ISO 9001 en ISO 27001 in the pocket
"ISO 9001 is niet voor een bepaalde sector; het kan worden toegepast op zowel een schoonmaakbedrijf als een softwarebedrijf. Ongeacht de aard van de organisatie dus”, legt Dorien uit. Ze vertelt dat ze voor de ISO’s het PDCA-model volgt, waarbij planning, uitvoering, evaluatie en voortdurende verbetering centraal staan. “Het is van belang om jaarlijkse controles en interne audits te doen om de naleving te waarborgen, zelfs als het certificaat iedere drie jaar wordt vernieuwd.
ISO 27001 staat voor Informatiebeveiliging en gaat niet alleen over technologie, maar ook over het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie”, legt Dorien uit. Ze benadrukt dat incidenten, waarbij deze aspecten in ‘gevaar’ komen, onmiddellijk moeten worden gemeld aan de Security Officer. Dorien zelf dus :-). Zo kan zij registreren en monitoren wat er met het incident gebeurt, om zo de continue verbeteringen binnen Suneco aan te kunnen tonen tijdens externe audits.
De implementatie van ISO is niet ‘easy’ ;-)
"De implementatie van ISO is niet iets wat je zomaar doet; het vereist wel wat voorbereiding," aldus Dorien. In haar rol vindt ze vooral het opzetten van structuren en het bedenken van de meest effectieve oplossingen leuk. "De norm is heel algemeen geschreven en vrij breed, dus het is echt nodig om te kijken wat jouw bedrijf specifiek nodig heeft." Dorien hamert erop dat het vastleggen van zaken en het kunnen laten zien ervan cruciaal is in het hele ISO-proces.
Interne audits voor continue verbetering
"Interne audits zijn nodig om te beoordelen of de vastgestelde normen daadwerkelijk worden nageleefd," zegt Dorien. Ze benadrukt dat deze audits niet alleen wijzen op punten waar we niet volledig aan voldoen, maar ook kansen bieden voor verbeteringen. "Soms realiseren mensen zich tijdens de gesprekken die ik tijdens de interne audit met ze voer dat er nog meer verbeterd kan worden, zelfs als we het benodigde niveau voor de norm al geregeld hebben.”
Het naleven van de ISO
"Mijn rol is om, tussen de audits door, vanaf een afstandje te kijken naar wat collega’s doen. Ik heb ook de training Lead Auditor Informatiebeveiliging ISO 27001:2022 gevolgd, wat een vrij intensieve cursus van een volle week was.”
Leren en verbeteren
"We zijn nu gecertificeerd tot 2027, maar we blijven jaarlijks gecontroleerd worden. We blijven leren en verbeteren," sluit Dorien af.