De ISO-certificatie van Level27

ISO certificaten

Level27 is ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteit) gecertificeerd. In dit artikel vertellen we onze persoonlijke ervaringen tijdens ons traject.

Level27 is ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteit) gecertificeerd. In dit artikel vertellen we onze persoonlijke ervaringen tijdens ons traject.

Waarom?

In de hostingwereld is ISO 27001 belangrijk. Als klant wil je het vertrouwen hebben dat je gegevens in veilige handen zijn, en het certificaat geeft jou die bevestiging.

Als professionele hostingpartner zijn we dan ook aan onszelf verplicht om deze certificatie te doen. Maar omdat onze baseline niet voor niets 'Hosting. Beter.' is, wilden we hier toch wel een uniek accent in leggen.

De visie

We wilden niet 'zomaar' certificeren. De investering in tijd en middelen is aanzienlijk, daarom deden we het niet enkel voor het certificaat, maar ook omwille van strategische redenen. Daarmee bedoelen we dat we niet enkel een ISO-handboek in de kast willen hebben liggen, maar dat we de elementen uit ISO ook daadwerkelijk willen implementeren om onze organisatie nog beter te maken.
Dat is ook de reden waarom we niet enkel voor het gebruikelijke ISO 27001 certificaat gegaan zijn, maar ook ineens voor het minstens even belangrijke ISO 9001 certificaat.

Onze partners

Voor een ISO-audit heb je natuurlijk een auditor nodig, de organisatie die door ISO gemachtigd is om te onderzoeken of een bedrijf in aanmerking komt voor certificatie. Uiteraard is de reputatie van deze organisatie ook van belang. Na een grondig marktonderzoek kwamen we terecht bij BSI Group.

Een ISO-audit bestaat uit een pre-audit, waarbij BSI checkt of aan de basisvereisten voldaan is. Enkele weken later volgt dan de eigenlijke audit, waarbij je volledige bedrijf in detail onder de loep wordt genomen.

Daarna wordt jaarlijks een update gepland, waarbij gechecked wordt of de organisatie nog steeds voldoet en of eventuele actiepunten wel degelijk worden aangepakt. Om de drie jaar gebeurt een volledige audit.

Iedereen kan een audit aanvragen bij BSI Group. Veel van de invulling van de norm heeft ook te maken met gezond verstand. Maar om écht te voldoen aan alle (soms technische en juridische) aspecten van de norm, hebben we begeleiding gezocht. Die begeleiding hebben we gevonden bij Bob van KVGM-IS . Doorheen het hele traject is hij onze rots in de branding geweest.

Ons traject

Waaruit bestaat nu zo'n traject in feite? Ik deel hier onze eigen ervaringen, hoe wij dit project hebben aangepakt en wat de valkuilen en successen zijn.

De start

Laten we beginnen met te vertellen dat de inspanningen aanzienlijk zijn, maar niet ondoenbaar. Met aanzienlijk bedoel ik dat het niet vanzelf gaat. Het volstaat niet een externe 'ISO Bob' in je bedrijf te halen en hem zijn werk te laten doen en na een paar maanden het ISO-boek te overhandigen aan de auditor. Althans niet volgens de visie die wij voor ogen hadden. De inspanning is dan ook compleet: de volledige organisatie moet betrokken worden in het proces.

Anderzijds is de inspanning ook niet ondoenbaar. In ons geval hadden we al heel wat processen en instructies voordat we aan dit traject begonnen zijn. Tijdens ons project zijn veel van die instructies geoptimaliseerd en aangepast om te voldoen aan de ISO-norm.

In de eerste dagen van het project zijn we dan ook begonnen met het in kaart brengen van wat we allemaal hebben. De bestaande processen werden samen met Bob van KVGM-IS bekeken en geëvalueerd.

De tools

De volgende stap is het opzetten van een systeem om alle documentatie in te structureren. Hoera, dat hadden we al: Confluence. Confluence is een zogenaamde wiki, naar het voorbeeld van Wikipedia. Een systeem waar je dus structuur in kan brengen en waar iedereen tekst en documentatie kan aanpassen:

Confluence is niet door iedereen geliefd, maar het is wel een tool die sterk in ontwikkeling blijft en alle features biedt die wij nodig hebben!

Een voorbeeldje van de KPI-pagina en de algemene structuur van onze Operations-afdeling:

Confluence bevat heel veel info, documentatie en registraties. Actiepunten en todo's houden we bij in Trello. Trello wordt nu ook onderhouden door Atlassian, de maker van Confluence. Het mooie aan Trello is dat het voldoende vrijheid biedt, maar toch toelaat om structureel te werken.

