1. Doelstelling: Het opzetten en implementeren van een Information Security Management System (ISMS) en dit laten certificeren volgens de ISO 27001-norm. Doel is het structureel waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen online applicaties, portals en digitale tools.
2. Opdrachtgever: eCoachPro/ UNLOQ
3. In samenwerking met: Det Norske Veritas (DNV) (certificerende instelling).
4. Resultaat: Een robuust en organisatiebreed ISMS, waarin ontwikkeling, beheer en onderhoud van digitale systemen zijn geborgd. Het ISMS is gecertificeerd volgens ISO 27001:2013 en inmiddels geactualiseerd naar ISO 27001:2022.
5. Bijzonderheden: De projecten ‘Coaching Monitor‘, ‘People Analytics’, ‘Wikipedia E-learning’, ‘Pluform’ & ‘iRobin’ vallen allemaal onder deze ISO 27001-certificering, waardoor informatiebeveiliging domeinoverstijgend is geborgd.
6. Projectsamenvatting: Het project richtte zich op de implementatie van een ISO 27001-compliant ISMS via een systematische en risicogestuurde aanpak, waarin onder meer risicobeheer, toegangscontrole, technische beveiliging, logging en incidentrespons centraal stonden.
De uitvoering was gericht op het structureel beschermen van kritieke systemen en gegevens. De behaalde certificering onderstreept de effectiviteit van de aanpak en de naleving van internationale normen voor informatiebeveiliging.
Resultaten
- ISO 27001-certificering behaald: ISO 27001-certificering behaald
Het Information Security Management System (ISMS) is volledig geïmplementeerd en gecertificeerd volgens de ISO 27001-norm. Dit betekent dat online applicaties, portals en digitale tools aantoonbaar voldoen aan internationale standaarden voor informatiebeveiliging, met expliciete aandacht voor vertrouwelijkheid, integriteit en beschikbaarheid van informatie. - Beveiliging van online systemen: Alle kritische online applicaties en tools, waaronder bedrijfswebsites, portals en interne platforms, zijn structureel beveiligd tegen risico’s zoals malware, datalekken en ongeautoriseerde toegang.
- Sterk toegangsbeheer: Er is een strikt toegangsbeveiligingsbeleid geïmplementeerd, gebaseerd op het ‘need-to-know’-principe, in combinatie met tweefactorauthenticatie (2FA) voor alle medewerkers en externe partners.
- Incidentrespons en monitoring: Er is een solide incidentresponsprotocol opgesteld en operationeel gemaakt, inclusief real-time monitoring en uitgebreide logregistratie. Dit draagt bij aan vroegtijdige detectie van cyberdreigingen en een snelle en gecontroleerde afhandeling van incidenten.
- Back-up- en redundantieplan: Er is een robuust back-up- en herstelmechanisme ingericht, waardoor de organisatie beter voorbereid is op noodsituaties, dataverlies en technische storingen.
- Bewustwording en training: Medewerkers zijn structureel getraind in informatiebeveiliging en er is een cultuur van continue verbetering en compliance gerealiseerd binnen de organisatie.
Aanbevelingen
- Voortdurende evaluatie van risico’s: Aangezien technologie en dreigingen continu evolueren, is het belangrijk periodiek risicobeoordelingen uit te voeren en nieuwe kwetsbaarheden tijdig te identificeren en te mitigeren.
- Verdieping van samenwerking met leveranciers: Naast de bestaande samenwerking is het raadzaam leveranciers structureel te beoordelen op informatiebeveiliging en gezamenlijke beveiligingsinitiatieven verder te versterken.
- Verdere automatisering van monitoring: Automatische fout- en dreigingsdetectie kan verder worden geoptimaliseerd, zodat incidenten sneller worden gesignaleerd en opgevolgd, met minimale handmatige tussenkomst.
Conclusie
De implementatie van ISO 27001 binnen de organisatie is succesvol afgerond. De beveiliging van online applicaties, portals en digitale tools is aantoonbaar versterkt, en medewerkers zijn zich bewuster geworden van hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging.
Door continue monitoring, periodieke audits en structurele training kan de organisatie haar hoge beveiligingsstandaarden behouden en zich blijvend beschermen tegen nieuwe en toekomstige dreigingen. Het project vormt daarmee een stevige basis voor duurzame en betrouwbare digitale dienstverlening.
Meer voorbeelden domein: data, procesinrichting en kwaliteitsborging