ISO 27001 gecertificeerde bedrijven ict

Commit-IT behoort tot de ISO 27001 en 9001 gecertificeerde ICT-bedrijven

baseline informatiebeveiliging overheid

In september 2019 is Commit-IT ISO 27001 en ISO 9001 gecertificeerd. Dit is natuurlijk fantastisch nieuws voor onze organisatie, onze klanten en de toekomst. In deze blogpost vertelt algemeen directeur Ad Kil hoe hij tot de strategische keuze gekomen is om Commit-IT te onderwerpen aan een ISO 27001 en 9001 audit. Waarom junior-consultant Steven Keverkamp de uitgelezen persoon was om het bedrijf en alle collega’s hiervoor klaar te stomen. Maar ook wat Steven gedaan heeft om dit project succesvol af te ronden en zo te kunnen bezegelen met een certificering. 

Doel is vermelding in het ISO 27001 register

“Wanneer je ons bedrijf al een tijdje volgt zie je dat we de laatste paar jaren flink aan de weg getimmerd hebben. We zijn nog steeds die gedreven IT-specialisten die CIO’s, IT-managers in de zorg, bij de overheid en in het MKB helpen met hun uitdagingen. Maar onze sterke focus op kwaliteit in advies, implementatie en beheer begint commercieel nu ook merkbaar zijn vruchten af te werpen.

Vraag naar ISO 27001 gecertificeerde bedrijven in ICT

Ook zagen we dat er steeds meer vraag in de markt was naar ICT-bedrijven met een ISO 27001 certificering. Vooral in onze aanbestedingstrajecten was deze trend goed merkbaar. Na wat overwegingen en gesprekken intern hebben we dan ook maar besloten vol in te zetten op het behalen van die ISO-certificering. Dit was namelijk een logische volgende stap in de ontwikkeling van ons bedrijf en er een die perfect aansluit bij een vast onderdeel van onze dienstverlening; namelijk informatiebeveiliging.

 

Commit-IT als partner informatiebeveiliging

Hoe meer we erover spraken en hoe meer de beslissing ging leven hoe enthousiaster alle collega’s werden. Van de IT-consultants tot sales, iedereen zag de voordelen van een 27001 certificering. Op die manier konden we namelijk meteen aan de wereld laten zien wat het resultaat is van het implementeren van onze adviezen rondom informatiebeveiliging. We hebben dan namelijk het perfecte concept of proof; een eigen ISO 27001 certificering.

”Informatiebeveiliging adviseren en verkopen, zoals we die zelf ook hebben draaien.”

Zet mensen in hun kracht

De volgende stap was het vrijmaken van een vaste Commit-medewerker die we dedicated op het voorbereiden van de ISO-audit konden zetten. Steven Keverkamp was direct de meest geschikte persoon in onze optiek. Hij is één van onze laatste nieuwe medewerkers en dit was voor hem een uitgelezen kans om het bedrijf door-en-door te leren kennen. Aansluitend zou hij dan meteen vanuit een frisse blik alle benodigde procedures op kunnen stellen.

 

Een certificering om trots op te zijn

Ik had meteen het volste vertrouwen in Steven en was ervan overtuigd dat hij het in zich had om dit tot een goed einde te brengen. En ondanks het feit dat ons bedrijf klaarstomen voor de ISO-audit niet binnen zijn functieomschrijving valt, zag ook Steven direct een uitdaging die hij met beide handen wilde grijpen. Dit met een resultaat waar ik écht ontzettend trots op ben: Een ISO 27001 en 9001 certificering voor Commit-IT.”

 

Ad Kil – Algemeen directeur

baseline informatiebeveiliging overheid

ISO 27001 informatiebeveiliging

“Toen de directie mij vroeg het gehele proces richting de beide ISO-audits te managen, was ik in eerste instantie verbaasd en tegelijkertijd vereerd. Het voelde voor mij namelijk als jonge IT-consultant als een hele verantwoordelijkheid, om Commit-IT en alle collega’s hier op de juiste manier doorheen te loodsen. Ik heb er een nachtje over geslapen en heb de volgende dag Ad een hand gegeven en gezegd dat ik ervoor ga. Mijn eerste stap was het inschakelen van een adviesbureau die mij kon helpen met het bepalen van de meest efficiënte route richting certificering.

 

ISO 27001 framework

Met wat tips en tricks van het adviesbureau, het framework waar onze aanvraag aan moest voldoen en een duwtje in de goede richting ben ik vol vertrouwen begonnen aan ons ISO-avontuur. Allereerst heb ik het ISO framework aangepast aan onze organisatie. Het heeft behoorlijk wat sessies met de directie gekost voor alle neuzen dezelfde kant op stonden. Maar toen deze hindernis genomen was kon het documenteren beginnen. Ik heb een organisatiehandboek en een registratiemap opgesteld.

