De grootste misverstanden rondom ISO27001 implementatie
SecureLogin is bezig met de implementatie van ISO27001. In een eerdere blogpost hebben we een introductie gegeven op het begin van ISO traject.
Om ons heen hebben we verhalen gehoord over ‘de horror van ISO implementatie’. In deze blog geven we enkele mogelijke knelpunten in het traject en hoe wij hiermee zijn omgegaan:“ISO27001 kost veel tijd en geld om te implementeren” ISO27001 implementeren gaat alleen lukken als je als bedrijf (lees; het management) ervan overtuigt bent dat ISO je bedrijf verder gaat helpen. Dit kan zowel qua sales zijn, maar zeker ook op het gebied van procesoptimalisatie.
Als je ISO de juiste prioriteit geeft dan zit daar als consequentie aan verbonden dat het implementeren geld en tijd gaat kosten. Probeer vooraf hier een schatting van te maken. Ter indicatie; de kosten voor SecureLogin bestonden uit de personeelskosten, auditkosten en de aanschaf van ons ISMS pakket. Dit zijn allemaal eenmalige kosten waar je op lange termijn van profiteert. Qua tijd zijn wij in Januari 2019 begonnen met de implementatie (ong. 16 uur per week) en hebben wij onze eerste fase audit eind mei ingepland. “Niemand binnen de organisatie heeft zin in ISO”. Toen wij aan ons ISO-traject begonnen was dit in zekere mate het geval. Om ISO27001 succesvol te implementeren zijn er twee cruciale aspecten. Ten eerste moet het management ISO27001 gecertificeerd willen worden. Daarnaast heeft het project een aanjager nodig.
Binnen SecureLogin hebben we ervoor gekozen om iedereen zoveel mogelijk mee te nemen in het ISO project. Dit hebben we gedaan door trainingen te organiseren, interviews te houden en presentaties te geven. We zijn blij te kunnen zeggen dat iedereen binnen SecureLogin op dit moment het nut van ISO27001 certificering inziet. Dit hebben we gerealiseerd door te focussen op de toegevoegde waarde van ISO en hoe dit de kans op fouten maken binnen ons gehele bedrijf vermindert. “ISO27001 doen we even en dan zijn we er klaar mee”. Dit zeker niet waar. ISO27001 bestaat uit een cyclus van 3 jaar. Elke 3 jaar verloopt het certificaat en komt de auditpartij langs om te kijken of je nog steeds voldoet aan de certificaateisen. Daarnaast is er elk jaar een controle om te kijken of er andere afwijkingen zijn gevonden. Als je eenmaal ISO27001 gecertificeerd bent, ben je dus zeker nog niet klaar. Het is wel zo dat het voor het eerst behalen van het certificaat het meeste werk kost. Echter, daarna blijft ISO altijd in het DNA en de processen van je bedrijf zitten. “ISO27001 is onoverzichtelijk en niemand weet wat te doen”. Ons implementatie traject is begonnen met het inlezen in de ISO27001 Guideline. Dit is geen spannende roman, maar geeft zeker inzicht in hoe dingen binnen ISO linken met elkaar.
In onze ISMS oplossing hebben we ervoor gekozen om zoveel mogelijk naar andere onderdelen binnen de ISO te verwijzen. ISO27001 is op zo’n manier opgebouwd dat alle verschillende onderdelen met elkaar verbonden zijn. Schematisch hebben we de volgende flow aangehouden: risico identificatie, Annex-A connectie, Procedures en policies. Door deze vaste structuur aan te houden kan je goed overzicht houden van je voorruitgang. Binnen SecureLogin is ervoor gekozen om de implementatie door 1 persoon te laten uitvoeren. Gezien onze bedrijfsgrootte (5-15FTE) was dit goed te doen. Hierdoor wisten alle betrokkenen altijd waar in het proces we ons bevonden. “We hebben ISO27001 en dus zijn we volledig veilig”. Hoe graag we dit ook zouden willen zeggen; dit statement is helaas niet weer. ISO27001 biedt een verzameling van ‘best-practices’. Als je ISO27001 succesvol hebt geïmplementeerd, kan je zeggen dat alle handvaten binnen je bedrijf aanwezig zijn om ‘veilig te zijn’. Echter, alle processen op papier moeten wel uitgevoerd worden.
In het laatste deel van deze serie zullen we terugkijken op het auditeringsproces, en (hopelijk) het behalen van het certificaat. Zelf ervaren hoe veilig en gemakkelijk SecureLogin werkt? Probeer het eens uit, nu 14 dagen gratis. Beat your passw***s