Klant verhaal over hun ISO 27001 certificering traject
geschreven door Campai
Het verhaal achter onze ISO 27001 certificering
De ISO 27001 norm (officieel ISO/IEC 27001) is een internationaal erkende norm op het gebied van informatiebeveiliging. In de norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig in kunt richten om bedrijfs- en persoonsgegevens te beschermen tegen verlies of diefstal. Door je managementsysteem voor informatiebeveiliging vervolgens onafhankelijk te laten certificeren, laat je zien dat je voldoet aan alle eisen rondom informatiebeveiliging.
Wat houdt ISO 27001 in voor Campai?
Informatiebeveiliging is belangrijker en actueler dan ooit. We zijn ons bewust van onze rol, verantwoordelijkheid en voorbeeldfunctie naar onze klanten. Daarom hebben we het ISO 27001 traject behandeld als een kans om al onze processen en beveiliging tegen het licht te houden en te verbeteren. Voor het hele project hebben we een jaar uitgetrokken.
We doen het niet alleen
We hebben een gespecialiseerde security management tool ingericht, “base27”, waarmee audits een stuk efficiënter verlopen. Voor de procesbegeleiding selecteerden we Dxfferent, een bureau met pragmatische consultants en kennis van de ICT-branche.
Als certificerende instantie hebben we DigiTrust gekozen. En dat is heel goed bevallen. Goede en waardevolle audit.
ISO een moetje en moeizaam? Diederik en Campai bewezen het tegendeel. Elke keer weer zei Diederik: ” Nog ff dit tooltje en nog ff deze finetuning”. Campai gaat niet voor het WK, maar voor de Olympische Spelen. Supertof!
Jasper Horssen – Implementatieconsultant bij Dxfferent
Risico gebaseerde beveiliging
We zijn gestart met het in kaart brengen van alle risico’s. Een aantal incidenten uit onze branche heeft hiervoor realistische inspiratie gegeven. Zoals de Solarwinds-hack, een gerechtelijke uitspraak over de zorgplicht van IT-bedrijven en waarschuwingen van de FBI en US Secret Service aan het adres van Managed Service Providers zoals Campai.
Op basis van de geïdentificeerde risico’s hebben we een uitgebreid risicobehandelplan gemaakt, beleid geschreven, procedures ontwikkeld en awareness onder de medewerkers gecreëerd. Vervolgens hebben we de 114 technische- en organisatorische beheersmaatregelen uit de ISO 27002 toegepast en aanvullend onze ICT-omgeving nog eens extra beveiligd volgens de principes van het zero-trust security model.
Het principe van continue leren en verbeteren is essentieel voor ISO 27001. Ons security-team komt maandelijks samen om incidenten, ontwikkelingen en verbeteringen te bespreken zodat we voorop blijven lopen op het gebied van Informatiebeveiliging!
Wat betekent onze ISO27001 certificering voor jou?
De ISO 27001 certificering brengt veel voordelen met zich mee voor Campai, maar wat betekent het concreet voor jouw organisatie? Het ISO 27001 certificaat laat zien dat Campai:
- Bewust is van informatiebeveiligingsrisico’s en deze actief beheerd;
- Passende technische en organisatorische beveiligingsmaatregelen heeft genomen;
- Processen heeft ingericht die de beschikbaarheid, integriteit, vertrouwelijkheid en bescherming van informatie waarborgen;
- Het PDCA-concept (continu verbeteren) heeft geïntegreerd in al haar processen;
- Voldoet aan de eisen van de AVG;
- Een betrouwbare partner en adviseur is op het gebied van ICT en Informatiebeveiliging.
De lessen en ervaringen die wij hebben opgedaan in ons ISO 27001 traject passen wij daarnaast toe in onze dienstverlening. De ICT-audits die wij bij onze klanten uitvoeren hebben bijvoorbeeld veel gelijkenis met een ISO-audit. Ons doel is om de informatiebeveiliging bij al onze klanten naar een hoger niveau te kunnen tillen.
De scope van onze ISO-certificering
Het informatiebeveiligingsbeleid binnen Campai heeft betrekking op alle organisatieonderdelen van Campai, inclusief onze dienstverlening naar jou. De scope van het informatiebeveiligingsbeleid is;
Het beveiligen van informatie in relatie tot het adviseren, verkopen, leveren, implementeren en beheren van ICT-oplossingen, alsmede de ondersteuning en training van klanten op het gebied van infrastructuur, werkplek, cloud en security met behulp van partners.