Het digitale equivalent van dit dus:

De weg naar de pre-audit

Tijdens de maanden voorafgaand aan de pre-audit hebben we dus onze processen gestroomlijnd. We hebben onze risico's verder geïdentificeerd en actiepunten in Trello gezet.

Het belangrijkste tijdens deze fase was alle medewerkers te betrekken in het project. Het belang van het project werd dan ook van in het begin duidelijk voor alle medewerkers. Iedereen voerde een deel van de taken uit.

Naarmate het project vorderde en de deadline van de pre-audit naderde, werd duidelijk dat we goed zaten. De mijlpalen die we in het begin van het project opgesteld hadden, waren hier dan ook van grote hulp.

De pre-audit

Voordat BSI Group aan de audit begint, komen ze eerst 'eens kijken', de zogenaamde 'pre-audit'. De bedoeling van deze korte pre-audit is om tijd en geld te besparen als blijkt dat de organisatie nog totaal niet klaar is voor een ISO-audit. Ook worden tijdens deze pre-audit opmerkingen en raadgevingen geformuleerd die je nog kan aanpakken in de periode voor de echte audit.

De pre-audit verliep prima :)

De weg naar de audit

In de weken tussen de pre-audit en de audit hebben we de tijd genomen om alles af te werken. Losse eindjes werden weggewerkt, asset-tags werden op onze toestellen geplakt, de laatste hand werd gelegd aan de risico's en de Confluence-documentatie.

De audit

Dan is het zover - de audit zelf. Een volledige ISO-audit (en in ons geval 9001 én 27001) neemt verschillende dagen in beslag en wordt erg grondig gevoerd. De auditor bekijkt het volledige managementsysteem en noteert zijn bevindingen. Aangezien wij alle medewerkers betrokken hebben in het proces, betekende dit ook dat de auditor elk onderdeel apart met hen behandelde.

Tijdens een audit kan de auditor volgende bevindingen noteren:

  • een mogelijkheid tot verbetering
  • een niet-kritieke afwijking
  • een kritieke afwijking

Kritieke afwijkingen betekenen logischerwijs dat je niet geslaagd bent voor de audit en correctieve acties moet gaan doen alvorens het certificaat verstrekt zal worden. Tijdens onze audit werd er geen enkele kritieke afwijking geconstateerd!

 

"Tijdens mijn bezoek viel vooral de sereniteit op. Het lijkt alsof stress of problemen onbestaande zijn bij Level27. Als onderliggende oorzaken vond ik een geweldige technische expertise, sterk doorgedreven automatisering en heel concreet meetbare objectieven. Die combinatie van factoren, gekoppeld aan een duidelijke afbakening van de activiteiten (hosting) en een pragmatische invulling van de normeisen, resulteerde voor Level27 in een effectief management systeem voor kwaliteit en informatiebeveiliging."

Koen Beroudiaux

BSI auditor

Het resultaat

Twee weken na onze audit hadden we onze certificaten in de mailbox. Level27 is ISO 27001 en 9001 gecertificeerd!

En nu?

Vanaf nu zullen we elk jaar opnieuw bezoek krijgen van de auditor van BSI Group. Hij zal verifiëren of we leven naar de norm en zal dit bevestigen door de certificatie voor 1 jaar te verlengen.

Wat hebben wij geleerd en wat kan jij hieruit leren?

Het voornaamste punt dat we geleerd hebben is dat je ook als een kleine organisatie een ISO-certificaat kan halen. Wij hebben gewacht tot we voldoende groot waren, maar dat is niet nodig! Dat zou ik dan ook als raadgeving willen meegeven: je hoeft niet te wachten! Je organisatie is sneller klaar voor een ISO-audit dan je denkt. En als je nog niet klaar bent, helpt een ISO-traject je echt om over jezelf na te denken en te professionaliseren.

Waar ik ook van overtuigd ben, is dat je dit als organisatie in zijn geheel moet aanpakken. Het werkt niet om 1 of 2 personen te 'belasten' met de ISO-opdracht. Veel organisaties doen dit zo, maar het resultaat is een papieren tijger in de kast die door niemand gaat gebruikt worden. Een ISO-traject moet in je hele organisatie beleefd worden en het bewustzijn moet bij iedereen ingebakken worden. Anders is het zonde van tijd en geld.

"Algemene conclusie: het is het waard geweest!"

Peter Fastré

Zaakvoerder Level27

Heb je hier vragen over?

Stel dan gerust je vraag via onze chatbox, contact, Facebook, Instagram, phone , ...

Deel deze blog via