We did it - again! We zijn goedgekeurd voor ISO 27001

Simacan is weer door de keuring heen! Wij zijn namelijk wederom goedgekeurd voor de ISO 27001 certificering. Alweer voor het 3e jaar op rij! Met dit certificaat voor informatiebeveiliging kunnen wij aantonen dat ons ISMS, ons managementsysteem voor informatiebeveiliging, voldoet aan de strenge voorwaarden van deze ISO 27001 standaard.

Aan de ISO 27001 standaard voldoen betekent onder andere dat wij onze processen, onze systemen én onze software voortdurend onderwerpen aan grondige controles. Ook zien wij erop toe dat onze medewerkers op een veilige manier met informatie omgaan. Dat geldt natuurlijk voor alle informatie binnen Simacan - niet alleen bedrijfsgevoelige informatie, maar ook de gegevens van onze klanten én de gegevens van onze eigen medewerkers. Op deze manier kunnen wij namelijk ook voldoen aan de huidige wetgeving, zoals bijvoorbeeld de AVG.

Hoe werkt een audit?

Wat houdt dat nou eigenlijk in; een audit? Voor Simacan is dat ieder jaar weer anders: als relatief jonge scale-up hebben we recent een behoorlijke groeispurt doorgemaakt. Dit betekent dat we dit jaar onze 50e collega (!) mochten verwelkomen. Omdat de lengte van een audit wordt berekend op onder andere het aantal werknemers, duurde de audit dit jaar 4 dagen. Dat is best lang. En eigenlijk zijn wij daar blij mee; alles wat een auditor bevindt, is voor ons namelijk een kans om onze processen veiliger te maken en een betere dienst te leveren.

In de praktijk betekende deze audit dat er op een maandagochtend vijf man klaar zat om aan de auditor te laten zien wat wij doen, en vooral: hoe wij dit doen. Vanwege corona gebeurde dit vanuit ieders huis. Omdat er al maanden probleemloos vanuit huis gewerkt wordt week een audit op afstand niet veel af van de dagelijkse gang van zaken. En een mooi pluspunt: hiermee konden wij al vroeg in de audit de kwaliteit en flexibiliteit van onze processen laten zien.

De start van een audit is altijd met een wat grotere delegatie: na de introductie van onze organisatie door CEO Rob en COO Michiel, werd de rest van de audit uitgevoerd met Rick (Manager Operations), Willem-Jan (CISO a.i.) en John (Security & Privacy Officer). Onder leiding van de auditor is dit team in de eerste drie dagen door de gehele organisatie gegaan: van de interne IT en het clean desk beleid, tot de secure development policy en de naleving van wet- en regelgeving - met een regelmatige aanvulling door een andere collega, zoals bijvoorbeeld voor een toelichting van de werkwijzen binnen HR of Product Engineering.

Het resultaat

Het laatste onderdeel van deze audit was de fysieke inspectie van de werkomgeving. Met deze inspectie onderzoekt de auditor hoe het kantoor eruit ziet: hoe de werkplekken zijn ingericht, hoe de toegang tot het gebouw is geregeld en waar de gevoelige apparatuur zich bevindt - dit alles gebeurde onder begeleiding van onze System Administrator Tom.

Deze ronde door het gebouw, waar in sommige ruimtes wat tekst en uitleg gevraagd wordt, zag er nu iets anders uit: waar de auditor normaal gesproken gelegenheid vindt nog wat vragen te stellen aan één van de vele collega’s, werd het nu een wandeling door een vrijwel verlaten Simacan kantoor. Met het afronden van deze wandeling werd ook de audit afgerond. Na een kort beraad, waarbij de auditor de ervaringen van de vier dagen in overweging neemt, wordt een conclusie geformuleerd.

En de conclusie van de auditor aan het einde van deze vier dagen? Inclusief een paar verbeterpunten voor het komende jaar - GESLAAGD!

Meer over de veiligheid van het Simacan platform

Meer weten over ons ISMS of over de beveiliging en privacy op het Simacan platform >>