VSE behaalt ISO 27001-certificaat
VSE Industrial Automation heeft de ISO/IEC 27001:2022-certificering behaald. Hiermee tonen we aan dat we alle noodzakelijke maatregelen hebben getroffen om gegevens en bedrijfsgevoelige informatie van onze klanten optimaal te beschermen.
De ISO 27001 richt zich op alles wat met toegang te maken heeft: zowel fysieke toegang tot een pand of technische ruimte als digitale toegang tot data en systemen. Het is geen puur technische certificering, omdat naast technologie ook nadrukkelijk wordt gekeken naar mensen en processen. De ā2022ā-revisie is de meest recente versie, die goed aansluit op de huidige digitale samenleving, waarin onder andere cloudbeveiliging en bescherming tegen ransomware essentieel zijn.
Brede scope
āDe ISO 27001-certificering is niet voor elke organisatie hetzelfdeā, legt Robert Vonk, operationeel manager bij VSE, uit. āAls organisatie bepaal je eerst de scope waarvoor je gecertificeerd wilt worden. Daar zijn we in maart 2025 mee gestart. We hebben de scope bewust zo breed mogelijk genomen om klaar te zijn voor de toekomst. Het officiĆ«le toepassingsgebied luidt: informatiebeveiliging met betrekking tot interne IT-processen en data-engineering, hard- en software-engineering, paneelbouw en industriĆ«le automatiseringsprocessen voor zowel commerciĆ«le als overheidsorganisaties. Hiermee zijn we goed voorbereid op de Cybersecurity Act (CSA), in combinatie met de Machineverordening en IEC 62443.ā
Betrouwbaar
Het beschikken over een ISO 27001-certificering is voor veel van onze opdrachtgevers een vereiste voordat er Ć¼berhaupt een samenwerking wordt aangegaan. Dit geldt met name in de infrastructuursector, maar zal op termijn ook in de industrie de norm worden. Steeds meer organisaties moeten immers voldoen aan de Europese NIS2-richtlijn. āDankzij deze certificering kunnen klanten erop vertrouwen dat wij proactief en gestructureerd omgaan met informatiebeveiligingā, zegt Robert. āHun data zijn uitsluitend toegankelijk voor geautoriseerde personen. Back-ups en opslagomgevingen die wij beheren, zijn goed beveiligd en daarmee altijd beschikbaar.ā
Techniek en gedrag
Het certificeringstraject duurde tien maanden en omvatte, naast een interne audit, ook twee externe audits. Deze werden uitgevoerd door de certificatie-instelling Brand Compliance. Gedurende dit traject zijn tal van aspecten grondig onder de loep genomen. Zo is gekeken naar wie wel en geen beheerdersrechten heeft, wie toegang heeft tot klantdata en hoe lang personeelsdossiers na uitdiensttreding worden bewaard. Ook is beoordeeld hoe back-ups zijn ingericht en of deze periodiek worden getest, en hoe snel de organisatie in een noodsituatie weer operationeel is. Robert Vonk: āWe hebben het certificeringstraject benut om onze systemen op te schonen en processen verder aan te scherpen. Daarnaast zijn er bewustwordingssessies georganiseerd voor medewerkers, want een groot deel van informatiebeveiliging heeft te maken met gedrag. Kleine zaken, zoals het niet sluiten van een deur of het niet vergrendelen van je pc, kunnen grote gevolgen hebben.ā
Continu verbeteren
De ISO 27001 is gebaseerd op het principe van continu verbeteren en stimuleert organisaties om hun risicobeheersing voortdurend aan te scherpen. Het certificaat is drie jaar geldig, waarbij jaarlijks een externe audit plaatsvindt. Robert: āDe audit van volgend jaar zal zich richten op elf aandachtspunten die tijdens de vorige audit zijn vastgesteld en waarvoor we inmiddels een verbeterplan hebben opgesteld en ingediend. We hebben voor onszelf een doel gesteld in termen van de gewenste securityscore. Die kun je via verschillende stappen bereiken, maar het moet wel werkbaar blijven. Onze klanten bevinden zich over de hele wereld; we kunnen niet alles volledig dichtzetten. De IT-dienstverlener die ons ondersteunt bij het op orde houden en actualiseren van onze certificering adviseert ons dan ook om een goede balans te vinden tussen veiligheid en werkbaarheid.ā