Het verhaal achter onze ISO 27001 certificering
De ISO 27001 norm (officieel ISO/IEC 27001) is een internationaal erkende norm op het gebied van informatiebeveiliging. In de norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig in kunt richten om bedrijfs- en persoonsgegevens te beschermen tegen verlies of diefstal. Door je managementsysteem voor informatiebeveiliging vervolgens onafhankelijk te laten certificeren, laat je zien dat je voldoet aan alle eisen rondom informatiebeveiliging.
Wat betekent ISO 27001 voor Campai?
Informatiebeveiliging is belangrijker en actueler dan ooit. We zijn ons bewust van onze rol, verantwoordelijkheid en voorbeeldfunctie naar onze klanten. Daarom hebben we het ISO 27001 traject behandeld als een kans om al onze processen en beveiliging tegen het licht te houden en te verbeteren. Voor het hele project hebben we een jaar uitgetrokken.
Team & Tools
Als je voor het eerst in aanraking komt met normenkaders en alle terminologie die daarbij komt kijken, is het best overweldigend. We zijn zelf gestart met Google en het handboek ISO27001 (aanrader) maar hebben snel gekozen om ons professioneel te laten begeleiden. In plaats van Word en Excel bestanden kozen we de security management tool “base27”, waarmee audits een stuk efficiënter verlopen. Voor de procesbegeleiding selecteerden we Dxfferent, een bureau met pragmatische consultants en kennis van de ICT-branche. Ons interne team bestond uit een directielid, twee security-specialisten en de Security Officer. Als certificerende instantie hebben we Digitrust gekozen.
ISO een moetje en moeizaam? Diederik en Campai bewezen het tegendeel. Elke keer weer zei Diederik: “Nog ff dit tooltje en nog ff deze finetuning”. Campai gaat niet voor het WK, maar voor de Olympische Spelen. Supertof!
Jasper van Horssen – Implementatieconsultant bij Dxfferent
Risicogebaseerde aanpak
We zijn gestart met het in kaart brengen van alle risico’s. Een aantal incidenten uit onze branche heeft hiervoor realistische inspiratie gegeven. Zoals de enorme Solarwinds-hack, een gerechtelijke uitspraak over de zorgplicht van IT-bedrijven en recente waarschuwingen van de FBI en US Secret Service aan het adres van Managed Service Providers zoals Campai.
Op basis van de geïdentificeerde risico’s hebben we een uitgebreid risicobehandelplan gemaakt, beleid geschreven, procedures ontwikkeld en awareness onder de medewerkers gecreëerd. Vervolgens hebben we de 114 technische- en organisatorische beheersmaatregelen uit de ISO 27002 toegepast en als aanvulling daarop onze ICT-omgeving nog eens extra beveiligd volgens de principes van het zero-trust security model.
Continu verbeteren
Het principe van continue leren en verbeteren (Plan-Do-Check-Act) is essentieel voor ISO 27001. Ons security-team komt maandelijks samen om incidenten, ontwikkelingen en verbeteringen te bespreken zodat we voorop blijven lopen op het gebied van informatiebeveiliging. Daarnaast werken we nauw samen met de Security Officers van collega IT-bedrijven in het samenwerkingsverband DutchMSP.
Wat betekent onze ISO27001 certificering voor jou?
De ISO 27001 certificering brengt veel voordelen met zich mee voor Campai, maar wat betekent het concreet voor jouw organisatie? Het ISO 27001 certificaat laat zien dat Campai:
- Bewust is van informatiebeveiligingsrisico’s en deze actief beheerd;
- Passende technische en organisatorische beveiligingsmaatregelen heeft genomen;
- Processen heeft ingericht die de beschikbaarheid, integriteit, vertrouwelijkheid en bescherming van informatie waarborgen;
- Het PDCA-concept (continu verbeteren) heeft geïntegreerd in al haar processen;
- Voldoet aan de eisen van de AVG;
- Een betrouwbare partner en adviseur is op het gebied van ICT en Informatiebeveiliging.
De lessen en ervaringen die wij hebben opgedaan in ons ISO 27001 traject passen wij daarnaast toe in onze dienstverlening. De ICT-audits die wij bij onze klanten uitvoeren hebben bijvoorbeeld veel gelijkenis met een ISO-audit. Ons doel is om de informatiebeveiliging bij al onze klanten naar een hoger niveau te kunnen tillen.
De scope van onze ISO-certificering
Het informatiebeveiligingsbeleid binnen Campai heeft betrekking op alle organisatieonderdelen van Campai, inclusief onze dienstverlening naar jou. De scope van het informatiebeveiligingsbeleid is;
Het beveiligen van informatie in relatie tot het adviseren, verkopen, leveren, implementeren en beheren van ICT-oplossingen, alsmede de ondersteuning en training van klanten op het gebied van infrastructuur, werkplek, cloud en security met behulp van partners.
Wil je het ISO 27001 certificaat of de Verklaring van Toepasselijkheid inzien of heb je een vraag over onze informatiebeveiliging, neem dan gerust contact op met onze Security Officer, Robert.