Afgelopen juni, dus bijna een jaar geleden zijn wij begonnen met de voorbereidingen voor onze certificering voor ISO 27001 en NEN 7510. Omdat wij een compacte organisatie zijn, met een duidelijke dienst en geen sublocaties, is dit geclassificeerd als een eenvoudige certificering. Mijn ervaringen leveren drie tips voor uw certificering.
SecuMailer is in 2016 begonnen als dienst voor organisaties die veilig willen kunnen mailen met hun klanten en medewerkers. Wij hebben veel klanten zitten in de zakelijke dienstverlening, financiële sector en in de zorg. Alle drie deze sectoren zijn doordrongen van kwaliteitsdenken en gaan doorgaans zeer professioneel om met informatiebeveiliging. Wij zelf uiteraard ook. Ikzelf ben goed onderlegd in de privacy wetgeving als CIPP/E. Meint Post, de COO van SecuMailer is door de wol geverfd als security architect met 30 jaar ervaring bij de grote banken van Nederland en de nodige accreditaties: CISSP en ISSAP.
Dus dit klusje kunnen we inhoudelijk goed invullen, laten we maar aan de slag gaan. Als eerste hebben we bij Informatiebeveiligingdoejezo een templateset aangeschaft. Daar zijn we mee van start gegaan en al snel hadden we een goed gevulde to-do lijst met zeker 30 documenten om te ontwikkelen. Eerst dachten we, dat vullen we even aan en in, en dan staat het grootste deel maar dat is toch anders uitgepakt.
Naarmate je dieper in de materie duikt, blijkt dat alle documenten op elkaar inhaken. Dus voor je het weet heb je een breiwerkje, waar je geen steken bij mag laten vallen. Een van de dingen die mij daar bij tegen vielen was dat je dus niet even een half uurtje iets oppakt, maar dat je echt in dagdelen tijd vrij moet maken voor je to-do lijst.
Tip 1: plan blokken van minimaal 2 uur per keer om aan je ISO implementatie te werken, korter heeft ‘slordige foutjes’ tot gevolg.
Nadat alle documenten in de eerste versie ontwikkeld waren, zijn we gaan schrappen. Want je hebt veel procedures en formele maatregelen, en die moeten passend voor de organisatie worden gemaakt. Als voorbeeld: wij hebben een continue proces voor software ontwikkeling (Agile Kanban) met volledige digitale documentatie en een digitale ondersteuning van het proces. Dit lijkt niet meer op de klassieke waterval methodes, die wel ten grondslag lagen aan de template die wij hadden.
Versie 2 van het document voor softwareontwikkeling lijkt in de verste verte niet meer op de template. En dat is maar goed ook, want nu past hij ons bedrijf als een handschoen.
Tip 2: Schrap alle procedures die niet echt zo gaan in je bedrijf. Beschrijf wat je doet, ga niet doen wat de template beschrijft.
Daarna waren de workshops aan de beurt voor de risico analyses. Ook daar is een grote hoeveelheid werk verzet. Leuk is dat je van een afstand naar je eigen processen gaat kijken. Heel leerzaam en de nodige verbeteringen zijn zo gevonden. Dit is denk ik achteraf de grootste tijdvreter geweest. Omdat je fundamentele inzichten aanscherpt, wil je ook meteen aan de slag met je verbeteringen. Maar het is wel belangrijk om dat uit elkaar te trekken, want dan groei je ook in je eigen procedures.
Hiermee bedoel ik, door de risico’s te analyseren, ga je maatregelen beschrijven en komen er nieuwe maatregelen bij. Die wil je eigenlijk meteen meenemen in je verbeterplan en gaan aanpakken. Maar je ISO systeem is juist bedoeld om de continue verbetering gestructureerd te laten verlopen en steeds beter te worden als organisatie. Het doorvoeren van de verbeteringen pak je aan met de procedures uit je ISO systeem en leg je vast in de registers en administratie daarvan. Op die manier loop je eigenlijk voor de eerste keer door je eigen ISO en NEN systeem heen, en dat is heel leerzaam.
Ik denk dat dit bij onze organisatie wel een maand of 4 heeft geduurd en heeft geleid tot een goed bruikbaar, uitgetest systeem.
Tip 3: De eerste verbeterslag is eigenlijk de testrit van je organisatie in haar nieuwe ISO machine!
Met deze drie tips voor uw certificering hebben we het grootste gedeelte van onze voorbereiding geadresseerd.
Klaar dacht ik toen, nog even bellen met de consultant, laten zien hoe mooi het ingericht is en dan op voor de certificering.
Gelukkig was de eerste opmerking van de consultant: “Wauw, jullie zijn de eerste organisatie die op basis van onze templates een volledige implementatie hebben gedaan en het precies zo hebben gekregen als ik ooit voor ogen had!”
De tweede opmerking was: “Zullen we een afspraak maken voor een interne audit, dan kan je op basis daarvan de certificering aanvragen”. Top dacht ik, 2 afspraakjes, en dan zijn we er.
Maar dat was niet helemaal waar. Want het voelde weer net als mijn afstudeerscriptie: ik had alles in mijn hoofd en vond ook dat het heel duidelijk opgeschreven was. Maar de auditor vond dat er nog een heleboel kleine zaken anders moesten.
Inmiddels kende ik ook alle stukken letterlijk uit mijn hoofd en kan ik bij het begin van de vraag al een documentnummer roepen waar we het antwoord in kunnen terugvinden.
Deze ronde duurde een volle week in plaats van 1 dag. Maar aan het einde was het systeem weer duidelijker geworden en nog beter aangepast op onze organisatie.
Bonus tip: Doe de eerste interne audit met een externe consultant, hierdoor leer je met “audit” ogen naar je eigen organisatie kijken.
En toen was het D-day: De certificering ging beginnen.
Robert van de TüV is drie dagen intensief bezig geweest op locatie bij ons, en zijn overall indruk is samen te vatten met: “Wat hebben jullie er veel werk in zitten, en wat zit het goed in elkaar en tussen de oren. Maar wel een beetje eng dat je alle documentnummers uit je hoofd kent!”
Als je cum laude zou kunnen certificeren, dan is dat gelukt! Veel succes met mijn drie tips voor uw certificering!
Groetjes Yvonne Hoogendoorn
CEO SecuMailer