volledige procesketen samen. Tijdens de audit wordt ingezoomd op oorzaken, knelpunten, achtergronden maar ook oplossingen. Hierdoor ontstaat direct een duidelijk inzicht, eigenaarschap en een geprioriteerd overzicht van verbeteracties.
QSN’er auditor Jasper blikt ook positief terug op de interne audit. ‘’Er zijn echt stappen gemaakt. Het managementsysteem is volwassener geworden. Ook leeft het onderwerp informatiebeveiliging echt binnen de organisatie. De kleinste incidenten worden al gemeld. Daar word ik heel blij van.’’
“Pieter Hoogestijn, Software Architect: de interne audit ging van start met de Brown Paper sessie waar we vanuit verschillende disciplines en perspectieven ons software ontwikkelproces onder de loep namen. Op deze manier vanuit een frisse blik het gehele proces nog eens door te lopen, aangevuld met de kritische vragen van Jasper, gaf ons ook nu weer waardevolle inzichten en verbeterpunten in het kader van informatiebeveiliging.
Ons ultieme doel
Ook worden we eind dit jaar weer door een onafhankelijke certificerende instelling bezocht en getoetst op de ISO 27001 en NEN 7510 eisen. We zullen blijven verbeteren, zodat onze klanten blijven geloven: ‘’geef ons je data, dan krijg je er rust voor terug’’. Dat is en blijft ons ultieme doel!