ISO 27001:2023 klasse 2 controle audit succesvol afgerond

Op 6 mei is onze ISO 27001:2023 klasse 2 controle audit afgerond. Geen openstaande non-conformities, certificering blijft van kracht.

Wat dat is, en waarom het er toe doet voor jullie als klant.

Wat een controle audit inhoudt

Een ISO 27001-certificering is geen eenmalig moment. Na de initiële certificering volgt jaarlijks een controle audit (ook wel surveillance audit genoemd) waarin een externe auditor toetst of het managementsysteem voor informatiebeveiliging nog steeds werkt zoals het hoort. Elke drie jaar volgt een volledige hercertificering. Een controle audit is dus geen formaliteit, maar de jaarlijkse externe bevestiging dat de norm in de praktijk wordt nageleefd, niet alleen op papier.

Wat ISO 27001:2023 inhoudt

ISO 27001 is de internationale norm voor information security management. Het beoordeelt niet één losse maatregel, maar het hele systeem waarmee een organisatie informatiebeveiliging organiseert. Beleid, risicoanalyses, technische controls, processen rondom incidenten, leveranciers, toegang, change management, en hoe dat alles wordt bestuurd en bijgesteld.

De 2023-versie is de actuele uitgave en vervangt de 2013-norm die je nog vaak op leveranciers-websites ziet staan. Annex A is opnieuw ingedeeld en er zijn elf nieuwe controls toegevoegd. De belangrijkste daarvan: threat intelligence, informatiebeveiliging in cloudomgevingen, data masking, secure coding, configuratiemanagement, en monitoring van activiteiten. Stuk voor stuk gebieden die direct raken aan hoe een SaaS-platform voor letselschade werkt.

Wat het concreet oplevert voor onze klanten

Verzekeraars en gemachtigden moeten onder DORA en de AVG kunnen aantonen dat ketenpartners hun informatiebeveiliging op orde hebben. Tot nu toe gebeurde dat met vragenlijsten, due diligence-trajecten en losse onderbouwingen per onderwerp. Met dit certificaat, en de jaarlijkse externe bevestiging dat de werking nog klopt, hebben zij één extern getoetst document dat de kern van die vragen afdekt.

Voor hun compliance team scheelt dat tijd in vendor assessments. Voor hun DPO geeft het onderbouwing bij de TOMs in de verwerkersovereenkomst. Voor hun interne audit en de DORA rapportage richting toezichthouder is het een bouwsteen die ze niet zelf hoeven te produceren. En voor de gesprekken die we samen voeren betekent het dat we het niet meer over checklists hoeven te hebben, maar over hun processen en hun klanten.

Hoe dit aansluit op hoe we bouwen

In onze KubeCon-terugblik schreven we dat veel systemen 'built to fail' zijn omdat informatiebeveiliging er pas op het einde bij wordt gehaald. Een certificaat dat alleen op papier bestaat lost dat probleem niet op. De waarde van ISO 27001 zit in de discipline die de norm afdwingt in de dagelijkse praktijk: in code reviews, in incident response, in hoe we omgaan met toegangsrechten, in keuzes die soms ongemakkelijk zijn richting klanten en partners.

Een controle audit is precies het mechanisme dat dat eerlijk houdt. Eens per jaar komt iemand van buiten kijken of we doen wat we zeggen.

Wat hierna komt

Het dreigingsbeeld verandert continu en de norm beweegt mee. Onze roadmap voor de komende periode bevat verdere uitbouw van threat detection, uitbreiding van het portaal-ecosysteem voor nieuwe verzekeraars, en doorontwikkeling van de integratielaag tussen Axon, QIS en Azori. Volgend jaar staat de volgende controle audit op de planning, het jaar daarna de hercertificering.

Vragen over scope, certificaatnummer? Neem contact met ons op.

‍