ISO 27001

– Case MONTAE –

Sjoerd van de Meerendonk – Directeur consultancy

Of wij de veiligheid van uw informatie geregeld hebben? Zonder twijfel!

Hoe laat je zonder twijfel zien dat je de veiligheid en vertrouwelijkheid van informatie goed geregeld hebt? Een van de manieren is laten zien dat je binnen twee maanden een ISO 27001 systeem kan implementeren en de audit cum laude afrondt. Met letterlijk geen bevindingen. Dat is uitzonderlijk en kenmerkt dit project en de projectorganisatie van Montae. Lees het verhaal hoe zij dat gedaan hebben.

Vertrouwen als grootste goed
Montae is een ‘trusted advisor’ op pensioen gebied. Zij helpt en adviseert werkgevers, pensioenfondsen en andere partijen in dit werkveld. In die rol ontvangt Montae veel vertrouwelijke en gevoelige informatie. Informatie waarvan zij geacht wordt de veiligheid en privacy op orde te hebben. Dat hebben zij feitelijk ook al lang op orde. Alleen nog niet objectief aantoonbaar. Dat is waarom zij het ISO 27001 certificaat wilden behalen.

Waarom langer nemen als het in twee maanden kan
En dat is gelukt. Binnen een bijzonder kort tijdsbestek en een nog meer bijzonder resultaat. Binnen twee maanden geregeld met een cum laude resultaat. Dat maken wij eerlijk gezegd bijna nooit mee.

Wat zijn de ingrediënten voor succes?
Grondige kennis van de eigen organisatie. Gedrevenheid van het projectteam. Bereidheid om de ISO 27001 materie te willen begrijpen en het online managementsysteem ‘SmartManSys’ waren de ingrediënten voor dit succes.

Vertrekken vanuit de risico’s dat scheelt tijd en inzet
Met de veiligheid en vertrouwelijkheid van de informatie zit het bij Montae al jaren goed. Anders waren zij niet uitgegroeid tot de gerenommeerde partij die zij nu zijn. Maar het lag beperkt vast en was daarmee niet objectief aantoonbaar. Dat bood ruimte voor een efficiënte en slimme insteek. Een die vertrekt vanuit de risico’s. Om daarmee alleen dat aan te pakken waar eventueel iets mis kan gaan. Dat wat goed loopt is ‘slechts’ een kwestie van beschrijven. Waarbij ‘SmartManSys’ veel daarvan al in uitgewerkte vorm beschikbaar stelt.

De grondige kennis van de organisatie helpt enorm om snel risico’s te lokaliseren en te kwalificeren naar de kans dat het zich voordoet en de gevolgen (impact) die er dan kunnen zijn.

Het actieplan als resultaat was voor het projectteam het koersplan richting de audit. Samen met het beschrijven van alle noodzakelijke processen en beleidsstukken, een traject dat zij met succes aflegden.

Case geschreven door Sjoerd van de Meerendonk, Directeur consultancy