Al sinds 2018 voldoet Solmate aan de ISO27001 norm. ISO/IEC 27001 is de internationale standaard voor informatiebeveiliging (IB) en biedt een raamwerk voor het beheersen van bedrijfsrisico's die gerelateerd zijn aan informatiebeveiliging. Vorige week heeft Solmate weer haar periodieke heraudit behaald en blijft daarmee officieel ISO gecertificeerd. Een mooie aanleiding om in deze blog dieper in te duiken op wat de ISO norm voor Solmate precies betekent.
Het belang om ISO27001 gecertificeerd te zijn
Om deze vraag te beantwoorden moeten we terug naar de vraag waarom we dit eigenlijk doen. Onze klanten en partners verwachten dat wij professioneel en veilig te werk gaan. Wij werken veelal in opdracht van klanten en maken daarbij gebruik van de informatiesystemen van onze klanten. Tijdens deze werkzaamheden komen wij ook in aanraking met gegevens die onder de AVG vallen.
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Alhoewel een aantal specifieke eisen van het AVG niet gedefinieerd zijn in de ISO norm is de doelstelling wel hetzelfde namelijk, risicobeheersing en beperking van schade. Het voldoen aan deze norm is een manier om dit ook aantoonbaar te maken.
Implementatie van een managementsysteem
Om aan de ISO norm te kunnen voldoen hebben wij een managementsysteem (ISMS) geïmplementeerd. Dit systeem is het geheel van beleid en maatregelen die nodig zijn om te voldoen aan de norm. Het uitgangspunt voor de inrichting van het managementsysteem zijn onze bedrijfsrisico’s. In plaats van zo veel mogelijk risico’s af te dekken, concentreren wij op de risico’s die voor onze werkzaamheden en die van onze klanten van belang zijn.
Een voorbeeld van een bedrijfsrisico voor Solmate kan zijn: het verlies van reputatie, waardoor we het vertrouwen van klanten kunnen kwijtraken. Dit zou bijvoorbeeld veroorzaakt kunnen worden door het verlies van klantdata door een van onze collega’s. Deze beleidskeuze stelt ons in staat om focus aan te brengen en de scope te beperken tot relevante aspecten.
Het IB-beleidsuitgangspunten van Solmate
Maar wat betekent ISO27001 nu concreet voor Solmate op de werkvloer? Om te voldoen aan de ISO norm heeft Solmate hiervoor IB-beleidsuitgangspunten geformuleerd. Deze beleidsuitgangspunten worden gedeeld bij de aanstelling van (nieuwe) Solmate-collega’s. Ook op andere momenten zoals bij kwartaalmeetings wordt hier aandacht aan besteed.
Wat interessant is als kernachtige boodschap wanneer het gaat om een antwoord op deze vraag, zijn de principes die ten grondslag liggen aan het beleid, namelijk:
1. Vertrouwelijke data die je niet hebt, hoef je ook niet te beveiligen;
- weggooien
- archiveren, beveiligen
- pseudonimiseren, anonimiseren
2. Scheiding gegevens
- identificerende gegevens scheiden van de gegevens over de persoon
- vertrouwelijke data in datacenter
- geen lokale (op device) opslag van data
3. Sleep niet met vertrouwelijke data.
- niet kopiëren (mailen, printen, USB-stick etc.)
- geef alleen gecontroleerd toegang tot data.
4. Gedrag
- begrijpt het belang van informatiebeveiliging en privacy voor de organisatie, klanten en ketenpartners en handelt daarnaar.
- weet wat in onze samenleving en organisatie grensoverschrijdend is, handelt daarnaar en is daarop aanspreekbaar.
Deze principes vormen de leidraad voor het gedrag en de handelingen van onze professionals op de werkvloer en vormen daarmee een basis waarop wij veilig en verantwoordt omgaan met de risico’s van ons vak.
In ons DNA
Tijdens de implementatie van het managementsysteem hebben we gemerkt dat we veilig en verantwoord omgaan met informatie al sinds de oprichting van Solmate. Het zit in ons DNA. We hebben immers al ruim 20 jaar het vertrouwen van gerenommeerde bedrijven. De denk- en handelswijze is ons dus niet vreemd, maar doordat we ISO gecertificeerd zijn kunnen we dit nu ook aantonen en uitdragen.
