X

12 Mei 2020

Hoe in 2020 te certificeren voor ISO 27001, ISO 9001 en NEN 7510?

Als organisatie rondom informatiebeveiliging professionaliseren door van 250 tickets terug te gaan naar 50, volledig te voldoen aan de AVG en andere wet- en regelgeving of voorkomen dat uw organisatie een tender voor een zorgproject misloopt? Het kunnen allemaal redenen zijn om te certificeren voor ISO 27001 en NEN 7510 of ISO 9001.

Wat houden de normen precies in, waarom is het interessant om te certificeren en waarom zijn zoveel andere organisaties daar juist nu mee bezig? Cees Ippel is Senior Projectmanager bij AuditConnect en legt het graag uit.

Wat zijn ISO 27001, ISO 9001 en NEN7510?

  • ISO 27001
    De wereldwijd erkende norm voor informatiebeveiliging. Belangrijk om bijvoorbeeld processen volledig via de AVG (GDPR) in te richten, het managementsysteem voor informatiebeveiliging op orde te krijgen en houden. En om bijvoorbeeld datalekken en andere kwetsbaarheden binnen de organisatie te beperken of zelfs voorkomen.
  • ISO 9001
    De wereldwijd erkende norm voor kwaliteitsmanagement. Een maatstaf voor en uiting van transparantie en betrouwbaarheid, met aandacht voor alle processen binnen de organisatie waarmee gewerkt wordt aan producten of diensten die voldoen aan de behoeften, eisen en wensen van de klant.
  • NEN 7510
    Dé Nederlandse norm voor informatiebeveiliging binnen de zorg, om medische en patiëntgegevens op een veilige manier uit te wisselen en te beheren. Een aanvulling op de ISO 27001 voor zorgorganisaties en andere organisaties die ontwikkelen voor of leveren aan zorg(gerelateerde)instellingen.

Waarom certificeren?

Waarom organisaties ervoor kiezen om voor ISO 27001, ISO 9001 en NEN 7510 te certificeren? Ippel ziet twee duidelijke redenen: “Steeds meer van onze klanten kijken naar binnen. Ze zien dat kwaliteitsmanagement belangrijker wordt, willen hun informatiebeveiliging op orde hebben of zien specifieke uitdagingen op het gebied van de AVG, on-boarding van medewerkers en bijvoorbeeld verantwoordelijkheden van medewerkers. Afhankelijk van de concrete uitdagingen is certificering voor een van de genoemde normen dan interessant.” Hij vervolgt: “Andersom krijgen we vragen van organisaties die een tender zijn misgelopen of dreigen mis te lopen. Ze zien ineens de urgentie en willen zich graag laten certificeren. In de beide gevallen kan certificering voor ISO 27001, ISO 9001 en NEN 7510 van grote toegevoegde waarde zijn.”

In lijn met die tweede doelstelling is het voor steeds meer organisaties bovendien een marketing-tool. Om aan te geven dat hun kwaliteitsstandaarden van hoog niveau zijn (ISO 9001), om de zekerheid te bieden dat de informatiebeveiliging op orde is (ISO 27001) en om specifiek binnen de zorgsector te garanderen dat er goed wordt omgegaan met medische en patiëntengegevens (NEN 7510).

“Organisaties die nog geen verzuimprotocol hebben of merken dat het aantal tickets snel oploopt lopen risico’s. Dat is jammer, omdat er uitstekende beheersmaatregelen te nemen zijn om die risico’s te mitigeren. Volgens de internationaal erkende norm, mét aandacht voor de specifieke bedrijfseisen eisen,” aldus Ippel.

Die beheersmaatregelen voldoen met onze aanpak zoveel mogelijk aan de bedrijfseigen eisen. We mitigeren risico’s door de negatieve effecten van eerdere beleidsmaatregelen te verzachten, matigen, af te zwakken en te verlichten. Op die manier worden de beheersmaatregelen beter onderdeel van de bedrijfsvoering. Ze dragen bij aan de nieuwe werkwijze om te voldoen aan de norm, terwijl ze tegelijkertijd de basis vormen voor een kwalitatief sterkere bedrijfsvoering.

Interessant voor mijn organisatie?

Certificering voor ISO 27001, ISO 9001 en NEN 7510 is voor veel organisaties interessant. Sinds de nieuwe ISO 9001-norm van 2016 (ISO 9001:2015) is het niet meer het administratieve monster met papierwerk om het papierwerk, licht Ippel toe: “In 2016 werd de High Level Structure (HLS) ingevoerd. Het gaat om de risicoanalyse op alle processen. Het handboek is niet meer verplicht en procescontrole wordt in de norm niet meer gevraagd. Een belangrijke stap, waarmee de toegevoegde waarde voor veel meer bedrijven duidelijk is geworden.”

