De meerwaarde van ISO27001 certificering

In 2019 kreeg ValueBlue het ISO27001 certificaat. Zo’n certificering krijg je voor drie jaar, dus deze loopt nog tot 2022. Maar elk jaar vindt er wel een vernieuwingsaudit plaats om er zeker van te zijn dat je bedrijf nog steeds voldoet aan de gestelde eisen van deze certificering. Tom de Ridder (CISO) en Jordy Dekker (COO/CTO) leggen uit wat zo’n audit inhoudt en het belang ervan.

“Twee externe auditors van het bedrijf DNV-GL kwamen een dag langs op kantoor en interviewden iedereen die iets te maken heeft met ons ISO-certificatietraject.  De vragen die werden gesteld hebben te maken met de invulling van onze informatiebeveiliging en hoe wij voldoen aan de eisen die hieraan gesteld worden.”

“Wij antwoordden met behulp van ons Information Security Management System (ISMS). In dit systeem leggen we links, allerlei documenten en informatie vast over hoe wij werken met informatiebeveiliging, welke processen daarmee gemoeid zijn en welke tools we daarbij gebruiken. Uiteraard hebben wij dat in BlueDolphin vastgelegd.”

DNV-GL is onder de indruk

“Tijdens het auditgesprek legden wij uit wat we doen, toonden wij deze processen en lieten we zien wat we hebben vastgelegd. Het mooie van ons ISMS binnen BlueDolphin is, dat alles direct opvraagbaar is. Als zij een kritische vraag stellen over bijvoorbeeld ons software-ontwikkelbeleid, dan staat in ons ISMS bij de beschrijving van dit proces een link naar het document waar dit beleid beschreven staat. Met één klik kun je dit direct laten zien.”

“Het belangrijkste waar de auditors naar keken is of het management systeem omtrent de informatiebeveiliging goed werkt, of de tools die je daarvoor gebruikt doen wat ze moeten doen en of de verslaglegging goed gebeurt. De auditors van DNV-GL zagen de meerwaarde en noemden ons product een fantastische, handige oplossing, die er voor zorgt dat je snel naar de informatie geleid wordt. Je hoeft niet te zoeken, er zit logica achter. Ze gaven aan dat de manier waarop wij het vastgelegd hebben in BlueDolphin zeer overzichtelijk is en een duidelijke meerwaarde heeft gegeven tijdens de audit. Het werd wel duidelijk dat ze onder de indruk waren van ons ISMS”, aldus Tom.

Zo’n audit is ook voor ons zeer waardevol

Jordy voegt daaraan toe: “Die meerwaarde geldt niet alleen voor hen. De kaders en richtlijnen waar we voor certificatie aan moeten voldoen, dwingen onszelf om onze organisatiestructuur en processen structureel te verbeteren. In eerste instantie is de gedachte dat je het stempel “ISO gecertificeerd“ moet hebben, zodat je klanten kunnen zien dat wij veilig werken. Maar tijdens het vastleggen kwamen we aandachtspunten tegen waar we intern verbeterslagen kunnen en moeten maken. Een verbeterpunt voor ons zat bijvoorbeeld in de opvolging van ons continuïteitverbeterplan. Wij doen wel periodiek dingen, maar we moeten dat continu doen en daar zit een verbeterslag. Daar waren we niet achter gekomen als we dit niet visueel hadden gemaakt.”

“We hebben vervolgens besloten ISO onderdeel te maken van onze strategische roadmap, waardoor het nu net als onze features, marketing, DevOps, sales en G&A in onze jaarplannen is opgenomen. Het dwingt ons om actief te sturen op verbeteringen. Hierdoor verhogen we onze eigen efficiëntie en professionaliteit. Zo’n audit is dus voor ons als bedrijf ook zeer waardevol, waar uiteindelijk onze klanten weer van profiteren”, zo zegt Jordy.

De conclusies die we kunnen trekken is dat wij trots zijn dat de auditors van DNV-GL onder de indruk zijn van ons product, maar vooral zijn we blij met de verlenging van ons ISO27001 Certificaat. We voldoen nog steeds aan de internationale norm voor informatiebeveiliging en bewijzen daarmee dat we de kwaliteit van de interne organisatie, processen en techniek structureel controleren en de kwaliteit van deze controle van hoog niveau is en blijft.