Vertrouwen in digitale dienstverlening
In een wereld waarin digitale dienstverlening de norm is, is vertrouwen in databeveiliging essentieel. Als aanbieder van online financiële adviessoftware voor intermediairs, banken, verzekeraars en andere financiële dienstverleners verwerkt Vitec Figlo dagelijks gevoelige klant- en persoonsgegevens in de Cloud. Het beschermen van deze informatie heeft voor ons de hoogste prioriteit.
Om dat vertrouwen te waarborgen, beschikken wij over twee toonaangevende accreditaties op het gebied van informatiebeveiliging: de ISO 27001-certificering en de SOC 2 Type II-accountantsverklaring. In dit artikel licht Meinard Noothoven van Goor, Sr. Legal Counsel, en MT-lid, de betekenis en waarde van de ISO 27001-norm toe.
Wat is ISO 27001?
ISO 27001 is een internationale standaard die beschrijft hoe organisaties hun informatiebeveiliging procesmatig kunnen inrichten. De kern hiervan is het Information Security Management System (ISMS) – een systeem dat helpt om beveiligingsmaatregelen te plannen, uit te voeren, te controleren en continu te verbeteren.
Het hart van ISO 27001 is een risicoanalyse waarbij bedreigingen, kwetsbaarheden en hun potentiële impact op het gebied van informatiebeveiliging in kaart worden gebracht. Voor elk geïdentificeerd risico bepaal je of je het risico wilt accepteren, vermijden, overdragen of mitigerende maatregelen wilt nemen.
Voor elk risico zoek je in de bijlage (Annex A) van de ISO 27001-norm naar een of meer maatregelen die het risico kunnen beperken. De Annex A van ISO 27001 is een verzameling van 93 beheersmaatregelen die organisaties kunnen toepassen om informatiebeveiligingsrisico’s te beheersen. Denk aan maatregelen rond toegangsbeveiliging, cryptografie, personeels-screening of bedrijfscontinuïteit. Zo kan de impact van een brand in een kantoorpand bijvoorbeeld worden verkleind door middel van de beheersmaatregel “ICT-gereedheid voor bedrijfscontinuïteit”, wat leidt tot het opstellen van een concreet continuïteitsplan.
Bij Vitec Figlo hebben wij al deze 93 beheersmaatregelen van toepassing verklaard. Deze zijn vastgelegd in onze Verklaring van Toepasselijkheid (Statement of Applicability). Zo weten klanten precies welke maatregelen wij hebben geïmplementeerd en waarom.
Onze ervaring met ISO 27001
Het ISMS van Vitec Figlo is sinds 2020 ISO 27001-gecertificeerd. Voor de eerste implementatie van dit ISMS werkten we samen met het gespecialiseerde bureau Kader, dat ons ondersteunde met begeleiding en het verstrekken van proces-templates. De uitdaging lag vooral in het vertalen van deze processen naar onze eigen werkwijze – en dat bleek een waardevol traject.
De betrokkenheid binnen onze organisatie was groot. Medewerkers uit alle afdelingen zagen de voordelen van beter vastgelegde processen: Ontwikkelaars waarderen dat er geen ‘shortcuts’ meer mogelijk zijn; HR kent duidelijk omschreven taken en verantwoordelijkheden; De financiële administratie heeft meer grip op leveranciersrelaties; IT-services ziet zijn gestructureerde aanpak bevestigd; Legal kan klantvragen sneller en met meer vertrouwen beantwoorden.
Er ontstaat meer efficiëntie, meer transparantie en een aantoonbare verbetering van de kwaliteit van onze producten en diensten.
Wat levert het op?
ISO 27001 brengt niet alleen het briefje van een certificaat, maar ook tastbare voordelen:
- Daadwerkelijk een betere beveiliging van informatie
- Een beter inzicht in de beschikbare informatie
- Een betere en efficiëntere structuur van processen
- Efficiëntere compliance: Klantvragen over beveiliging kunnen eenvoudig worden beantwoord met verwijzingen naar onze beleidsdocumenten en certificering.
Betere risicobeheersing: We beschikken over een actueel informatiebeveiligingsbeleid, een continuïteitsplan en gecontroleerde HR-processen.
ISO 27001 en SOC 2 Type II: een sterke combinatie
Waar ISO 27001 structuur en proces biedt, toetst SOC 2 Type II de praktische uitvoering en consistentie van beveiligingsmaatregelen. Samen vormen ze een krachtig geheel.
Voor Vitec Figlo zijn deze certificeringen geen af te vinken lijstjes, maar een fundament voor vertrouwen. Als klant van een SaaS-leverancier mag u verwachten dat uw data veilig is – en met onze ISO 27001- en SOC 2 Type II-certificeringen weet u dat dat ook écht zo is.