Iedereen kon voor de ISO 27001 certificering in veel meer elektronische mappen. Sommige waren beveiligd, maar dit was niet structureel gekoppeld aan een afdeling of functie. Nu is dat totaal anders, want informatiebeveiliging is niet alleen nodig voor een paar documenten. Je moet als organisatie kunnen verantwoorden waarom welke afdeling en persoon ergens toegang tot heeft.
Door ISO 27001 word je je als organisatie bewust van informatiebeveiliging. Ja, waarom had iemand eigenlijk toegang tot een document? Doordat we die vraag meerdere keren moesten beantwoorden kwamen we ook uit op het aanpassen van de functietitels, want ook dat moest eenduidig en overzichtelijk zijn.
Nu zijn documenten alleen bereikbaar als je daar ook daadwerkelijk wat mee moet voor je functie. En eigenlijk voelt dat heel goed. Informatiebeveiliging is niet zomaar geregeld, maar als je er als organisatie in verdiept merk je al snel dat er te veel mensen toegang hebben tot informatie waar ze niks mee te maken hebben. Zo zie je maar weer. Er is altijd ruimte voor verbetering.

Wilt u weten hoe onze zusteronderneming, GKS ICT Solutions, de ISO 27001 toepast? Lees dan hier verder. En de ervaring van Adhetec leest u hier.