Soepel en solide certificeringstraject met Sensus BPM Online

Sensus process management heeft het ISO 27001-certificaat behaald. “Dat laat zien dat Sensus de veiligheid van informatie van klanten zeer serieus neemt en dat we als organisatie in detail hebben nagedacht over de inrichting van onze beveiligingscyclus,” zegt Monique van Dodewaard, die aan de wieg stond van de certificering. Het is belangrijk nieuws voor bestaande en nieuwe klanten van Sensus. Die verlangen namelijk steeds vaker dat samenwerkingspartners de informatieveiligheid waarborgen volgens ISO 27001-normen. De weg naar de externe audit is voorbereid met de eigen Sensus-programmatuur. Die heeft bewezen daar uitermate geschikt voor te zijn. Ook dat is goed nieuws.

Informatieveiligheid

Nergens zijn de juiste maatregelen om de data van klanten te beschermen zo belangrijk als bij een softwarebedrijf zoals Sensus. Veiligheid staat er dan ook vanouds hoog in het vaandel. Bij ISO 27001 gaat het niet alleen over cybersecurity, dus de inrichting van de ICT-informatieveiligheid, maar bijvoorbeeld ook over het veiligstellen van klantgegevens en archieven in een kast, en van papieren op een bureau. En over het screenen en beschermen van de persoonlijke gegevens van collega’s en partners. Kortom: het vraagt om een Information Security Management System over de volle breedte.

Binnen Sensus is Monique van Dodewaard specialist in procesmanagementtrajecten die een certificering tot doel hebben. En hoe vaak zij ook met hetzelfde bijltje heeft gehakt, dit project viel haar niet mee. “Tot nu toe had ik nooit te maken gehad met certificering op het gebied van informatieveiligheid. Als softwarebedrijf moeten wij veel extra maatregelen treffen om de veiligheid te waarborgen. Bij klanten gaat het meestal om ISO 9001, een heel ander certificaat, op een heel ander terrein.”

Gezamenlijke inzet

Als de informatieveiligheid in het geding is, is de impact doorgaans groot. Bijna dagelijks berichten de media over hacks, datalekken en cyberaanvallen. Voorjaar 2020 was het raak bij organisaties die een Citrix-omgeving gebruiken om veilig met elkaar te kunnen werken. Een beveiligingslek dwong Luchthaven Schiphol, de Tweede Kamer en verschillende ministeries om hun Citrix-servers offline te zetten. Ook bij de Universiteit Maastricht ging het mis. Door een datalek konden honderden studenten opeens niet meer inloggen.

In de aanloop naar de externe audit heeft Monique van Dodewaard tal van Sensus-medewerkers geïnterviewd. “Doorgaans mag je daarbij niet rekenen op groot enthousiasme. ISO wordt vaak gezien als een verplicht nummer. Ik was verrast door de inzet en betrokkenheid van onze eigen mensen. Daar mogen we best trots op zijn. Het geeft aan dat iedereen bij ons zich bewust is van het belang van informatieveiligheid. Alle lof dus voor ons team, ook voor de manier waarop zij de beveiliging hebben ingericht.”

Ideale tool

“Welke ISO-norm je ook wilt halen, je moet altijd eerst je processen beschrijven en laten zien hoe je processen in elkaar zitten. Uit dat traject komen bevindingen voort, die je vervolgens opvolgt met acties, zodat je meteen ook bezig bent met kwaliteitsmanagement en verbetermanagement. Je moet een managementsysteem optuigen met een cyclus van plan – do – check – act. En jaarlijks een risico-inventarisatie doen, continu checken of je informatiemanagementsysteem past binnen je eigen normen, en je maatregelen volgen en borgen. Wij hebben de normen van ISO 27001 en de risico’s en beheersmaatregelen die daarbij horen in ons systeem gekoppeld. Doordat je nu duidelijk ziet welke normen en beheersmaatregelen welke processen afdekken, kunnen risico’s goed geborgd worden.”

“Veel klanten zijn momenteel bezig met een ISO-certificering. Sensus BPM Online heeft aangetoond daar een ideale tool voor te zijn. Dankzij Sensus BPM Online was onze eigen certificering een goed georganiseerd project. Naast het certificaat leverde het ook een goed werkend kwaliteitssysteem op, dat waarborgt dat we op een veilige manier omgaan met data van klanten.”

Download gratis de blogbundel:
Onze reis naar ISO 27001 certificering