Doclogic Nieuws

Doclogic is ISO27001 gecertificeerd

[fa icon="clock-o"] 19-11-20 11:45 [fa icon="user"] Herald Raat [fa icon="folder-open'] Veiligheid, AVG, ISO270001, Informatiebeveiliging

DAAR ZIJN WIJ TROTS OP, MAAR WAT HEEFT U DAARAAN?

Doclogic is in de zomer van 2020 gecertificeerd op NEN ISO 27001:2017. Dat is iets waar wij erg trots op zijn. Maar wat heb je er eigenlijk aan? Wat is de waarde van dit ISO27001 certificaat? Hieronder beantwoorden we deze vraag vanuit twee invalshoeken: Wat is de waarde voor Doclogic en nog veel belangrijker, welke waarde heeft ons certificaat voor u als klant van Doclogic.

GROEI, SUCCES EN VERTROUWEN

Doclogic is in 2001 opgericht om te voorzien in de behoefte van klanten en belanghebbenden aan een eerlijke, deskundige en betrouwbare derde partij voor het realiseren van implementaties van documentmanagement en zaaksystemen. Omdat Doclogic sindsdien is gegroeid en nieuwe expertisegebieden heeft betreden, vervult Doclogic ook vandaag de dag nog steeds de rol van een onafhankelijke en deskundige partij waarop zowel medewerkers, klanten, producenten, belanghebbenden als overheden kunnen vertrouwen.

Het succes van Doclogic berust voor een belangrijk deel op het vertrouwen dat we dagelijks genieten bij onze klanten, medewerkers en belanghebbenden. Doclogic stelt zich als doel dit vertrouwen te behouden. Dit is de gedeelde verantwoordelijkheid van alle Doclogic medewerkers.
Bijna dagelijks kun je lezen over hacks, cyberaanvallen of persoonsgegevens die op straat liggen. De schade van cybercrime of uitvallende IT systemen kan enorm oplopen. Niet alleen financiële schade, maar ook je reputatie staat dan op het spel. Als het gaat om informatiebeveiliging en privacy, willen we bij Doclogic de hoogste normen nastreven. Niet in de laatste plaats omdat we veel belangrijke informatie hebben en beheren van of over uw organisatie en soms zelf over u. Dat betekent voor ons dat we als bedrijf informatiebeveiliging en privacy maatregelen willen professionaliseren en beleid en procedures hanteren die dit borgen. Een norm die dit beschrijft is de ISO27001 norm.

ISO27001

Informatie en kennis zijn in veel gevallen het belangrijkste bezit van een bedrijf. In de ISO27001 norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Met het ISO27001 certificaat toont een organisatie aan dat haar informatiebeveiliging op orde is. Maar wat is informatiebeveiliging precies?

Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen.

Het draait er dus om dat je de complete informatiehuishouding zo inricht dat informatie toegankelijk en bruikbaar is voor een bevoegde persoon of entiteit (beschikbaarheid), informatie nauwkeurig en volledig is (integriteit) en informatie niet beschikbaar gesteld of ontsloten wordt aan onbevoegde personen of entiteiten (vertrouwelijkheid).

ISO27001 is een wereldwijde standaard, het geeft 114 beheersmaatregelen die je kunt implementeren om ervoor te zorgen dat je Information Security Management System (het ISMS) de Beschikbaarheid, Integriteit en Vertrouwelijkheid van de informatie van het bedrijf beveiligt. De ISO27001 norm is op risico’s gebaseerd. Daarom is het uitgangspunt van de certificering dat je alle gegevens die je bezit, documenteert en aangeeft in welke informatiesystemen deze worden opgeslagen. Op basis van deze risico’s en de classificatie van de informatie implementeer je beleid, procedures en controlemaatregelen om zo je gegevens te beveiligen.

SCOPE EN VERKLARING VAN TOEPASSELIJKHEID

Twee hele belangrijke onderdelen van het ISMS bepalen hoe grondig de implementatie van de norm is uitgevoerd door de organisatie. Dat zijn de scope (reikwijdte) en de verklaring van toepasselijkheid.

