Het belang van ISO 27001 certificering voor een online leerplatform

24 January, 2020| Callista de Sterke| 3 min lezen

Hoe zorg je er als bedrijf voor dat je kan aantonen dat je serieus met gegevens van anderen omgaat? Wat is belangrijk voor onze klanten? Wat zijn onze grootste risico’s? Hoe kunnen we laten zien dat onze gegevens veilig zijn?

Het antwoord op die vraag is een ISO 27001 certificering. Elk afgegeven ISO-certificaat is 3 jaar geldig. Na ons vorige certificaat in 2016 behaald te hebben, zijn we in 2019 druk bezig geweest met onze hercertificering. Maar wat houdt zo’n certificaat nu in, wat moet je er voor doen en wat hebben opleiders en trainers eraan die gebruik maken van ons leerplatform?

Dat legt Mayella (Legal & Quality) uit in dit interview.

aNewSpring heeft in december de hercertificering voor ISO 27001 behaald. Ik neem aan dat je het in de aanloop daar naartoe best druk hebt gehad?

“Ja, dat klopt! Een hercertificering is natuurlijk een spannend moment. 2019 heeft voor ons grotendeels in het teken gestaan van de vraag ‘Hebben we ISO de afgelopen drie jaar naar voldoende tevredenheid geïmplementeerd en daarbij niets cruciaals gemist?’.

We hebben er met veel mensen hard aan gewerkt om deze vraag volmondig met ‘Ja!’ te kunnen beantwoorden. En met trots kunnen we zeggen dat we de hercertificering voor ISO 27001 ineens hebben behaald.”

Waarom heeft aNewSpring er in het verleden voor gekozen om zich te certificeren op ISO 27001?

“Zo’n vier jaar geleden wilde aNewSpring heel graag aan de buitenwereld aantonen dat zij een betrouwbaar bedrijf zijn om mee samenwerken en processen zorgvuldig heeft ingericht. Intern was deze overtuiging er al, maar zonder een certificaat is dat moeilijk om dit naar buiten toe te bewijzen.

Meer dan ooit, en zeker met de komst van de AVG, is veiligheid van gegevens en informatie een belangrijke factor wanneer iemand een samenwerking aan wil gaan met een leerplatform, Learning Management System of authoring tool. Onze ISO-certificering maakt het mogelijk om te zeggen: “Kijk, hier is het bewijs dat we een betrouwbare partij zijn.”

Sinds de eerste certificering hebben we uiteraard ook verbeteringen in kaart gebracht om te kunnen garanderen dat al onze data en die van onze klanten veilig zijn.”

Hoe profiteren klanten van aNewSpring’s ISO 27001 certificering?

“De certificering kan klanten op drie manieren helpen: beveiliging van gegevens, integriteit/betrouwbaarheid van informatie en beschikbaarheid van informatie

Databeveiliging betekent dat mensen die niet bevoegd zijn geen toegang hebben tot de gegevens. Integriteit betekent dat onze interne en externe data veilig zijn en nauwkeurig blijven. En beschikbaarheid van informatie heeft te maken met de uptime target en response time van ons leerplatform.”

Wat heb je geleerd van het ISO certificeringsproces?

“Hoeveel het woord ‘informatieveiligheid’ in de praktijk nu echt omvat. Dat is een heel stuk meer dan ‘je bureau opgeruimd houden, vertrouwelijke informatie in een afsluitbare kast bewaren en het niet naar buiten brengen van gevoelige (bedrijfs)informatie’.

Als ISO Coördinator/Security Officer is mij duidelijk geworden dat informatie-veilig werken een rol speelt bij het overgrote deel van onze systemen en samenwerking, de samenwerking met leveranciers, de gegevens van medewerkers, de (fysieke) veiligheid van het kantoor zelf. Daarmee vormt het ook een belangrijk onderdeel dat meegenomen wordt in de langetermijnstrategie van ons bedrijf en is dus zeker geen op zichzelf staande activiteit of rol. Ook is continue verbetering de basis voor ISO en een kernwaarde van aNewSpring.”

Wat heeft Rickrolling te maken met ISO 27001 certificering?

“Haha, dat is inside information! Toen we iedereen bewust maakten van veilig werken, hebben we iedereen ook geïnstrueerd om zijn/haar computerscherm af te sluiten bij het verlaten van de werkplek. Natuurlijk wordt dat af en toe wel eens vergeten.

