Een vrijblijvend adviesgesprek plannen
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Interne audits als frisse blik op ISO 27001 bij NOBEARS
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Highlights van dit succesverhaal
The reason
Blind spots in een volwassen ISMS
NOBEARS werkt al jaren met ISO 27001, heeft een eigen informatiebeveiligingsteam en is gecertificeerd. Toch kiest het digital agency ervoor om hun interne audits door Fendix te laten uitvoeren. In dit succesverhaal lees je waarom en wat dat concreet oplevert.
NOBEARS noemt zichzelf business accelerator waar strategie, creatie, development en marketing samenkomen. Informatiebeveiliging is er geen bijzaak: de organisatie werkt al jaren met een ISMS, heeft een intern informatiebeveiligingsteam dat risico's monitort en pakt verbeteracties planmatig op. Maar juist als een systeem jarenlang goed draait, ontstaat het risico dat bepaalde zaken over het hoofd worden gezien.
"Ook al heb je de basis prima op orde en voldoe je aan regelgeving, kunnen er op een gegeven moment blind spots ontstaan. De wereld verandert, dreigingen veranderen en ook de norm ontwikkelt zich door. Dan is het waardevol als een externe partij opnieuw kritisch naar je systeem kijkt", zegt Toon van Overbruggen, Security Officer en Operationeel Manager bij de Amersfoortse vestiging van NOBEARS.
Daarbij speelde de overgang naar de vernieuwde ISO 27001-norm een rol. Nieuwe normonderdelen vragen om een concrete vertaalslag naar de eigen organisatie. Dan is het prettig om iemand aan tafel te hebben die die vertaalslag al meerdere keren heeft gemaakt en weet waar organisaties doorgaans vastlopen.
Onafhankelijkheid en vakkennis
Interne audits volledig zelf uitvoeren was voor NOBEARS nooit een serieuze optie. Als je je eigen werk beoordeelt, zie je bepaalde dingen niet meer. Je bent er gewoon te dichtbij voor. Daarbij is informatiebeveiliging een vakgebied dat voortdurend beweegt: nieuwe dreigingen, nieuwe wetgeving, nieuwe interpretaties van de norm. Dat vraagt om specialistische kennis die je als organisatie niet altijd zelf in huis hebt.
De keuze voor Fendix
Bij de zoektocht naar een geschikte auditpartner heeft NOBEARS verschillende partijen onderzocht en met elkaar vergeleken. Naast inhoudelijke expertise speelde ook de persoonlijke klik een belangrijke rol. De manier waarop Fendix zich presenteert, kennis deelt en samenwerkt, sloot goed aan bij de cultuur van NOBEARS.
Toon: “De energie, dynamiek en betrokkenheid van het team spraken ons direct aan. Daarnaast gaven de cases, succesverhalen en de manier waarop Fendix zich profileert (ook online) vertrouwen dat we met een partij te maken hadden die echt gespecialiseerd is in informatiebeveiliging.”
Download the ISO 27001 Checklist
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Our approach
Scope bepalen: waar leggen we de nadruk?
Elke audit begint met een goede afstemming over de scope. Niet alle normonderdelen hoeven elk jaar even diepgaand te worden onderzocht. Fendix bepaalt samen met NOBEARS waar de nadruk ligt. Daarvoor kijken we naar het interne auditprogramma (conform ISO 27001-vereiste 9.2.2) en de bijbehorende 3-jarenplanning die daarin is uitgewerkt. Op basis daarvan bepalen we samen welke normonderdelen aan bod komen en hoe diep we daarin gaan.
Verder kijken dan de documentatie
Tijdens de audit zelf kijken we verder dan beleidsdocumenten en procedures. Er wordt ook getoetst wat er daadwerkelijk in de praktijk gebeurt: hoe zijn systemen ingericht, kloppen procedures nog met de dagelijkse werkelijkheid, en zijn verantwoordelijkheden helder belegd? Neem toegangsbeheer. Intern lijkt dat prima geregeld, maar een onafhankelijke auditor kan ontdekken dat de procedure niet meer aansluit bij hoe systemen in de praktijk worden beheerd. Dat soort dingen pik je op als je er met frisse ogen naar kijkt. NOBEARS ervaart de jaarlijkse audit mede daarom als een generale repetitie voor de externe certificeringsaudit.
"Het is een mooi moment om weer eens volledig door het ISMS heen te lopen. Daarnaast helpt het collega's om te ervaren wat een audit inhoudt en wat er van hen verwacht wordt", vertelt Toon.
