Onlangs heeft Protify het bedrijf Aragorn begeleidt naar het behalen van een ISO 27001 certificering (informatiebeveiliging). Beide bedrijven hebben een aantal gezamenlijke klanten en waren daardoor geen onbekenden van elkaar. Zo heeft Protify een aantal klanten ondersteund in het certificatieproces, waarbij Aragorn als IT-dienstverlener aansloot bij audits om uitleg te geven over de IT-infrastructuur van deze klanten.
De aanleiding
Als IT-dienstverlener is een goede inrichting van informatiebeveiliging zeer belangrijk. Vanuit potentiële klanten kreeg Aragorn steeds vaker de vraag of zij over het certificaat ISO 27001 beschikten. Hoewel ze relevante regels en afspraken over informatiebeveiliging hadden opgesteld, was dit nog niet vertaald naar een managementsysteem.
De aanpak
Dit project is gestart middels het bespreken van het PvA (plan van aanpak), waarin de uitgangspunten van het project zijn vastgelegd. Vervolgens hebben we samen met Aragorn een GAP-analyse uitgevoerd. Doelstelling van deze analyse was inzichtelijk maken in hoeverre Aragorn al voldeed aan de voor hen relevante eisen uit de norm en welke stappen nog genomen moesten worden. Deze GAP-analyse heeft een dag in beslag genomen en is uitgevoerd in samenwerking met de directie, de managementassistente en één van de network-engineers. Deze medewerkers zijn ook bij de rest van het project betrokken geweest. Verder zijn er verschillende interviews met medewerkers uit alle onderdelen van de organisatie gevoerd. De resultaten van de GAP-analyse zijn door Protify in een rapportage inzichtelijk gemaakt. De belangrijkste conclusie was dat Aragorn al heel veel zaken op orde had, maar dat dit nog niet naar een managementsysteem was vertaald.
Het managementsysteem
Op basis van de uitkomsten van de GAP-analyse hebben we het managementsysteem opgezet. Als basis hebben we hier het digitale platform ProActive Compliance Tool (PCT) voor gebruikt. Er zijn verschillende sessies uitgevoerd, waaronder:
Procesanalyse: een sessie bedoelt om inzicht te verkrijgen in de primaire processen van Aragorn en de hierbij betrokken medewerkers, systemen, applicaties en informatie. Deze procesanalyse is gebruikt als basis voor het opzetten en implementeren van het managementsysteem. Het is immers de bedoeling dat het ISMS zorgt voor een veiligere bedrijfsvoering en voldoet aan de eisen uit de normen, zonder dat dit een onacceptabele impact heeft op de huidige manier van werken van de organisatie.
IT-infrastructuur: gericht op inzicht in de IT-infrastructuur van de organisatie,
Middelen: inzicht krijgen in de door de organisatie gebruikte IT-middelen en de inrichting hiervan.
Risicoanalyse: doel van deze sessie was de voor Aragorn onacceptabele risico’s in kaart te brengen en de beheersmaatregelen te bepalen.
Na iedere sessie is door Protify de eerste versie van de ISMS-documentatie opgesteld in de PCT. Deze uitwerkingen zijn steeds beoordeeld en aangepast door Aragorn en gezamenlijk gefinaliseerd tijdens onze tweewekelijkse voortgangsoverleggen. Tijdens deze overleggen werden ook de voortgang en openstaande vragen besproken. Daarnaast konden we gelijk adviseren over de inrichting en implementatie van de in de documenten beschreven onderwerpen.
Audits
Een paar weken voor de externe audit heeft de interne audit plaatsgevonden. Tijdens deze audit zijn het ISMS en de (plannen voor) implementatie besproken en is beoordeeld in hoeverre werd voldaan aan de relevante eisen uit de normen. Tijdens deze audit kwamen een aantal tekortkomingen aan het licht. Uiteraard zijn deze meteen besproken en werd er actie op ondernomen om op tijd klaar te zijn voor de externe audit.
De externe audit is uitgevoerd door auditoren van Brand Compliance en heeft plaatsgevonden op twee verschillende momenten. Eerst is er drie dagen de fase 1-audit uitgevoerd. Een week later volgde fase 2. Tijdens fase 1 van de audit zijn nog een paar tekortkomingen geconstateerd, welke gezamenlijk zijn verholpen. Hierna kon worden overgegaan tot certificering.
Certificering
Doordat Aragorn uiteindelijk voldeed aan alle relevante eisen werd de certificering behaald! Daarnaast heeft Aragorn door het inrichten van het managementsysteem een hoger niveau van informatiebeveiliging en verlaging van de risico’s bereikt. Het gehele project heeft uiteindelijk ongeveer 4,5 maand geduurd.
Managed services
Het behalen van een certificaat is stap één, het behouden van het certificaat en het blijvend voldoen aan de eisen uit de norm is het volgende. Hierom heeft Aragorn een managed services contract afgesloten met Protify. Vanuit dit contract ondersteunen we bij het onderhouden en continu verbeteren van het managementsysteem. Dit doen we onder andere door het bijwonen van de maandelijkse certificeringsoverleggen, het uitvoeren van interne audits en het bijwonen van de externe audits.
Meer informatie
Wil je als bedrijf ook gecertificeerd worden en wil je weten wat daar bij komt kijken? Neem vrijblijvend contact met ons op.
Comments