ISO certificering als strategische keuze van Level27

Peter Fastré en Thomas Woidt van Level27 ontvangen de certificaten van Eltjo Veentjer van BSI Waarom certificering?

In de hostingwereld is ISO 27001 belangrijk. Een klant wil het vertrouwen hebben dat zijn gegevens in veilige handen zijn en zo’n certificaat geeft die bevestiging. Als professionele hostingpartner zijn we dan ook aan onszelf verplicht om deze certificatie te doen. Maar omdat onze baseline niet voor niets 'Hosting. Beter.' is, wilden we hier toch wel een uniek accent in leggen, vertelt Peter Fastré, oprichter van Level27. 

De visie

We wilden niet 'zomaar' certificeren, want de investering in tijd en middelen is aanzienlijk. Daarom zagen we dit niet alleen als ‘het hebben van het certificaat’, maar ook als strategische keuze. Met strategische keuze bedoelen we dat we geen ISO-handboek in de kast willen hebben liggen, maar dat we de elementen uit ISO daadwerkelijk implementeren om onze organisatie nog beter te maken. Daarom gingen we niet alleen voor het gebruikelijke ISO 27001 certificaat, maar ook meteen voor het minstens even belangrijke ISO 9001 certificaat. 

Auditor

Voor een ISO-audit is natuurlijk een auditor nodig. Dat is de organisatie die door ISO gemachtigd is om te onderzoeken of een bedrijf in aanmerking komt voor certificering. Uiteraard is de reputatie van deze organisatie ook van belang. Na een grondig marktonderzoek kwamen we terecht bij BSI Group. Een ISO-audit bestaat uit een pre-audit , waarbij BSI checkt of aan de basisvereisten voldaan is. Enkele weken later volgt dan de eigenlijke audit, waabij het volledige bedrijf in detail onder de loep wordt genomen. Daarna wordt jaarlijks een update gepland, waarbij gecheckt wordt of de organisatie nog steeds voldoet en of eventuele actiepunten wel degelijk worden aangepakt. Om de drie jaar wordt er een volledige audit uitgevoerd. 

Ons traject

Laten we beginnen met te vertellen dat de inspanningen aanzienlijk zijn, maar niet ondoenbaar . Met aanzienlijk bedoel ik dat het niet vanzelf gaat. Het volstaat niet een externe 'ISO Bob' in je bedrijf te halen en hem zijn werk te laten doen en na een paar maanden het ISO-boek te overhandigen aan de auditor. Althans niet volgens de visie die wij voor ogen hadden. De inspanning is dan ook compleet: de volledige organisatie moet betrokken worden in het proces.

Anderzijds is de inspanning ook niet ondoenbaar. In ons geval hadden we al heel wat processen en instructies voordat we aan dit traject begonnen zijn. Tijdens ons project zijn veel van die instructies geoptimaliseerd en aangepast om te voldoen aan de ISO-norm.

Het traject is goed verlopen. Koen Beroudiaux, de auditor van BSI vertelt er het volgende over: ”Tijdens mijn bezoek viel vooral de sereniteit op. Het lijkt alsof stress of problemen onbestaande zijn bij Level27. Als onderliggende oorzaken vond ik een geweldige technische expertise, sterk doorgedreven automatisering en heel concreet meetbare objectieven. Die combinatie van factoren, gekoppeld aan een duidelijke afbakening van de activiteiten (hosting) en een pragmatische invulling van de normeisen, resulteerde voor Level27 in een effectief management systeem voor kwaliteit en informatiebeveiliging."

Wat hebben wij geleerd en wat kan jij hieruit leren?

Het voornaamste punt dat we geleerd hebben is dat ook kleine organisaties een ISO-certificaat kunnen halen. Wij hebben gewacht tot we voldoende groot waren, maar eigenlijk is dat niet nodig! Dat zou ik dan ook als raadgeving willen meegeven: je hoeft niet te wachten! Je organisatie is sneller klaar voor een ISO-audit dan je denkt. En als je nog niet klaar bent, helpt een ISO-traject je echt om over jezelf na te denken en te professionaliseren. Waar ik ook van overtuigd ben is dat je dit als organisatie in zijn geheel moet aanpakken. Het werkt niet om 1 of 2 personen te 'belasten' met de ISO-opdracht. Veel organisaties doen dit zo, maar het resultaat is een papieren tijger in de kast die door niemand gaat gebruikt worden. Een ISO-traject moet in je hele organisatie beleefd worden en het bewustzijn moet bij iedereen ingebakken worden. Anders is het zonde van tijd en geld.

Algemene conclusie: het is het waard geweest!