Onze scope omvat officieel: “Het beveiligen van informatie van klanten en medewerkers in relatie tot: installatie, functioneel beheer, technisch beheer en support (1e en 2e lijn) van standaard softwareproducten voor documentbeheer, casemanagement, digitaal samenwerken en standaard integraties. Daarnaast de ontwikkeling, installatie, functioneel beheer, technisch beheer en support (1e, 2e en 3e lijn) van door Doclogic ontwikkelde maatwerk integraties. Zowel on premises (bij de klant gebruiker) of in een private cloud (bij de product leverancier).”. In normaal Nederlands omvat onze scope: “Al onze dienstverlening, onze interne systemen én de producten die we zelf maken”. Voor de applicaties van derden die we verkopen en ondersteunen gelden veelal afzonderlijke ISO27001 certificeringen.

In onze verklaring van toepasselijkheid geven we aan dat we bij Doclogic alle 114 beheersmaatregelen hebben geïmplementeerd. De beheersmaatregelen gaan o.a. over beveiligingsbeleid, de organisatie van informatiebeveiliging, de beveiliging van personeel, het beheer van bedrijfsmiddelen en informatiesystemen, toegangscontrole, cryptografie, fysieke en omgevingsbeveiliging, de beveiliging van de operationele werkzaamheden, beveiliging van de verbindingen, de verwerving, ontwikkeling en onderhoud van onze informatiesystemen, de relaties met leveranciers, het beheer van informatie beveiligingsincidenten, bedrijfscontinuïteit en de naleving van relevante wetgeving.

Wij hebben dus alle mogelijke beheersmaatregelen binnen de norm kunnen implementeren en laten certificeren. Daarnaast hebben we veel “eigen” maatregelen geïmplementeerd. M.a.w. we hebben het grondig aangepakt.

WAT HEBBEN WIJ ALS DOCLOGIC HIERAAN?

Het implementatietraject, de certificering en de continuering van ISO27001 is een enorme investering in tijd, energie en geld. We zouden kunnen stellen dat ons werk, op het eerste gezicht, in veel situaties wat omslachtiger en moeilijker is geworden.

Want we hebben meer regels en afspraken gekregen bij Doclogic. We moeten nu soms “verplicht” zaken vermelden, gegevens verwijderen, niet opslaan, juist wel opslaan en meer vastleggen. We moeten, vooral intern, veel meer verantwoorden waarom we iets willen, doen of hebben gedaan. En ja, we hebben nu ook (interne) audits, monitoring, steekproeven en stellen elkaar lastige vragen en houden elkaar scherp. We leggen incidenten vast en zoeken uit hoe ze konden gebeuren en zorgen ervoor dat het niet nog eens gebeurd. We werken met wijzigingsverzoeken, continu verbeter voorstellen, beveiligingsincidenten en kunnen niet meer zomaar de hardware bestellen die we mooi vinden. En dit lijstje gaat nog wel even door…

Dit alles doen wij natuurlijk niet voor niets. Ondanks of misschien wel juist dankzij alle extra inspanningen zien wij vier hele belangrijke resultaten voor Doclogic. Vier resultaten die er samen voor zorgen dat alle extra inspanningen het dubbel en dwars waard zijn om te doen.

Vertrouwen

ISO27001 is een internationaal erkende norm en met dit certificaat tonen wij aan dat onze informatiebeveiliging goed op orde is. Wij geven hiermee uiting aan het grote belang dat we hechten aan het vertrouwen dat onze klanten, medewerkers, partners en belanghebbenden in ons hebben. Dit staat voor ons voorop en hier zijn we erg trots op.

Beleid, procedures, kennis en techniek op orde

Een ander belangrijk resultaat is dat we veel meer zicht hebben gekregen op (potentiële) risico's, waardoor we incidenten kunnen voorkomen of de impact van een incident sterk kunnen dempen. De afgelopen jaren hebben we hierdoor veel kunnen verbeteren aan onze (technische)beveiliging, onze procedures, onze kennis en de manier waarop we samenwerken. Onderling binnen Doclogic, maar ook samen met klanten, partners en belanghebbenden.

AVG Compliance

Doordat ook wij werken met persoonsgegevens moeten wij ons houden aan de wettelijke eisen rondom de verwerking van persoonsgegevens en sinds mei 2018 zijn wij verplicht te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Met de ISO27001 implementatie hebben we direct een zeer stevig fundament gelegd voor onze AVG compliance.

Last but not least: Gedrag en bewustzijn

De belangrijkste factor in informatiebeveiliging is het gedrag van mensen en hun beveiligingsbewustzijn. Doordat de ISO27001 implementatie onze gehele organisatie op vele vlakken heeft geraakt én doordat we op vrijwel maandelijkse basis security awareness sessies verzorgen is de bewustwording onder onze medewerkers enorm gegroeid. Onze medewerkers zijn beter geïnformeerd en zich veel meer bewust van hun belangrijke rol in informatiebeveiliging. Daarmee is informatiebeveiliging niet langer een IT vraagstuk. Het is een ‘mindset’ geworden van alle collega’s in het hele bedrijf. Dat is ons inziens de grote winst voor ons als organisatie.

