Sofon is ISO 27001:2017 gecertificeerd

Wat houdt ISO 27001 in?

ISO 27001 wordt wereldwijd gezien als dé standaard voor informatiebeveiliging. De norm beschrijft eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een Information Security Management System (ISMS). Het identificeren van bedrijfsrisico’s en het implementeren van beveiligingsmaatregelen staan daarbij centraal. Het ISMS is door de auditor van toepassing verklaard op het ontwikkelen, implementeren en onderhouden van standaard software, die gericht is op offerte generatie, product configuratie, prijs calculatie en order creatie, evenals het geven van support op deze software en het beheren van softwareomgevingen voor klanten via hosting en de beheersorganisatie (o.a. change- en incident management proces) die hiervoor nodig is.

Door de brede bekendheid en toepassing wordt ISO 27001 in veel uitbestedingstrajecten als vereiste opgenomen. Ook helpt ISO 27001 om aan te tonen dat passende technische en organisatorische maatregelen zijn genomen om aan de AVG te voldoen. De werking van ISO 27001 is altijd voor een toekomstige periode voor de geldigheid van het certificaat (3 jaar). Jaarlijks wordt de effectieve werking van ISO 27001 bij Sofon via surveillance audits door een certificatie instelling getoetst op de norm.
✓ Informatiebeveiliging en risicomanagement
✓ Dé internationaal erkende standaard voor informatiebeveiliging
✓ Van toepassing op alle typen organisaties

De betekenis van ISO 27001:2017 voor klanten


Informatiebeveiliging is in ons vakgebied een essentieel onderdeel. Onze klanten moeten er op kunnen rekenen dat hun vertrouwelijke informatie veilig is. Dat gaat niet alleen om de bescherming van gegevens, maar ook om beschikbaarheid en juistheid daarvan. Het ISO 27001:2017 certificaat garandeert op onafhankelijke wijze dat Sofon voldoet aan strenge internationale eisen om daar garant voor te staan. Door de transitie naar de Cloud verschuift de rol van een IT-dienstverlener, zoals Sofon, steeds meer naar een service provider die bedrijven ontzorgt. Sofon neemt compliance serieus neemt en kan aantonen dat de door jou uitbestede processen, via hosting, intern worden beheerst.


Nu het ISO certificaat behaald is zal er verder worden gewerkt aan een ISAE 3402 type II assurance verklaring. Vanuit zijn rol als Security Officer ziet Geert Gorissen er op toe dat Sofon werkt in overeenstemming met wet- en regelgeving en doelstellingen uit deze certificeringen en straks de assurance-opdracht.


ISO 27001:2017 betekent blijvend verbeteren


Een basisprincipe van ISO 27001 is om je als organisatie blijvend te ontwikkelen en verbeteren. De ontwikkeling houdt hier dan ook niet op. Paul Kimmel, CEO van Sofon, beaamt dat:
“Wat juist zo sterk is aan onze ISO certificering is dat het ons dwingt om nu en in de toekomst scherp te blijven als het gaat om informatieveiligheid. Dat gaat verder dan alleen het hosten van onze producten. Denk bijvoorbeeld ook aan een veilig en betrouwbaar support proces en het bewustzijn van onze medewerkers in de dagelijkse praktijk. De continue verbetering biedt een gerust gevoel voor zowel onze huidige als toekomstige klanten”.

Neem contact op


Hebt u een vraag over compliance of een van onze certificeringen of assurance? Wilt u als klant of partner een certificaat opvragen? Neem dan contact op met onze Security Officer via het e-mailadres Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Hij helpt u graag verder!

Veelgestelde vragen over ISO 27001

1. Hoe lang is een afgegeven ISO 27001 certificaat geldig?


Een ISO 27001 certificaat is geldig voor 3 jaar. Dit in tegenstelling tot een NEN 7510 certificaat dat ‘slechts’ 1 jaar geldig is. In het geval van ISO 27001 geldt een jaarlijkse auditfrequentie.

2. Wat is de auditfrequentie voor ISO 27001?


Bij de eerste afgifte van het certificaat na afloop van de drie jaar (verlengingsaudit) vindt een complete toetsing plaats van het normenkader. Na afgifte van het certificaat vindt jaarlijks een ‘surveillance’ audit plaats. Bij deze audit worden bepaalde onderdelen uitgelicht en diepgaander ge-audit. Wanneer een ISO 27001 audit wordt gecombineerd met een NEN 7510 audit, kan worden volstaan met één auditverslag.

3. Ziet de ISO 27001 certificering toe op een afgelopen of toekomstige periode?


Een certificering vindt doorgaans plaats voor een toekomstige periode. Er wordt vastgesteld of het beleid van de organisatie voldoet aan ISO 27001. Tijdens de jaarlijkse surveillance wordt ge-audit op de daadwerkelijke naleving hiervan. Een assurance, zoals ISAE 3402 type 2, ziet toe op een afgelopen periode. Dit betekent dat terug in de tijd wordt gekeken en op basis van lijncontroles wordt vastgesteld of het beleid daadwerkelijk is gevolgd bij de uitvoering van processen en werkzaamheden. Indien er bijzonderheden naar voren komen, wordt tevens gecontroleerd of daar opvolging aan is gegeven (PDCA-cyclus).

4. ISO 27001 ziet toe op informatiebeveiliging, maar wat houdt informatiebeveiliging in?


Het doel van informatiebeveiliging is het bevorderen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om deze doelstelling te behalen, kan het framework van maatregelen uit ISO 27001 worden geïmplementeerd. Informatiebeveiliging is niet beperkt tot digitale informatie of persoonsgegevens. Ook informatie op papier valt onder ISO 27001.