“Adviseren, implementeren en beheren van ICT-omgevingen bij onze klanten.”

Onze business scope is: “Adviseren, implementeren en beheren van ICT-omgevingen bij onze klanten.” In het organisatiehandboek staan al onze processen die binnen deze scope vallen nauwkeurig beschreven. Omdat onze scope behoorlijk breed is, was dit een flinke klus.

 

ISO 27001 stappenplan

Toen dat gedaan was heb ik me gebogen over de registratiemap. In deze map staat onze PDCA-cyclus beschreven. In deze map zijn dus alle bedrijfsprosessen opgenomen. De volgende stap was het implementeren van de PDCA-cyclus in de organisatie. Dit is eigenlijk vrij soepel verlopen. Twee personeelsvergaderingen en een sessie met de directie, het sales-team en de consultant van het adviesbureau was hier voldoende. Het bleek namelijk dat we procesmatig eigenlijk al voor 80% in de goede richting zaten.

 

PDCA-cyclus invullen

Één van de processen die tijdens de ISO onder de loep genomen is, is het offerteproces. De PDCA-cyclus die we hierop toe gepast hebben ziet er als volgt uit:

PLAN

Het streven is om hier over één jaar tijd de foutmarge qua stijl- en taalfouten onder de 5% te krijgen.

DO

Hiervoor gaan wij het vier-ogen-principe nog strenger nastreven. Concreet betekent dit intern nog beter samenwerken om tot een optimaal resultaat te komen.

CHECK

Door de samenwerking met een schaduwconsultant merken wij dat dit een reëel doel is. De afgeronde offertes worden na verloop van tijd nogmaals geëvalueerd en zo proberen wij als organisatie constant verbeterslagen te maken.

ACT

Een verbeterslag die wij hebben gemaakt naar aanleiding van de evaluaties, is het introduceren van standaard teksten, die in samenspraak met onze partners zijn vormgegeven.

Je kunt je voorstellen dat als een organisatie zo gedurende een bepaalde periode elk bedrijfsproces kritisch bekijkt, het een flinke professionaliseringsslag door zal gaan maken. Dit zal ongetwijfeld ook voor ons bedrijf het geval zijn.

 

ISO 27001 audior

Toen de daadwerkelijke audit dichterbij kwam is de ernst ervan ook goed tot iedereen doorgedrongen. Rafi Wazir van DBV GL was onze auditeur en zoals altijd zijn ook wij gestart met een documentoverleg. Hierin lieten we zien wat er allemaal beschreven is en dit is allemaal goedgekeurd. De volgende stap is de initiële audit. Hier wordt gekeken of hetgeen er opgeschreven is ook daadwerkelijk uitgevoerd wordt. Tijdens de daadwerkelijk audit heb ik de nodig ondersteuning geboden. Alle collega’s zijn geïnterviewd. Tijdens deze gesprekken heb ik hen vanuit mijn opgedane expertise bijgestaan.

 

Ik kan nu wel het goede nieuws brengen en enthousiast zeggen dat we beide audits gehaald hebben, maar dat wisten jullie natuurlijk al.

 

Onverwacht beloond met een promotie

Dit alles heeft er wel voor gezorgd dat de kaarten bij Commit voor mij opnieuw geschud zijn. Inmiddels ben ik naast IT-consultant ook KAM-manager. Dit betekent dat ik de richtlijnen van de certificeringen bewaak. Zo ben ik stap-voor-stap alle processen aan het nakijken om te zien waar deze nog verder aangescherpt kunnen worden. Dit doe ik op eigen initiatief, maar ook naar aanleiding van input van de directie, collega’s of relaties. Onze certificeringen zijn dus slechts de eerste stap naar steeds verdere professionalisering van ons bedrijf.

 

Steven Keverkamp – Junior Consultant & KAM-manager

 

ISO 27001 gecertifieerd als vertrekpunt

Je zult begrijpen dat we ontzettend trots zijn op hetgeen we zo met zijn allen bereikt hebben. En zoals Steven al zegt, dit is slechts het begin. De komende periode zullen we de professionalisering verder doorvoeren in alles dat we doen. Iets wat zal resulteren in een overall kwaliteitsverbetering in onze diensten cyber security, virtualisatie, netwerken en storage. Dit nog bovenop onze toch al kwalitatief hoogwaardige dienstverlening.

 

Zijn jouw verwachtingen nu wel heel hooggespannen? Mooi, aan ons de uitdaging daar minimaal aan te tippen. Een uitdaging die we met deze ervaring op zak, natuurlijk met zijn allen en vol vertrouwen aangaan.