Onze klanten de hoogste norm van informatiebeveiliging bieden met goed ingerichte processen die voldoen aan internationale normen, dat vinden wij bij BOLD Digital belangrijk! Daarom hebben we hard gewerkt aan het behalen van onze certificeringen voor ISO 27001 (gegevensbescherming) en 9001 (internationale norm voor kwaliteitsmanagementsystemen).
Tijdens de ISO-implementatie hebben de ervaringen van onze relaties, die al een ISO-implementatie hebben doorlopen, ons ontzettend geholpen. Daarom bieden wij ons nu zelf aan als vraagbaak voor een ieder die aan de slag wil gaan met het behalen van de ISO-certificering. Om je alvast op weg te helpen, delen we in dit artikel een aantal van onze uitdagingen en ervaringen, aangevuld met nuttige tips. Doe er je voordeel mee!
De grootste uitdagingen tijdens ISO-implementatie
1. Een niet volledig ingerichte basis
Toen de ISO-implementatie begon, hadden we al veel van de basiselementen ingericht met behulp van tools die ons hierbij ondersteunen. Zo voeren wij de projectadministratie uit in Jira, de daarin geïntegreerde urenadministratie via Tempo, het on- en offboarding proces via Hooray, gebruiken we GlassFrog voor onze overleggen en Confluence voor het vastleggen van onze procedures en werkdocumenten.
Eén ding miste echter: functieomschrijvingen. Bij BOLD Digital werken we namelijk op basis van Holacracy. Hierdoor kennen we geen functies, maar rollen met ieder hun eigen verantwoordelijkheden. Deze werkwijze wordt niet erkend door de ISO, wat betekent dat we extra stappen hebben moeten zetten om functies en omschrijvingen te integreren.
Hoe het is opgelost:
We hebben kritisch gekeken naar hoe we de rollen konden omzetten naar meer traditionele functieomschrijvingen, zonder onze Holacracy-structuur volledig los te laten. Dit kostte extra werk, maar heeft uiteindelijk gezorgd voor meer duidelijkheid over wie waarvoor verantwoordelijk is binnen ons team.
Tip: Zorg dat je de basiselementen op orde hebt, voordat je de ISO-implementatie start.
2. ISO-implementatie combineren met dagelijkse werkzaamheden
Twee collega’s binnen BOLD Digital waren de kartrekkers van de ISO-implementatie, dit betekende echter niet dat hun dagelijkse werk even kon stoppen. Dit zorgde voor een extra belasting van de betreffende medewerkers.
Hoe het is opgelost:
De ISO-implementatie hebben we over een langere periode uitgespreid. Zo waren we in staat om de dagelijkse werkzaamheden te combineren. Door de ISO-implementatie flexibel en op basis van Scrum aan te pakken, waren we in staat om snel in te spelen op wijzigingen. Daarnaast is er buiten de reguliere werktijden gewerkt, om zo de werkzaamheden in absolute rust en focus uit te voeren.
Tip: Zorg dat de mensen die de ISO-implementatie begeleiden genoeg ruimte krijgen om zich hierop te focussen. Heb je die ruimte niet? Signaleer dit dan tijdig en stel je doelen en verwachtingen bij.
Extra tip! Zoek een implementatiepartner, die past bij jouw organisatie en die jou begeleidt tijdens de ISO-implementatie.
3. Het meekrijgen van medewerkers
De ISO-certificering brengt meer structuur en regels met zich mee. Hoewel dit goed is voor de organisatie, is het soms lastig voor medewerkers die meer vrijheid gewend zijn. De medewerker zal zijn gedrag moeten aanpassen.
Hoe het is opgelost:
Onze medewerkers zijn vanaf het begin betrokken geweest bij de ISO-implementatie. Waarbij begonnen is met het duidelijk uitleggen waarom we dit als organisatie willen doen. De medewerkers zijn meegenomen in wat er ging veranderen en via presentaties werden ze op de hoogte gebracht van de voortgang. Op deze manier creëerden we betrokkenheid, zonder het gevoel te geven dat we de controle overdreven strak hielden. Daarnaast integreerden we de ISO-controls binnen de bestaande processen en systemen, waardoor de impact van de ISO-implementatie minimaal was. Hierdoor was het voor de medewerkers makkelijker eigen te maken en werd het eerder geaccepteerd.
Tip: Begin vroeg met het betrekken van medewerkers in het proces en vertel wat het doel is van het behalen van de ISO-certificering. Zo voelen ze zich gehoord en zijn ze eerder bereid om mee te werken aan de veranderingen.
De interne audit: het moment van de waarheid
Een spannend onderdeel van de ISO-implementatie is de interne audit. Hierbij wordt beoordeeld of alle processen en systemen goed zijn ingericht volgens de ISO-normen. Met succes hebben we deze interne audit doorstaan!
Wat vooral positief werd beoordeeld, is dat we onze processen hebben geïntegreerd in bestaande systemen die we al gebruikten, zoals Hooray, GlassFrog, Confluence en Jira. Dit maakte het voor ons makkelijker om de nieuwe ISO-richtlijnen toe te passen zonder onze hele werkwijze om te gooien.
Deze succesvolle interne audit is mede dankzij Panterra een succes geworden. Zij hebben ons tijdens de gehele ISO-implementatie begeleid.
Tip: Probeer nieuwe processen zoveel mogelijk te integreren in systemen die je al gebruikt. Dit maakt het hele traject minder ingrijpend.
Hoewel veel goed is ingericht, waren er ook nog een aantal verbeterpunten, zoals het verfijnen van onze risicoanalyse en het bijwerken van onze leverancierslijst.
Breder kijken dan alleen ISO
De ISO-implementatie heeft ons een bredere kijk op onze interne processen opgeleverd. Zo gebruiken we nu de Yubikey waarmee we de autorisatiestructuur hebben aangescherpt.
Daarnaast zijn onze processen nog overzichtelijker geworden en is er meer structuur in de uitvoering hiervan. Medewerkers weten beter wat hun verantwoordelijkheden zijn en denken actief mee over verbeteringen, vooral op het gebied van informatiebeveiliging.
Tip: Zie de ISO-certificering breder dan alleen het certificaat. Het is een kans om je organisatie te verbeteren en te laten groeien.
Conclusie ISO-implementatie
Onze klanten zijn nu verzekerd van de hoogste normen op het gebied van informatiebeveiliging en kwaliteitsmanagement. Dit dankzij ISO 27001 waardoor wij als organisatie nu een robuuste informatiebeveiliging waarborgen, terwijl ISO 9001 ons helpt om de kwaliteit van onze processen continu te blijven verbeteren.
Een leerzame ervaring, die ons niet alleen nieuwe perspectieven heeft gegeven, maar ook een absolute bevestiging dat we al op de goede weg waren. Doordat we ons nu nog meer bewust zijn van de risico’s en beveiligingsmaatregelen en de kwaliteitsnormen te vergroten, zijn we nog beter in staat om proactief in te spelen op toekomstige uitdagingen.
Denk je erover om ook aan de slag te gaan met de ISO-certificering en heb je behoefte aan nog meer informatie? Neem dan gerust contact met ons op. We helpen je graag verder!
Een laatste tip: Zie het behalen van de ISO-certificering niet als doel op zich, maar als een middel om de hoogste norm van informatiebeveiliging en kwaliteitsmanagement te bereiken.