Na een stevige audit: ISO 27001 en NEN 7510 opnieuw behaald

We zijn er weer! Opnieuw ISO 27001 en NEN 7510 gecertificeerd. En meteen volgens de nieuwe NEN 7510-1:2024.

De nieuwe norm sluit nauwer aan op ISO 27001 en stelt hogere eisen aan hoe je informatiebeveiliging in de praktijk aantoonbaar maakt, dus niet alleen op papier. Om daar goed op voorbereid naar de audit te gaan hebben we een fit/gap-analyse gemaakt: hoe verhoudt onze huidige manier van werken zich tot de nieuwe eisen? Wat zat er al goed in? Wat kon scherper?

Een stevige audit

Onze auditor heeft ons lekker doorgezaagd. Op hoe we met patches omgaan, hoe we kwetsbaarheden opvolgen, hoe medewerkers in de praktijk met informatiebeveiliging omgaan. Dat is precies hoe het hoort. Een certificering omdat de papieren kloppen is niet voldoende.

De conclusie van het auditteam was positief op een aantal concrete punten. Het management is aantoonbaar betrokken. Informatiebeveiliging komt structureel terug in hoe we besluiten nemen en dingen opvolgen. Bevindingen worden opgepakt en bijgehouden. Medewerkers weten wat er van hen verwacht wordt en handelen daar ook naar. En het systeem groeit mee met de organisatie.

Meer dan voldoen aan de norm

Naast de formele toetsing kregen we ook feedback op hoe we het dagelijks doen. Een paar dingen die de auditor specifiek noemde:

  • We werken continu aan het standaardiseren van klantomgevingen. Dat klinkt intern, maar het heeft een directe impact voor klanten: als omgevingen zoveel mogelijk identiek zijn ingericht, zijn wijzigingen veiliger en makkelijker te automatiseren. Dat geeft continuïteit.
  • Kwetsbaarheden bespreken we wekelijks. Via allerlei kanalen komen meldingen binnen over bekende beveiligingsproblemen. We beoordelen elke keer: raakt dit onze klanten? Wat moeten we doen, en hoe snel?
  • Patches beoordelen we op impact. Is het een standaard update of een kritieke fix? Dat onderscheid bepaalt hoe snel we handelen.
  • Hardware bij klanten hebben we volledig in beeld, inclusief leeftijd en status. Zo lopen we niet achter de feiten aan.
  • Wachtwoorden worden veilig opgeslagen en gedeeld. We slaan geen klantspecifieke wachtwoorden op.
  • Back-ups zijn op orde en we testen ze regelmatig via daadwerkelijke restore-tests. We nemen niet gewoon aan dat het werkt, maar controleren het structureel.

Wat dit voor jou betekent

Als ondernemer hoef je de details van een ISO 27001- of NEN 7510-audit niet te kennen. Wat je wel wilt weten: kun je DigiState vertrouwen met de gegevens van jouw organisatie en je klanten?

Die certificeringen zijn het antwoord op die vraag. Getoetst door een onafhankelijke partij, niet door onszelf.
Werk je buiten de zorg? ISO 27001 geeft je de zekerheid dat informatiebeveiliging bij ons op aantoonbaar beleid is gebaseerd.
Werk je in de zorg of lever je diensten aan zorginstellingen? Dan is NEN 7510 de relevante norm en we zijn gecertificeerd op de nieuwste versie.

Je hoeft je bij ons dus geen zorgen te maken over informatiebeveiliging. Wij regelen het voor je!