Hij noemt een paar voorbeelden van risico’s, die een ISO 9001-certificering helpt te voorkomen. “Stel dat een organisatie 3 accountmanagers in de buitendienst heeft. Wat gebeurt er als één van de drie matig rapporteert aan de salesmanager? Het genereert extra werk door na te bellen, om de werkelijke klantbehoefte te achterhalen. En op een vergelijkbare manier brengt inkoop risico’s met zich mee. Als niet goed duidelijk wie er mag inkopen, en voor welk bedrag. Makkelijk op te lossen in een functiematrix, dat volgt uit een organogram. Met taken en verantwoordelijkheden, die passen bij de functieomschrijving die is opgesteld. Heel praktische zaken, waar een ISO-certificering in kan voorzien.”

Hij wijst op de risico’s in bijvoorbeeld snelgroeiende organisaties. Het kwaliteitsmanagement schiet erbij in of de informatiebeveiliging is niet langer op orde. En specifiek in de medische sector zijn de risico’s zo mogelijk nog groter, bij specialisten die elkaar mailen en als het gaat om websites die niet waterdicht beveiligd zijn. Waardoor hackers toegang kunnen krijgen of de afspraken met een bouwer van software niet volgens de normen zijn. Grote risico’s voor organisaties, waarvoor als die eenmaal goed inzichtelijk zijn heel praktische beheersmaatregelen beschikbaar zijn om ze te verkleinen.

Tip: benieuwd hoe uw organisatie scoort volgens de ISO 27001, ISO 9001 en NEN 7510? De normen zijn bij de Nederlandse Norm, de naam van het nauwe samenwerkingsverband van de Stichting Koninklijk Nederlands Normalisatie Instituut en de Stichting Koninklijk Nederlands Elektrotechnisch Comité (NEC) (NEN) te downloaden. Schaf ze aan, neem ze door en ontdek in een paar stappen welke belangrijke risico’s uw organisatie mogelijk loopt:

  1. Download de norm
    Download de ISO 27001 (https://www.nen.nl/NEN-Shop/Norm/NENENISOIEC-270012017-en.htm), ISO 9001 (https://www.nen.nl/NEN-Shop/Norm/NENENISO-90012015-nl.htm) en/of NEN 7510 (https://www.nen.nl/Alles-over-NEN-7510.htm).

  2. Lees de norm
    Lees de relevante norm en ga binnen de organisatie na waar momenteel al aan wordt voldaan en waaraan nog niet. En waar dat wellicht wel belangrijk is op het gebied van kwaliteitsmanagement of informatiebeveiliging.

  3. Stel een Kwaliteitsmanager of Security Officer aan
    Stel (als die er nog niet is) een Kwaliteitsmanager (ISO 9001) of een Security Officer (ISO 27001) aan, die binnen de organisatie vaststelt wat er al is gebeurd en wat er nog moet gebeuren. En blijkt dat u daar hulp bij kunt gebruiken? AuditConnect levert maatwerk, net als Security Officers- en Kwaliteitsmanagers-as-a-Service. We maken een voorstel, als indicatie om aan te geven wat er nodig is om aan de belangrijke norm te voldoen en leveren indien gewenst ook de professionals die de benodigde ondersteuning kunnen bieden.

Tip: nog niet toe aan de norm, maar wel benieuwd wat de ISO 27001-certificering precies inhoudt? Cees van der Wens is ISO 27001 en NEN 7510 Consultant en Lead Auditor. Hij schreef het ISO 27001 Handboek.

AuditConnect: betrokken consultants

Bij AuditConnect zijn we trots op onze betrokken consultants. Die 50% van de tijd werken als consultant in implementatietrajecten bij onze klanten en 50% van de tijd als auditor werken voor een certificerende instelling (CI). Ze kennen beide kanten van de tafel, waardoor ze precies weten tegen welke praktische zaken uw organisatie aan kan lopen.

Onze consultants hebben tientallen, soms honderden bedrijven gezien. Ze kennen de concrete uitdagingen en weten ook bedrijfseconomisch te prikkelen. Om volgens de ISO 27001, ISO 9001 en NEN 7510 de informatiebeveiliging en kwaliteitsstandaarden te verbeteren, zodat het van grote waarde wordt voor de organisatie. Bovendien denken we graag mee over de juiste manier om alle gedocumenteerde informatie die daarbij komt kijken op de juiste manier te beheren. Waarbij u moet denken aan beleid, procedures, plannen, planningen, beschrijvingen, overzichten en resultaten. De juiste Management System Tool biedt daarvoor een uitstekende oplossing.

Benieuwd welke vragen onze consultants u zouden stellen en hoe ze uw organisatie volgens de Plan, Do, Check, Act-methode (PDCA) graag van dienst zijn? Bel ons op telefoonnummer 055 - 3010100, stuur een e-mail naar info@auditconnect.nl of gebruik ons online contactformulier (https://www.auditconnect.nl/nl/contact/). Cees Ippel en onze andere collega’s helpen u graag verder!

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect