ISO 27001 | Vindicta

Door Marise Goedhart op 27 oktober 2020

Ondanks alle sociale beperkingen en minimale kantoorbezetting vanwege COVID-19, gaan sommige dingen gewoon door. Dat geldt zeker voor de periodieke audits voor onze ISO-certificeringen. Dit jaar hadden wij weer de controle audit van onze ISO 27001 certificering door een externe consultant. Met dit certificaat laten we sinds 2013 zien dat we bij Vindicta voldoen aan alle eisen van informatiebeveiliging. Voor onze klanten is dat belangrijk en voor onszelf natuurlijk ook.

Risicomatrix

Betekent een ISO 27001 certificaat dat je als organisatie geen fouten meer maakt? Nee. Onmogelijk. Waar mensen werken, worden immers fouten gemaakt, dus ook bij ons. Het gaat er daarna om wat je doet om de oorzaak te achterhalen, de fout te herstellen en een maatregel te implementeren om de fout in de toekomst te voorkomen. Op die manier zal het aantal fouten altijd minder worden. Bij Vindicta hebben we alle risico’s, dus kansen op fouten, in kaart gebracht in een risicomatrix. Vervolgens hebben we daar maatregelen aan gekoppeld, die ervoor zorgen dat we deze risico’s zo min mogelijk lopen en dat de impact beperkt blijft als het wel een keer mis gaat. In deze risicomatrix is ook goed inzichtelijk welke risico’s een lage of hoge impact hebben. Zie hieronder een mooi overzicht van de verschillende soorten risico’s.

42342590 1932104413572502 1637724656926457856 O

 

Lerende organisatie

Ondanks alle voorzorgsmaatregelen gaat er wel eens iets mis. Bijvoorbeeld een afdeling is niet beschikbaar in verband met ziekte/COVID-19, hierdoor kan een proces niet doorlopen. Of het installeren van een update duurt langer dan verwacht, waardoor een server niet beschikbaar is. Al dat soort incidenten registreren we in Topdesk. Als een incident betrekking heeft op beschikbaarheid, integriteit of vertrouwelijkheid, krijgt het een markering en ontvangt het ISO-team een melding. Dit team beoordeelt de melding en koppelt het aan een risiconummer uit de matrix. Met behulp van dat risiconummer zijn we in staat rapportages te maken, waarmee we kunnen zien of maatregelen nog voldoen of moeten worden aangepast. Dit is ook wel bekend als ‘Plan, Do, Check, Act’. Er wordt een maatregel bedacht, deze wordt doorgevoerd, deze wordt gecontroleerd via rapportages en eventueel aangepast indien deze nog niet voldoende werkt.

Voor de bovengenoemde incidenten zijn er binnen Vindicta maatregelen in place dat indien zoiets optreedt er een maatregel gestart wordt om de impact laag te houden. Bijvoorbeeld een vervangingsmatrix die ervoor zorgt dat mocht een afdeling niet beschikbaar zijn er direct bepaalde medewerkers het werk kunnen overnemen.

Cyclus

 

ISO 27001 is een continu proces

Het verbeteren van je dienstverlening is nooit klaar. Elke dag zijn we met het hele team alert op mogelijkheden om ICT nog stabieler, sneller en veiliger te maken. Een consultant die onze certificering toetst, kijkt niet alleen naar de wijze waarop we onze processen hebben beschreven. Er vindt ook toetsing plaats op de werkvloer door te kijken of iedereen op de hoogte is van de procedures en of er conform die procedures wordt gewerkt. Het helpt ons de dienstverlening naar onze klanten continu te verbeteren.

Mocht je zelf als bedrijf bezig zijn met een ISO-certificering of heeft een klant van je hiermee te maken? Neem dan contact op met Gijs Viester: 085 – 2733 980.