Financieel directeur Ronald Mom (links) en Kwaliteitscoördinator René van Hout (rechts) tonen trots het behaalde certificaat.
ISSYS ICT is geslaagd voor de ISO 27001 certificering. Deze certificering mochten zij afgelopen week, onder genot van een lekker stukje taart, in ontvangst nemen. Het behalen van dit certificaat was het uitgelezen moment om kwaliteitscoördinator René van Hout enkele vragen te stellen.
Wat is ISO 27001? En is dit de eerste ISO-certificering die ISSYS ICT heeft behaald?
ISO staat voor International Standards Organisation. Een van de ‘Standards’ is 27001, deze gaat over informatiebeveiliging. ISO 27001 richt zich daarnaast op een procesmatige benadering van planning, implementatie, toepassing, bewaking, evaluatie en onderhoud. ISO 27001 is niet het eerste ISO-certificaat dat wij behaald hebben, wij zijn ook in het bezit van ISO 9001 de norm voor kwaliteitsmanagement; ISO 20000 de norm voor IT Service Management; en nu ook NEN 7510 de Nederlandse Norm voor informatiebeveiliging in de zorg.
Kun je wat meer vertellen over de eisen waar ISSYS ICT aan moet voldoen en waar met name aan gewerkt moest worden om ISO 27001 te behalen?
Begin april 2019 zijn we begonnen met een risicoanalyse, waarbij we voor de belangrijkste systemen hebben gekeken naar de mogelijke bedreigingen. Waar een rapport uit voort is gekomen. Hierin staan risico’s die gemitigeerd moeten worden en welke maatregelen hiervoor zijn gedefinieerd. Vervolgens worden deze maatregelen geïmplementeerd. Daarnaast moesten er 15 tot 20 verplichte documenten worden opgesteld, welke in fase 1 van de audit beoordeeld worden. In fase 2 van de audit wordt dan beoordeeld of ISSYS ICT de voorgeschreven maatregelen geïmplementeerd heeft.
ISO is een norm dat gezien wordt als bewijs van betrouwbaarheid. Hoe belangrijk was het voor ISSYS ICT om dit certificaat te behalen?
Er is telkens meer vraag naar het ISO 27001 certificaat onder zowel huidige als potentiële nieuwe klanten. Er zijn ook steeds meer aanbestedingen waar je dit certificaat voor nodig hebt om je in te kunnen schrijven. Daarnaast is het behalen van het certificaat intern ook belangrijk. Zoals ik net al benoemde hebben we een risicoanalyse uitgevoerd, dit maakt je als bedrijf bewust van allerlei zaken. We weten hierdoor ook dat het nog geen 100% is en dat we dus meer kunnen verbeteren, maar we zijn zeker goed op weg!
Vooruitkijkend naar de toekomst, wat kan het behalen van deze certificering betekenen voor ISSYS ICT?
Met de ISO 27001 en NEN 7510 certificering geeft ISSYS ICT het belang aan van informatiebeveiliging. Dit onderwerp, dat volgens ons ongetwijfeld steeds belangrijker zal worden, is als speerpunt opgenomen in ons beleid. Wij zullen ons dan ook blijven inzetten om nauwgezet de ontwikkelingen op dit gebied te volgen, zowel voor wat betreft bedreigingen en oplossingen als aanpassingen op de norm. Op basis hiervan passen wij ons beleid aan en implementeren wij de benodigde maatregelen.
Naast de vele voorzieningen op het gebied van informatiebeveiliging die ISSYS ICT reeds geïmplementeerd heeft, is het enorm belangrijk deze te toetsen aan de officiële normen om verbeteringen waar nodig en mogelijk door te voeren en de doeltreffendheid daarvan continue te toetsen.
Je benoemde eerder dat klanten specifiek vroegen naar de ISO 27001 certificering. Hoe belangrijk is klanttevredenheid voor ISSYS ICT?
Er zijn inderdaad steeds vaker strikte eisen omtrent normen en certificeringen vanuit nieuwe klanten. Zo is het NEN 7510 certificaat belangrijk voor zorginstellingen en ISO 27001 voor o.a. overheidsinstellingen. In het ISO-kader voor klanttevredenheid is het tegenwoordig een ‘must’ om aan deze eisen te voldoen.
Nu dat ISO 27001 behaald is, wat zijn de volgende certificeringen of doelstellingen die ISSYS ICT wil behalen?
Ik ben meteen doorgegaan met ISO 20000. Wij zijn al in het bezit van de ISO 20000 norm van 2011, deze norm is echter vernieuwd naar de 2018 norm. Vanaf 31 maart worden hercertificeringen door externe auditors tegen de 2018 norm beoordeeld en niet meer tegen de 2011 norm. Daarom heb ik een GAP-analyse gemaakt om te kijken wat de verschillen tussen de twee normen zijn, zodat wij bij de volgende beoordeling voldoen aan de nieuwe norm. Deze audit staat gepland voor juni dit jaar.
