Wat is de betekenis van de ISO norm?

ISO Level27

De "International Organization for Standardization" is een organisatie die normen of standaarden vaststelt. Wat is een standaard dan? Een standaard is in feite niets meer of minder dan een afspraak over hoe je iets gaat doen of bouwen. Elk bedrijf heeft interne standaarden, bijvoorbeeld over hoe in alle McDonald's de hamburgers er uitzien en smaken. Of hoe breed de koetswerknaden van alle Audi's ter wereld mogen zijn.

Zo zijn er ook externe standaarden die door organisaties als het ISO opgesteld worden. Bedrijven kunnen zich certificeren bij ISO voor verschillende standaarden, door een zogenaamde audit. Na zo'n audit kan je erop vertrouwen dat het bedrijf werkt volgens een bepaalde standaard, een bepaald niveau of 'level (27)'.

ISO onderhoudt en publiceert duizenden standaarden, elk met een eigen nummer. Velen zijn productspecifiek, sommigen zijn algemeen.

  • De meest bekende en gehoorde is ISO 9001. Dit is de internationale norm voor kwaliteitsmanagementsystemen. Bedrijven met ISO 9001 hebben kwaliteitsdenken fundamenteel ingebouwd, wat je als klant het vertrouwen geeft dat een kwalitatieve dienst de topprioriteit is.
  • ISO 27001 is een standaard voor informatiebeveiliging. Concreet controleert de norm het zogenaamde ISMS (Information Security Management System). Dit managementsysteem voor informatiebeveiliging biedt jou de vrijheid om te groeien, te innoveren en je klantenbestand verder uit te breiden, in de wetenschap dat al je vertrouwelijke gegevens daadwerkelijk vertrouwelijk blijven.

We treden nu wat meer in detail wat betreft de bovengenoemde normen.

ISO 27001

Dit vind ik een mooie samenvatting:

Het ISO 27001 certificaat toont dat gevoelige klanteninformatie in veilige handen is.

Vertrouwelijkheid, integriteit en beschikbaarheid

Laten we beginnen met het laatste: beschikbaarheid. Hoewel het lijkt alsof dit niet veel te maken heeft met veiligheid, is de continuïteit wel opgenomen in de ISO-norm. Immers is dit een belangrijk aspect van onze dienstverlening en absoluut noodzakelijk om het vertrouwen van onze klanten te verdienen.

Integriteit gaat om de zekerheid dat er niet met je gegevens geknoeid wordt. Dus dat jij zeker bent dat je gegevens zijn wat jij wil dat ze zijn.

Vertrouwelijkheid is duidelijk: je wil ten allen tijde dat de gegevens die jij wil beveiligen, niet in verkeerde handen vallen.

Risico's

Ten eerste verplicht de ISO-norm je na te denken over risico's, in de brede zin van het woord. Een risico heeft 2 eigenschappen: de kans dat het zich voordoet en de impact als het zich voordoet. Het product van die 2 eigenschappen bepaalt de noodzaak om maatregelen te nemen tegen het risico. Als maatregelen vereist zijn, nemen we die maatregelen en schatten we het risico opnieuw in alvorens het al dan niet te accepteren.

Een voorbeeldje: de kans dat er een vulkaanuitbarsting voordoet bij 1 van onze datacenters duiden we aan als 'zeer laag'. De impact op de beschikbaarheid als dit toch zou gebeuren is echter wel 'hoog'. Impact op integriteit en vertrouwelijkheid is laag, dus we accepteren het risico op vulkaanuitbarstingen.

Een ander voorbeeld: de kans dat een website van een van onze klanten gehacked wordt is 'zeer hoog'. Dit gecombineerd met een hoge impact op vertrouwelijkheid, integriteit en beschikbaarheid, maakt dat we dit risico niet zomaar accepteren. Door allerlei maatregelen te implementeren, verlagen we echter de kans dat dit gebeurt, waardoor het risico in zijn geheel acceptabel wordt.

Maatregelen

Nu de risico's in kaart zijn gebracht, gaan we alle controles van de ISO-norm bekijken. Hier gaan we echt in detail over welke maatregelen er zijn en waar we nog moeten uitbreiden. Zo controleert de auditor of we een asset management systeem hebben, of we onze leveranciers wel beoordelen, of er correcte toegangsprocedures zijn, of de medewerkers gescreend worden, enzovoort.

Dus herhaal ik nog even wat je moet onthouden:

Het ISO 27001 certificaat toont dat gevoelige klanteninformatie in veilige handen is.

ISO 9001

Een ISO 27001 implementatie betekent dat je je organisatie en zijn processen kritisch moet bekijken. De performantie van een organisatie staat of valt met de kwaliteit van zijn processen.
Het zou dan ook dom zijn om niet de extra mijl richting ISO 9001 af te leggen! Na de focus van ISO 27001, richten wij nu onze aandacht op de werking van de organisatie in zijn geheel!

ISO 9001 beschrijft het bestaan en de werking van een kwaliteitsmanagementsysteem. Een belangrijke opmerking: dit wil niet zeggen dat de kwaliteit van het product of dienstverlening aansluit bij jouw wensen. Het gaat erom dat er een systeem is opgezet om de werking en kwaliteit van je organisatie te garanderen. Dat betekent daarom niet dat jij het eindproduct goed, mooi of lekker vindt! McDonald's heeft ook ISO 9001, maar niet iedereen zal zijn hamburgers appreciëren. :)

Wat is het dan wel? Het is een garantie dat het kwaliteitsdenken in de organisatie is ingebakken. Je bent als klant zeker dat de behandeling die je krijgt geen toeval is, maar dat hierover nagedacht is en dat de processen erop gericht zijn om een consistente kwaliteit te leveren.

Ons implementatieplan van ISO 9001 bevat heel wat elementen:

  • Meten van alle belangrijke elementen in onze dienstverlening in KPI's (Key Performance Indicators)
  • Regelmatige en structurele peiling naar klantentevredenheid
  • Werken naar gerichte, specifieke en tijdgebonden doelen
  • Continue verbetering en bijsturing van beschreven processen (Kaizen filosofie)
  • Regelmatige sessies naar het kwaliteitsdenken

Ook hier wil ik eindigen met de zin die jij moet onthouden:

Het ISO 9001 certificaat toont aan dat de kwaliteit van onze dienstverlening en jouw tevredenheid onze topprioriteit is.

Conclusie

Voor Level27 zijn beide ISO-certificaten de erkenning van de groei en professionaliteit van onze organisatie.

Vragen of opmerkingen?

Laat het ons zeker weten via onze chatbox!
We helpen je graag verder.

Deel deze blog via