ISO is de International Organization for Standardization, de organisatie achter duizenden afgesproken normen, van papierformaten tot zeecontainers. Als mensen het in een beveiligingscontext over ‘ISO’ hebben, bedoelen ze meestal ISO 27001: de internationale norm voor het draaien van een managementsysteem voor informatiebeveiliging, ook wel een ISMS.
Zie het als een recept en een keukeninspectie in één. ISO 27001 vertelt je niet precies welk slot je moet kopen. In plaats daarvan vraagt het je om je risico’s in kaart te brengen, maatregelen te kiezen, op te schrijven hoe je met data omgaat, en daarna aan een onafhankelijke auditor te bewijzen dat je ook echt doet wat je opschreef. Die maatregelen overlappen sterk met wat kaders als SOC 2 en wetten als de AVG verwachten.
Een certificaat geeft klanten het signaal dat beveiliging beheerd wordt en niet geïmproviseerd. Het dekt zaken als toegangscontrole, encryptie, incidentafhandeling en regelmatige herziening. De waarde zit in de gewoonte die het afdwingt: risico’s worden elk jaar opnieuw bekeken in plaats van één keer en dan vergeten.
Certificeren is ook geen eenmalige actie. Na de eerste audit volgt elk jaar een controle en ongeveer elke drie jaar een volledige heraudit, dus de maatregelen moeten blijven werken lang nadat de papieren getekend zijn. Een veelgemaakte fout is het behandelen als een medaille om te winnen in plaats van een systeem om te draaien. Een map vol nette beleidsstukken die niemand naleeft overleeft geen echte auditor, en houdt al helemaal geen datalek tegen.
Bij TopDevs bouwen we systemen vanaf het begin met de maatregelen van ISO 27001 in gedachten, zodat een klant die later certificering wil veel minder hoeft aan te passen.