Blog
Interview: We zijn ISO 27001 gecertificeerd! En daar zijn we trots op.
We nemen onze verantwoordelijkheid op het gebied van informatiebeveiliging bijzonder serieus. Met deze certificering tonen we dat ook aan.
Maar wat houdt deze ISO-certificering in? Waarom is het belangrijk en wat merken klanten hiervan?
In dit interview geeft Sharon van der Aa, operationeel directeur QUBE ICT Solutions, meer duidelijkheid.
Wat houdt ISO 27001 in?
“Het zorgt ervoor dat wij effectief onze gegevens beveiligen conform de normen van deze internationale standaard.
Met deze norm kunnen we de vertrouwelijkheid, beschikbaarheid en integriteit van informatie zeker stellen.”
Waarom heeft QUBE zich laten certificeren voor ISO 27001?
“We vinden het voor zowel klanten als medewerkers noodzakelijk dat we, onder andere in verband met privacywetgeving en het toenemende risico op cyberaanvallen, correct met hun gegevens omgaan. Met deze certificering hebben we onze veiligheidsregels en normen gestructureerd. Dit geldt voor de veiligheid van klantgegevens, maar ook voor de leveranciers waar wij mee samenwerken.”
“We hebben gekozen voor een uitgebreide scope, waarbij zowel de primaire als ondersteunende processen van verkoop tot support, gecertificeerd zijn. Het security aspect komt bij QUBE in alle processen terug. Denk niet alleen aan beveiliging van data tijdens de projecten die we uitvoeren, maar bijvoorbeeld ook aan veilig personeel. Onze medewerkers hebben een geheimhoudingsverklaring ondertekend, ze zijn gescreend en we werken met 2-factor authenticatie. QUBE’rs zijn zich nu volledig bewust van hun verantwoordelijkheden op het gebied van informatiebeveiliging.”
Wat merken klanten van de certificering?
“Het geeft onze klanten de zekerheid dat we serieus met informatiebeveiliging omgaan. QUBE heeft een adviserende rol naar haar klanten. Zij moeten erop kunnen vertrouwen dat wij een veilige en betrouwbare partner zijn. Onze consultants werken bij onze klanten bijvoorbeeld op het IT-netwerk en met de financiële administratie. Zeer vertrouwelijke klantendata waar op een gepaste manier mee om moet worden gegaan. De maatregelen en procedures die we hanteren conform 27001 bieden hiervoor een juist veiligheidsniveau.”
“Een ander voorbeeld is dat de verwijdering van data op een gedegen manier plaatsvindt. Daarmee creëren we geen onnodige risico’s voor onszelf en onze klanten. Denk hierbij aan personeelsgegevens, maar ook aan logbestanden. Daarnaast kunnen we downtime beter voorkomen, omdat de security risico’s beheersbaar zijn.”
Moet QUBE ieder jaar opnieuw gecertificeerd worden?
“Nee deze certificering is drie jaar geldig. We hebben één keer per jaar een externe audit waarbij gecontroleerd wordt of we nog aan zowel ISO 27001 als 9001 voldoen. Na drie jaar vindt hercertificering plaats.
“Via interne audits houden we zelf tussentijds een vinger aan de pols. Zo controleren we of we ons procesmatig blijven houden aan de beveiligingsmaatregelen. Om te zorgen dat er intern structureel aandacht is voor het onderwerp, is security een terugkerend agendapunt bij het maandelijkse directieoverleg en tijdens de Team QUBE-meetings met al onze medewerkers.”
Wat was de grootste uitdaging tijdens deze ISO-certificering?
“We hebben er bewust voor gekozen om zélf ons informatiebeveiligingssysteem vorm te geven conform de norm, en hier geen externe consultant voor ingehuurd. Het was een intensief project, maar dankzij deze interne inzet kunnen we inmiddels lezen en schrijven volgens de norm, en staan we volledig achter de keuzes die we hebben gemaakt omtrent beveiliging.
Ik ben heel trots op hoe we als QUBE’rs de norm succesvol hebben kunnen vertalen naar een systeem dat past bij onze organisatie en onze werkwijzen. Dat geeft ons het vertrouwen dat we daadwerkelijk begrijpen wat conform de norm van ons verwacht wordt.
Daarmee kunnen we wel zeggen dat deze ISO-certificering QUBE op alle niveaus naar een hoger plan heeft getild.”