Informatiebeveiliging structureel geborgd
Bij Lodder Software werken we continu aan verbetering binnen onze organisatie. Informatiebeveiliging is daarin een belangrijk onderdeel. Veel zaken hadden we intern al goed ingericht. Met ISO 27001 hebben we ervoor gekozen om dit ook extern te laten toetsen en structureel te borgen.
Die keuze maken we niet omdat het moet, maar omdat we het belangrijk vinden om informatiebeveiliging aantoonbaar serieus te nemen. Voor onze organisatie betekent dat: duidelijk beschrijven wat we doen, dit zorgvuldig uitvoeren, periodiek toetsen en blijven verbeteren.
Waarom ISO 27001
ISO 27001 is een internationaal erkende norm voor informatiebeveiliging. De certificering laat zien dat processen, verantwoordelijkheden en beheersmaatregelen op een gestructureerde manier zijn ingericht en bewaakt.
Voor Lodder Software is dat belangrijk, omdat informatiebeveiliging raakt aan de continuïteit, betrouwbaarheid en kwaliteit van onze dienstverlening. Door dit extern te laten toetsen, versterken we niet alleen onze interne organisatie, maar geven we ook extra zekerheid aan klanten en andere betrokken partijen.
Wat dit in de praktijk betekent
Voor klanten en relaties betekent ISO 27001 vooral dat informatiebeveiliging bij Lodder Software aantoonbaar is georganiseerd en geborgd. Dat geeft duidelijkheid en vertrouwen.
Daarnaast kan het in de praktijk ook tijd besparen. Wanneer aantoonbaar is dat processen en beheersmaatregelen goed zijn ingericht, scheelt dat vaak aanvullende vragen vanuit controles en accountants, zowel aan onze kant als aan de kant van klanten.
Wat er tijdens een audit wordt getoetst
Een ISO 27001-audit kijkt niet naar één los onderdeel, maar naar het bredere geheel van informatiebeveiliging binnen de organisatie. Daarbij wordt onder meer gekeken naar:
- de aandacht voor cybersecurity binnen de organisatie
- functiescheiding en verantwoordelijkheden
- privacy en AVG
- HR-processen
- netwerkbeheer en rechtenbeheer
- ontwikkelmethodieken
- intellectueel eigendom
- business continuity
- het in kaart brengen van risico’s en bedreigingen
- beleid en beheersmaatregelen
- de registratie en opvolging van incidenten
Het doel daarvan is niet alleen om te beoordelen of zaken op papier kloppen, maar vooral of processen in de praktijk werken en blijvend worden verbeterd.
Waarom wij dit structureel laten toetsen
Wij vinden het belangrijk dat informatiebeveiliging geen eenmalige actie is, maar een vast onderdeel van de organisatie. Door periodiek te toetsen, blijft het onderwerp actueel en geborgd.
De kern daarvan is eenvoudig: beschrijven, uitvoeren, toetsen en verbeteren. Als dat proces goed is ingericht, ontwikkelt de organisatie zich stap voor stap verder. Juist die structurele aanpak past bij hoe wij willen werken.
ISO 27001 en NIS2
Naast ISO 27001 volgen wij ook de ontwikkelingen rond NIS2. NIS2 is wetgeving op het gebied van netwerk- en informatiesystemen en raakt met name organisaties in en rondom kritieke sectoren, zoals de energiesector, digitale infrastructuur en andere essentiële ketens.
NIS2 is niet hetzelfde als ISO 27001, maar er is wel duidelijke overlap. Op verschillende onderdelen vraagt NIS2 om verdere aanscherping of verdieping. Hoewel Lodder Software niet in alle gevallen rechtstreeks onder deze wet valt, hebben veel van onze klanten daar wel mee te maken. Daarom vinden wij het belangrijk om hier tijdig op aan te sluiten en onze organisatie hier verder op voor te bereiden.
Een groot deel hiervan is al ingevuld. De resterende onderdelen worden de komende periode verder afgerond en doorgevoerd.
Documentatie
De beleidsverklaring rondom informatiebeveiliging wordt op deze pagina beschikbaar gesteld.
De Verklaring van Toepasselijkheid (VVT) en het ISO 27001-certificaat zijn op aanvraag beschikbaar.