Customer Stories
Risicomanagement & IT Security
Na het uitvoeren van een Risk Assessment en FitGap analyse hebben wij het project opgezet om een middelgrote organisatie te begeleiden in het opzetten van een Risk & Control Framework voor IT Security. De executie voor wat betreft de opmaak van documentatie en het projectmanagement hebben wij op ons genomen. De werkzaamheden zijn uitgevoerd in drie opeenvolgende fases. Op verzoek van de klant is de documentatie in het Engels opgesteld. Daarbij hebben we ook rekening gehouden met de wens van de klant om op een later moment voor een ISO 27001 certificering in aanmerking te komen. Dit hield concreet in dat we tijdens de opmaak van de verschillende procedures en processen rekening hielden met de vereisten zoals die gelden binnen de ISO normering. Binnen de gestelde termijn hebben we het project kunnen afronden. Het eindresultaat: een pakket aan procedures en beleidstukken op het gebied van IT Security. Waaronder de implementatie van een control framework, IT Security processen en procedures. Daarnaast, aan de hand van CVSS-scoring, een procedure voor de beoordeling van kwetsbaarheden binnen het IT landschap van de klant.
Wat wij als positief hebben ervaren was de goede samenwerking met drie verschillende partijen. Hiermee konden we de documentatie effectief inrichten en daarmee de klant ontlasten. Daar waar we uitdagingen hadden hebben we gekeken hoe we kansen konden creëren binnen wet- en regelgeving. Efficiënt compliant worden én blijven was ons doel. Dit doel is bereikt.
Inrichting ISO 27001
Om een snel groeiende IT-organisatie klaar te maken voor verdere doorgroei van grootschalige (overheids)projecten hebben we deze organisatie ondersteund bij de uitvoering van een ISO 27001 implementatietraject. Het traject startte met een wenseninventarisatie en een inventarisatie van de aanwezige documentatie. Vervolgens is het gehele beleid en organisatie van het ISMS (Information Security Management System) opgezet en geïmplementeerd. Daarbij zijn procedures en werkinstructies gedocumenteerd en hebben we geassisteerd bij de evaluatie van de prestaties door de interne, alsmede externe auditor. Een systeem van continu verbeteren is opgezet en we ondersteunen deze klant sindsdien jaarlijks bij de interne audit.
Privacy Management
Bij verschillende kleine, middelgrote en grote klanten hebben we privacy-vereisten ingericht. Hierbij een klantverhaal hoe een traject kan verlopen. Aan de hand van een door ons uitgevoerde Gap-analyse zijn de missende elementen naar voren gekomen voor de de inrichting van de Algemene Verordening Gegevensbescherming (AVG). Binnen de organisatie bleek sprake te zijn van een mismatch waarna we constateerden dat diverse zaken op orde gebracht moesten worden. Het duurzaam compliant maken aan de AVG/GDPR werd als projectdoel vastgesteld.
Om het project succesvol te realiseren zijn deliverables opgesteld door het projectteam. Deze bestonden uit medewerkers van de organisatie en het team van Consignium. Het uitvoeren van een Privacy Impact Assessment (PIA) en het betrekken van de gelieerde partijen was een eerste stap. Vervolgens is de nodige documentatie opgemaakt, gecommuniceerd en geïmplementeerd. Hieronder werd in ieder geval verstaan het opstellen van een Verwerkingsregister, waarbij op voorhand in kaart werd gebracht welke gegevensstromen aanwezig waren. Maar ook het opzetten van een ‘procedure incidentenbeheer en datalekken’ maakte onderdeel uit van de set deliverables. Het project is afgesloten met een leuke informatie- en awareness bijeenkomst met de medewerkers.