Bij iedere bevinding legt Fendix ook uit hoe die zich verhoudt tot de norm, wat het risico is als je het zo laat en wat een logische vervolgstap is. Dat bleek ook waardevol bij de overgang naar de nieuwe ISO 27001-versie. Fendix dacht actief mee over de interpretatie van nieuwe normonderdelen en de toepassing ervan binnen het ISMS van NOBEARS.
Rapportage: niet alleen wat, maar ook waarom
Na afloop ontvangt NOBEARS een overzichtelijke rapportage met een managementsamenvatting en een uitgewerkte onderbouwing van alle bevindingen. Per normonderdeel staat:
- welke controles zijn uitgevoerd;
- welke documentatie is beoordeeld;
- met wie gesprekken zijn gevoerd;
- welke steekproeven zijn genomen;
- en op basis waarvan conclusies zijn getrokken.
Zo ziet NOBEARS precies wát er gevonden is, waarom het gevonden is, en wat de logische volgende stap is.
- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
Next-Gen Consultant speaking
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
The results
Meer vertrouwen richting externe audits
De afgelopen jaren is NOBEARS hard gegroeid. En groei maakt het bijhouden van een ISMS er niet eenvoudiger op. Groei betekent inwerken van nieuwe collega's, de introductie van nieuwe systemen en veranderende processen. Juist in zo'n periode is het waardevol om periodiek te toetsen of het ISMS daadwerkelijk is meegegroeid met de organisatie.
De meest recente interne audit gaf NOBEARS de bevestiging dat dit het geval was. De audit verliep soepel en er werden slechts enkele verbeterpunten vastgesteld. "Dat gaf vooral een gevoel van bevestiging. De organisatie was hard gegroeid, dus het was prettig om te zien dat de basis nog steeds goed stond. Dat gaf vertrouwen richting de externe audit. Dat vertrouwen bleek terecht, want we zijn opnieuw gecertificeerd'', zegt Toon.
Betrokkenheid die verder gaat dan het rapport
De samenwerking met Fendix stopt niet bij het opleveren van het rapport. Er wordt regelmatig gevraagd naar de opvolging van bevindingen en de uitkomsten van externe audits. Actuele ontwikkelingen in het vakgebied komen ook ter sprake: normwijzigingen, nieuwe dreigingen, of praktijkervaringen uit andere organisaties. Voor een Security Officer die de rol naast andere verantwoordelijkheden uitvoert, is dat een concrete meerwaarde. Je hoeft het vakgebied niet volledig zelf bij te houden als je een partner hebt die dat voor je doet.
"Het feit dat jullie zo betrokken blijven bij klanten en op de hoogte willen blijven van het traject, vind ik positief en verfrissend", aldus Toon.
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Het landschap verandert, jouw ISMS ook?
Een ISO 27001-certificaat is geen eindbestemming. Cyberdreigingen worden geavanceerder, de Cyberbeveiligingswet (NIS2) wordt voor steeds meer organisaties relevant, ook voor digitale dienstverleners. Daarnaast brengt AI nieuwe beveiligingsrisico's met zich mee die in veel ISMS-en nog niet zijn verwerkt. Wie denkt dat een eenmalige implementatie voldoende is, zal merken dat het ISMS langzaam achterloopt op de werkelijkheid.
"De norm verandert, dreigingen veranderen en organisaties ontwikkelen zich continu. Daarom kijken we tijdens een interne audit niet alleen naar compliance, maar ook naar de vraag of het ISMS nog aansluit bij de risico's en ambities van vandaag", zegt Gijs Nabuurs, Consultant bij Fendix.
Voor NOBEARS zijn interne audits dan ook een vast onderdeel van het ISMS geworden en geen jaarlijkse verplichting die ze liever overslaan.
Klaar voor een frisse blik op jouw ISMS?
Zoals NOBEARS ervaarde, kunnen interne audits veel meer opleveren dan alleen compliance. Ze helpen organisaties om blinde vlekken te ontdekken, processen te verbeteren en met vertrouwen externe audits tegemoet te gaan.
Benieuwd wat een onafhankelijke audit voor jouw organisatie kan betekenen?
Plan een vrijblijvende kennismaking
Involved consultants
Kilian Houthuijzen
Commercial Manager
Kilian
Houthuijzen
Commercial Manager & Partner
Benieuwd wat een onafhankelijke audit voor jouw organisatie kan betekenen?
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
