Scamander is een bedrijf gespecialiseert in het ontwikkelen en beheren van BI-dashboards en systemen. Scamander bedient klanten in uiteenlopende sectoren in het bijzonder (semi-) overheid.
Behoefte aan een certificaat
Scamander bouwt strategische dashboards voor haar klanten. Om dit mogelijk te maken raadpleegt, normaliseert, combineert en verrijkt Scamander kritieke bedrijfsinformatie.
Scamander heeft een reputatie dit op een zorgvuldige en veilige wijze te doen. Nieuwe wetgeving vereist echter dat de opdrachtgever dit op aantoonbare wijze toetst. Een ISO certificaat maakt deze controle mogelijk. Daarom wordt steeds vaker om een ISO-certificering gevraagd.
Informatieveiligheid is altijd onderdeel geweest van de systeemontwerpen van Scamander. Het formaliseren van het werkproces en deze certificeren was een logische vervolgstap.
Het implementatietraject
Samen met de verantwoordelijk medewerker hebben we een interne audit afgenomen. Deze audit hebben we gebruikt om een goed beeld te krijgen van de huidige organisatieopzet, werkwijze en nog ontbrekende zaken.
Scamander beschikte reeds over een volwassen ticketproces. De uitkomsten van de audit hebben we direct als werk in het ticketproces ingebracht.
De inzichten en uitkomsten van de interne audit zijn door Crucialis gebruikt om direct een eerste versie van het ISMS document op te stellen.
Scamander was al ver gevorderd waardoor een eerste draft van het document binnen een werkweek door Crucialis kon worden opgesteld. De nog ontbrekende zaken zijn later aan het document toegevoegd.
Parallel hieraan zijn we met Scamander aan de slag gegaan om de nog ontbrekende elementen in hun bestaande processen onder te brengen. In veel gevallen betrof dit het aanbrengen van extra verslaglegging om de aandacht voor informatieveiligheid in beleid en aanpak auditeerbaar te maken.
Crucialis heeft Scamander gedurende het implementatietraject ondersteund met kant-en-klare templates, duiding en toelichting op de beleids- en normteksten.
Kans en bedreiging
Scamander had zelf al tal van maatregelen in de organisatie getroffen. Voorbeelden hiervan waren reeds aanwezige cmdb processen, itsm processen, periodieke controles en beoordelingen.
Mede hierdoor was al veel van de verplichte informatie en bewijslast aanwezig. Dit heeft enorm bijgedrage aan het verneld certificeren.
Tegelijkertijd is dit een risico. Gedurende de implementatie worden extra dimensies van aandacht aangebracht in bestaande processen. Doordat deze processen al gemeengoed zijn loopt een organisatie risico deze aandachtspunten over te hoofd te zien en terug te vallen in oude gewoonten.
Om dit risico te ondervangen is er een bewustzijnsprogramma vormgegeven die de medewerkers scherp houdt (nudging). Crucialis heeft tot certificering ondersteund en geholpen met onder andere het opstellen van auditprogramma’s en het inplannen van de verplichte interne- en externe audits.
Resultaat
Scamander heeft de certificeringsaudit na een implementatieperiode van enkele maanden succesvol doorlopen en is nu trotse eigenaar van het ISO27001:2023 certificaat.