Waarom ICM koos voor de ISO 27001-certificering ICM Campus
Artikelen

Waarom ICM koos voor de ISO 27001-certificering

Julia Geelof
± 2 minuten

In een tijd waarin cyberaanvallen en datalekken dagelijks in het nieuws verschijnen, is het waarborgen van de veiligheid van gegevens essentieel voor elke organisatie. ICM besloot om de stap te zetten naar de ISO 27001-certificering en behaalde deze. Maar wat houdt deze certificering precies in, waarom is het belangrijk voor ICM, en hoe heeft het proces ons geholpen om nog veiliger met data om te gaan? Daar gaan we in dit artikel op in.

Wat is ISO 27001?

ISO 27001 is een wereldwijd erkende norm voor Information Security Management System (ISMS) – informatiebeveiligingsmanagementsystemen. Deze norm beschrijft de vereisten voor het beheren van gevoelige bedrijfsinformatie, zodat deze altijd beschermd is tegen een breed scala aan bedreigingen, zoals diefstal, verlies of ongeautoriseerde toegang. Door de ISO 27001-certificering te behalen, toont een organisatie aan dat zij voldoet aan de strenge eisen voor het beschermen van data, niet alleen intern, maar ook bij de samenwerking met externe partners en leveranciers.

Waarom wilde ICM ISO 27001-gecertificeerd worden?

Als opleidingsinstituut dat met gevoelige informatie van cursisten en medewerkers werkt was het behalen van deze certificering een belangrijke stap. Ik sprak met Geerte Schiermeier en Jorine van der Pas, projectmanagers van ISO, over ICM’s motivatie achter de certificering. Jorine legt uit: “Het belangrijkste argument is natuurlijk dat wij écht veilig willen zijn voor onze cursisten en medewerkers. De keuze om voor deze certificering te gaan was dan ook grotendeels vanuit deze wens.”

Daarnaast werd de certificering steeds meer een commerciële noodzaak. “Veel klanten, vooral in sectoren als de overheid en zorg, eisen dat hun samenwerkingspartners voldoen aan de normen van ISO 27001 om de veiligheid van hun gegevens te waarborgen. Wij willen die garantie kunnen bieden.” Daarnaast zorgt de jaarlijkse hercertificering ervoor dat ICM zich blijft verbeteren. “Vanaf nu wordt ICM ieder jaar opnieuw getoetst. Dit zorgt ervoor dat informatiebeveiliging niet enkel een eenmalig project is, maar een doorlopend proces van verbetering,” vertelt Jorine.

Het certificeringsproces en uitdagingen

Het proces naar de ISO 27001-certificering is niet eenvoudig en vereist een grote investering van tijd en middelen. Om het proces te versnellen, besloot ICM externe begeleiding in te schakelen van Kwinzo. Geerte: “Kwinzo is gespecialiseerd in het opzetten en inrichten van een ISMS en heeft ons geholpen met vraagstukken als: hoe zet je zo’n systeem goed op, waar moet je aan denken en wat moet je documenteren? Het was een leerproces voor ICM, waarbij we onze eigen processen en procedures kritisch onder de loep moesten nemen.

Hoewel ICM al een solide IT-infrastructuur had, waren er tijdens het proces gebieden die aandacht vroegen. “Een voorbeeld van zo’n verbeterpunt was het proces rond in- en uitdiensttreding. Het werd duidelijk dat de controle van de toegang van medewerkers tot systemen bij vertrek of een functiewijziging niet altijd goed werd uitgevoerd. Door met ISO aan de slag te gaan lukte het ons om zulke ‘gaten’ in de informatiebeveiliging te identificeren en op te lossen,” vertelt Geerte.

Een andere uitdaging was de balans zoeken tussen controle en vertrouwen – vertrouwen is een fundamenteel onderdeel van de cultuur van ICM. Dus de vraag was: hoe behoud je het vertrouwen dat zo kenmerkend is voor de organisatie, terwijl je tegelijkertijd zorgt voor de juiste controles op beveiliging? Geerte legt uit: “Door het certificeringsproces realiseerden we ons dat hier een kleine cultuurverandering voor nodig was, met als doel om de controle te omarmen als dagelijkse gang van zaken. We hebben nu een mooie balans kunnen creëren tussen het vertrouwen enerzijds, en het noodzakelijke controleren anderzijds.”

De impact op klanten en partners

De ISO 27001-certificering biedt klanten en partners het vertrouwen dat hun gegevens veilig zijn en dat ICM alles binnen haar vermogen doet om deze te beschermen. De certificeringsnorm schrijft voor dat ook alle externe leveranciers en samenwerkingspartners moeten voldoen aan dezelfde beveiligingsstandaarden. Dit betekent dat ICM haar leveranciers en partners actief toetst op hun informatiebeveiligingspraktijken. Zo ontstaat er een olievlek van bedrijven die samen zorgen voor goede databeveiliging.

Ook de ISO 27001-certificering halen?

“De certificering vereist betrokkenheid van alle afdelingen in de organisatie, van IT tot HR, en vergeet het management niet. Als projectmanager kun je het niet alleen, dus zorg dat er voldoende draagvlak is binnen de organisatie,” geeft Jorine als tip. “En onderschat het niet!” voegt Geerte lachend toe.

Wil je meer weten over de kwaliteit die ICM levert? Op deze pagina vind je een overzicht van alle keurmerken en certificeringen van ICM.