Wanneer dat gebeurt, grijpen collega’s hun kans en zetten zij de welbekende video van Rick Astley aan op de computer van die persoon. Dat liedje hebben we inmiddels dus wel een aantal keer gehoord! Al moet ik zeggen dat het screenlocken inmiddels wel heel goed is ‘ingeburgerd’. Zelfs als ik thuis werk en er verder niemand is, betrap ik mezelf er op dat ik mijn scherm automatisch afsluit als ik er even niet achter zit.”

Maak zelf gebruik van de video!

Je vindt 'm hier

Wat was het moeilijkste aan de ISO 27001 certificering?

“Het moeilijkste blijft om alle medewerkers bewust te maken én te houden van het belang van informatie-veilig werken en de processen die hiermee gepaard gaan. Iedereen focust zich natuurlijk het liefst op het behalen van resultaten binnen zijn/haar team en dan steekt de ‘droge’ materie van ISO daar soms toch wat minder spannend bij af.

Onze bedrijfscultuur is erop gericht dat iedereen zijn eigen beslissingen neemt. Dat is de manier waarop we werken. Hoewel er veel voordelen aan onze bedrijfscultuur zitten, kan het er ook voor zorgen dat het moeilijk is om dingen te veranderen. Middels zogehete awareness-sessies en regelmatige security updates proberen we iedereen van het belang van ISO 27001 bewust te maken en houden, en leggen we uit waarom bepaalde zaken cruciaal zijn – voor zowel ons als voor onze klanten.”

Wat was er leuk aan de ISO 27001 hercertificering?

“Op de eerste plaats natuurlijk dat we deze in één keer hebben behaald zonder grote bevindingen!

Daarnaast is het interessant om te zien hoe informatieveiligheid ‘groeit’ – dat het niet alleen gaat om ‘de juiste lijstjes’ op orde te hebben, maar dat door middel van samenwerking tussen alle teams het Information Security Management Systeem (ISMS) een stuk steviger komt te staan, en doorgroeit naar volwassenheid. De ‘groeispurt’ gaat natuurlijk ook gepaard met de nodige uitdagingen, maar het is leuk om hier met meerdere mensen over na te denken en plannen uit te werken voor hoe we dat het beste kunnen ondervangen en succesvol implementeren.”

Zijn er dingen die je voor jezelf anders doet vanwege ISO 27001?

“Behalve het op de automatische piloot locken van mijn computerscherm, ben ik voor privé-accounts ook een password management systeem gaan gebruiken. Voordat ik bij aNewSpring werkte, vond ik het prima om voor verschillende accounts een soortgelijk wachtwoord te gebruiken of deze in een (weliswaar beveiligd) Word-documentje op te slaan. Daar kan ik me nu echt geen voorstelling meer bij maken.”

Laatste vraag: waar ga je je de komende tijd mee bezighouden?

“Na de eerste ISO-certificering, volgt iedere drie jaar een hercertificering. Er wordt vanuit ISO verwacht dat een bedrijf ieder jaar ambitieuze doelstellingen formuleert voor wat betreft het (nog) volwassener maken en beter integreren van hun ISMS. Bij een hercertificering is dit extra belangrijk voor het behouden van de certificering.

Het komende jaar gaan we hard aan de slag met het verder integreren van ISO in al onze bedrijfsonderdelen en streven we ernaar dat het nog meer een vanzelfsprekend onderdeel wordt van hoe afdelingen werken; zowel binnen het team als met elkaar. Daarnaast willen we ons focussen op hoe we ISO nog beter kunnen inzetten als service naar onze klanten.”

Over ISO 27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Onze certificering toont aan dat aNewSpring voldoet aan alle wereldwijd vastgestelde doelstellingen en maatregelen en dat we ons Information Security Management System (ISMS) en alle relevante wet- en regelgeving uiterst zorgvuldig behandelen.

Alle doelstellingen en maatregelen waaraan moet worden voldaan voor ISO 27001 zijn te vinden in onze verklaring van toepasselijkheid. Uiteraard kunnen we op verzoek een kopie van ons ISO 27001-certificaat met u delen.

Visualiser Vindt kalmte in de chaos

Callista de Sterke

Een foto zegt meer dan duizend woorden, maar duizend woorden zijn zoveel meer waard met de juiste visuals.

Vind me op