Ultraware ISO-gecertificeerd!

Blog-ISO_gecertificeerd-2.jpg
17 dec. 2018

Sinds oktober 2018 is Ultraware 27001 ISO-gecertificeerd én NEN 7510-gecertificeerd. ISO-27001 betekent dat we voldoen aan de wereldwijd erkende norm op het gebied van informatiebeveiliging. De NEN7510 is een aanvulling die specifiek ingaat op informatiebeveiliging in de zorg. Een mooie kroon op anderhalf jaar voorbereidend werk om onze processen nog beter in te richten m.b.t. informatiebeveiliging.

Waarom een ISO-certificering?
Je kunt niet alles voorkomen, maar wel risico’s verkleinen. Vandaar dat we stappen hebben gezet richting deze ISO-certificering. Security zit al jaren in ons DNA als het gaat om het bouwen van software. Wij zien veilige software niet als keuze, maar als pure noodzaak. Twee jaar geleden besloten we onze blik te verbreden. We wilden niet alleen bezig zijn met veilige software, maar informatiebeveiliging in de volle breedte oppakken. Wij zijn nu eenmaal een IT-dienstverlener en werken met veel gevoelige data. Het is gewoonweg onderdeel van ons werk. En daar willen we op een verantwoorde wijze mee omgaan, zodat onze klanten met recht erop kunnen vertrouwen dat hun data veilig is.

“Je kunt niet alles voorkomen, maar wel risico’s verkleinen. En dat is precies wat we doen.”
- Maarten, QA manager en scrum master


Anderhalf jaar voorbereiding
Rond de zomer van 2017 hebben we Michiel Beijer van Surity BV in de arm genomen, want waar begin je? We zijn enorm goed begeleid door Michiel in de tussenliggende periode. Hij nam ons mee in wat we allemaal moesten doen om de certificering te behalen en hielp ons het bijbehorende managementsysteem te implementeren. In de praktijk merken we dat we het managementsysteem inmiddels niet alleen voor de optimalisatie van informatiebeveiliging gebruiken, maar ook voor andere optimalisaties. Niet enorm verrassend, want zo’n systeem past natuurlijk ontzettend goed bij onze manier van denken en werken.

Om het certificaat te behalen zijn we als organisatie getoetst op achttien hoofdstukken. Elk hoofdstuk benadert een deel van ons bedrijfsproces wat te maken heeft met informatiebeveiliging. Softwareontwikkeling is maar een klein onderdeel. Inkoop, systeembeheer en personeelsprocessen vallen daar bijvoorbeeld ook onder. Zelfs het verwelkomen en uitlaten van gasten komt aan bod. En zo’n auditor moet natuurlijk wel iets hebben om te kunnen toetsen. Dus hebben we de afgelopen anderhalf jaar vooral heel veel tijd gestoken in het uitschrijven van grotendeels al bestaand beleid. Aanvullend hebben we onze processen inzichtelijk gemaakt en een interne risicoanalyse uitgevoerd.


“In de praktijk merken we dat we het managementsysteem inmiddels niet alleen voor de optimalisatie van informatiebeveiliging gebruiken, maar ook voor andere optimalisaties. Niet enorm verrassend, want zo’n systeem past natuurlijk ontzettend goed bij onze manier van denken en werken.”
- Maarten, QA manager en scrum master


Continu proces van monitoren en verbeteren
Wat doen we, waarom doen we dat en hoe kan het beter? Ja, we zijn gecertificeerd. Dat is echter geen eindstation, eerder het begin. Zo’n certificaat is namelijk 3 jaar geldig en elk jaar komt de auditor langs om subprocessen onder de loep te nemen en te checken of verbeterplannen en -adviezen ook zijn opgevolgd. En over 3 jaar? Dan krijgen we weer een complete audit van alle achttien hoofdstukken. Eigenlijk start het proces van monitoren en verbeteren nu pas echt, iets waar we continu aan blijven werken.

Wat betekent ISO-certificering voor onze klanten?
Klanten zullen niet heel veel verschil merken, omdat we altijd al bezig waren met informatiebeveiliging. We namen de klant al mee in de risico’s en gaven gerichte adviezen. We proberen nu, nog meer dan voorheen, uit te leggen wat de risico’s en bijbehorend advies inhouden. Informatiebeveiliging is een hoop abracadabra als je er niet dagelijks mee bezig bent. En als partner van onze klanten begrijpen we de behoefte aan duidelijke uitleg maar al te goed.


Doorgaan met wat we al deden en meer
Uit de officiële audit kwam naar voren dat we op veel vlakken al heel veilig bezig zijn. Soms misschien onbewust. We zijn ons als IT-bedrijf bewust van elke stap die we zetten en zoals we al zeiden, dit maakt onderdeel uit van ons DNA. We waren dus al goed op weg, maar het kan altijd beter. We blijven ook op het gebied van informatiebeveiliging continu optimaliseren!

Meer weten?
Neem contact op met Maarten en hij vertelt je hier met plezier meer over. Bel ons of laat een berichtje achter.

© 2019 Ultraware Consultancy and Development B.V. All rights reserved.