Het Arnhemse softwarebedrijf Avisi heeft met ingang van 18 juli 2017 de ISO/IEC 27001 certificering verkregen van Dekra. De officiële overhandiging vond eergisteren, 21 augustus 2017, plaats.
De belangrijkste reden om het certificeringsproces vorig jaar in gang te zetten was de toenemende vraag vanuit de klant, aldus Daisy Rasing – de Joode, security officer bij Avisi. ‘De klantgegevens worden nu gewaarborgd en volgens de norm beschermd. Volgens haar is het behalen van dit ISO-certificaat een mijlpaal: ‘Voor onze klanten is het heel belangrijk dat hun data wordt beschermd. Met dit certificaat tonen we aan dat wij hier bij Avisi niet alleen aandacht aan besteden, maar dat we ook voldoen aan internationale eisen.’
Ze vervolgt: ‘Om aan de ISO 27001 eisen te voldoen moesten we veel van wat we al deden zorgvuldig documenteren. Dit is van belang om de aantoonbaarheid van ons werk te borgen. Daarnaast is er veel werk gestoken in het security-bewustzijn van het gehele bedrijf. Als het gaat om informatiebeveiliging kan een klein foutje van één iemand namelijk al verregaande gevolgen hebben. Daarom geven we onder andere security-introducties voor nieuwe medewerkers, lunchlezingen voor al het personeel en houden we maandelijkse Techdays voor onze mensen en geïnteresseerde externe gasten. Tijdens deze bijeenkomsten passeert security ook met regelmaat de revue.’
Hoe profiteren reseller of eindklanten van deze certificering?
De security officer: ‘Het lastige van de beveiliging van klantgegevens is dat er nooit een garantie is. Er kan altijd iets misgaan, omdat maatregelen nooit voor 100 procent kunnen beschermen. Echter, deze risico’s worden vooraf geïdentificeerd op basis van kans en impact en zo nodig implementeren we extra maatregelen om scenario’s met een hoog risico mee te mitigeren. Bovendien betekent het ISO 27001-certificaat dat we voldoen aan een internationaal erkende norm. De klant kan vanaf heden dus zien dat onze informatiebeveiliging aan deze norm voldoet. Dat geeft vertrouwen.’
Rasing – de Joode benadrukt dat informatiebeveiliging een continu proces is. ‘Informatiebeveiliging is niet iets wat je kunt afvinken, maar iets wat je continu op orde moet houden. Het is echt een doorlopend proces, waarbij je je processen blijft verbeteren. De certificering is drie jaar geldig, dus na drie jaar volgt er weer een volledige audit. Bovendien komt er ieder jaar een controle, een mini-audit, om te kijken of we nog op de goede weg zitten.’
Welke aanvullende certificeringen willen jullie nog behalen?
De security officer: Wellicht dat we in de toekomst aanvullende certificeringen zullen behalen die passen bij onze dienstverlening. Op dit moment hebben we daar geen concrete plannen voor en zijn we trots dat onze manier van werken is beloond met als resultaat dat we het ISO27001-certificaat in de gang hebben hangen!
ISO 27001-certificering
De ISO 27001-norm richt zich op een procesmatige benadering van planning, implementatie, toepassing, bewaking, evaluatie en onderhoud en op de continue verbetering van het beheer van de informatiebeveiliging.