KLANTCASE – Samenwerken, kennis en informatie delen. Dé begrippen die centraal staan bij het opensourceplatform Pleio en de overheidsorganisaties die er gebruik van maken. Pleio is door Brand Compliance gecertificeerd voor de ISO 27001 waarmee Pleio laat zien informatiebeveiliging meer dan serieus te nemen. Deze mijlpaal is een onderdeel van het professionaliseringstraject waaraan Stichting Pleio in 2017 begon.
Als platformleverancier richt Pleio zich specifiek op samenwerken binnen en met de overheid. Online samenwerken wordt steeds belangrijker in het werk en in toenemende mate vormt het ook voor overheidsbedrijven een organisatie-overschrijdend thema. Meer dan 100 overheidsorganisaties maken gebruik van het platform voor tal van toepassingen: een sociaal intranet, een community of een samenwerkingsomgeving. Maandelijks loggen meer dan 500.000 unieke bezoekers in op de diverse sites en groepen.
Wat was de vraag?
Beveiliging van informatie wordt steeds belangrijker gevonden. Niet alleen gaat het over het beschermen van persoonsgegevens. Feitelijk gaat het om het beschermen van alle informatie die een belangrijke waarde vertegenwoordigt voor organisaties en sitegebruikers.
Het besluit tot het certificeren ziet Pleio zowel in het belang van de bestaande gebruikers als van toekomstige afnemers. Zo is het certificeren voor ISO 27001 een bevestiging naar bestaande gebruikers. Ook is het een steeds belangrijker criterium in het inkooptraject voor overheidssoftware. Het is een aantoonbaar resultaat van de juiste implementatie van beheersmaatregelen op het gebied van informatiebeveiliging. De behoefte van Team Pleio was dan ook te laten zien dat het als leverancier aantoonbaar ‘in control’ is en dat het voldoet aan de actuele compliance standaarden.
Het certificeringstraject
Pleio heeft gekozen voor een aanpak in twee fases. In een eerste fase heeft Pleio samen met hen externe partner Vos Advies het informatiebeveiligingsmanagementsysteem (ISMS) voorbereid met de benodigde beheersmaatregelen. Hierop heeft een eerste interne audit plaatsgevonden die positief uitpakte.
Vervolgens voerde Brand Compliance de externe audit uit. Het integreren van het managementsysteem in de processen van de Pleio-organisatie bleek een positief aspect. De plannen van aanpak en de omgang met afwijkingen worden opgepakt op een manier die aansluit bij de dagelijkse operatie van Pleio. Daarbij helpt het enorm dat alle punten – ook verbeterpunten – proactief worden geregistreerd op één plek.
Het certificeringstraject bleek niet zozeer ingewikkeld, maar een aaneenschakeling van leermomenten. De benodigde aanpassingen wist het Pleio-team in korte tijd te realiseren. Brand Compliance werd gezien als een onafhankelijk gesprekspartner gericht op het behalen van de certificering én het behouden ervan in de toekomst.
Het resultaat
Het behalen van de ISO 27001 norm maakt onderdeel uit van het professionaliseringstraject van Stichting Pleio. Na een fase van pionieren in de periode van 2010-2016 is in 2017 dit traject ingezet. Met het ISO 27001 certificaat als mijlpaal.
Een tip van Pleio voor andere organisaties
‘ISO 27001 kun je niet implementeren’, zo is de overtuiging. ISO 27001 gaat om je core business, de bedrijfsprocessen en het invullen van de randvoorwaarden die daarbij passen.