04-02-2015 16:29:41

ISO/IEC 27001 is, zoals wellicht bekend, een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en verbeteren van een ISMS (Information Security Management System), een systeem voor het beheren en beheersen van informatiebeveiliging. Belangrijk hierbij is dat informatiebeveiliging beschouwd wordt als een proces wat altijd een belangrijke rol speelt en blijft spelen binnen onze organisatie.

Sinds 1 januari 2011 zijn we bij BIT ISO/IEC 27001 gecertificeerd. Deze certificering is toentertijd tegen de 2005-versie van ISO/IEC 27001 gedaan. In de tussentijd zijn de mensen die binnen de werkgroep verantwoordelijk zijn voor ISO 27001, druk bezig geweest om de laatste hand te leggen aan een nieuwe versie van ISO/IEC 27001.

Deze nieuwe versie van ISO/IEC 27001 werd in september 2013 officieel gepubliceerd. Een voor ons niet zo gunstig moment omdat we op dat moment net bezig waren met de hercertificering. Hierdoor was het niet haalbaar om op dat moment al tegen de nieuwe -veranderde- norm te certificeren. Het was wel mogelijk om bij een tussentijdse (volgende) audit het huidige certificaat te upgraden naar de 2013-versie.

In het afgelopen jaar zijn we druk bezig geweest met het verwerken van de wijzigingen die voortvloeiden uit de nieuwe 2013-versie van ISO/IEC 27001. We hebben hiervoor van DEKRA documentatie ontvangen waarin nauwkeurig beschreven staat wat 'verplaatst', wat nieuw en wat verdwenen is. We hebben alle punten volledig doorlopen en eventuele aanpassingen doorgevoerd. De grootste verandering was met name dat de hoofdstuknummers volledig op de schop zijn gegaan, wat uiteraard een logisch gevolg is als je de structuur gelijk wilt trekken aan een algemene managementstructuur vanuit ISO. Dit is meteen ook het einde van de diskettes geworden in deze norm.

Afgelopen september was het moment eindelijk daar dat we tussentijds ge-audit werden door DEKRA en aansluitend de upgrade konden laten uitvoeren. De conclusie van de auditor over de tussentijdse audit was dat we onze certificering mogen voortzetten. Natuurlijk zijn er uit deze audit een aantal verbeterpunten gekomen. Deze verbeterpunten zullen we in het komende jaar vanzelfsprekend doorvoeren in ons  informatiebeveiligingsbeleid.

De nieuwe versie van ons ISO/IEC 27001:2013 certificaat vindt u op onze portal, in zowel een Nederlandse als een Engelse versie.