WAT HEEFT U ALS ONZE KLANT HIERAAN?

Hierboven geven we aan wat ISO27001 ons als bedrijf al heeft opgeleverd. Maar wat heeft u, als onze klant, hieraan? Uiteraard gelden de voordelen die voor ons gelden ook voor u als klant. Immers een groot deel van de informatie die wij hebben en beheren zijn o.a. gegevens van uw organisatie, uw processen, uw applicaties, uw inrichting, uw supporttickets, uw medewerkers, uw klanten of cliënten en waarschijnlijk hebben we minimaal uw emailadres ergens staan en kennen we uw rol in uw organisatie. Of wij werken voor u aan een conversie of een koppeling waarbij gegevens van uw processen of uw klanten of cliënten worden verwerkt. Of wij werken aan een projectplan waarbij we uw processen verbeteren en optimaliseren. Of we verzorgen voor langere tijd het applicatiebeheer binnen uw organisatie en komen daarbij in aanraking met allerlei informatie van uw organisatie.
Allemaal informatie die we samen graag willen beschermen. In het kort, u wilt ook dat uw informatie beschikbaar, integer én vertrouwelijk is en blijft. Wanneer u met ons samenwerkt, dan weet u:

  • Dat wij “in control” zijn als het gaat om onze informatiebeveiliging volgens een internationale ISO norm
  • Wij ons beleid, procedures, kennis én techniek op orde hebben
  • Wij AVG compliant zijn
  • Onze medewerkers zich bewust zijn van de informatiebeveiligingsrisico’s en hoe belangrijk gedrag en de menselijke factor is in informatiebeveiliging.

WAT GAAT U ER NOG MEER VAN MERKEN?

Dat wij nu ISO27001 gecertificeerd zijn, zult u vroeg of laat ook gaan merken. Het kan gaan voorkomen dat wij u gaan aanspreken op zaken die wat ons betreft beter geregeld zouden moeten worden tussen u als onze klant en Doclogic en dan met name vanuit onze verantwoordelijkheid als uw leverancier. Dit kan op heel veel manieren vorm krijgen, maar om een beeld te schetsen, hieronder alvast een paar voorbeelden.

  • Denk aan sluitende verwerkersovereenkomsten. Nog niet met al onze klanten is dit helemaal 100% dichtgetimmerd. Indien dat het geval is dan zullen wij u benaderen en samen met u dit in orde maken.
  • Een ander voorbeeld kan zijn dat we bij u tijdens werkzaamheden tegen een te eenvoudig of hergebruikt wachtwoord aanlopen. Wij zullen u dan ongevraagd adviseren dit wachtwoord te wijzigen. Uiteraard blijft het uw eigen verantwoordelijkheid dit ook echt te doen.
  • Wij zullen onze SLA herzien per 1 januari 2020 en hierin uitdrukkelijk een aantal afspraken opnemen die voortkomen uit onze certificering.
  • Als u toegang wilt tot ons support portaal zal dat met wat meer controles gepaard gaan dan u wellicht in eerste instantie van ons zou verwachten.
  • U ontvangt project documenten van ons met daarop mogelijk een classificatie vermeld. Schrik hier niet van, dit doen we om er voor te zorgen dat eventuele vertrouwelijke gegevens ook echt vertrouwelijk blijven.
  • Onze koppelvlakken blijven we steeds veiliger maken en door ontwikkelen.

MEER WETEN?

Wilt u meer weten over onze ISO27001 certificering neem dan gerust contact met ons op. We gaan graag met u in gesprek over onze ervaringen en onze werkwijze. En natuurlijk ook niet onaardig voor alle JOIN gebruikers, het zal u niet verbazen dat we zeer veel onderdelen van het ISMS in JOIN Z&D hebben ondergebracht.

Herald Raat

Written by Herald Raat

"Ik help professionals en organisaties graag met het succesvol realiseren van hun digitaliseringsvisie en het reduceren van legacy."

OP DE HOOGTE BLIJVEN?

Inschrijven

Lists by Topic

see all

Updates per categorie

Bekijk meer

Recente updates

Volg ons ook op: