Bosch Energy and Building Solutions haalt in recordtijd certificaat ISO27001

Waarom wilde Bosch Energy and Building Solutions dit certificaat graag behalen?

Arno Janssen, divisiedirecteur vertelt: „Vanuit de markt wordt de vraag steeds dwingender om op een goede en vertrouwelijke wijze met informatie om te gaan. Naast fysieke veiligheid en beveiliging is namelijk ook informatiebeveiliging een essentieel onderdeel geworden van de ­bedrijfsvoering.“

„Sowieso volgden wij de algemene proce­dures en richtlijnen van Bosch Global al. Maar daarnaast hebben we te maken met een breed speelveld aan klanten met hun eigen eisen ten aanzien van informatiebeveiliging.Sommige klanten stellen hogere eisen voor stringente informatiebeveiliging.“

„Als organisatie wilden wij al langer voldoen aan de vereisten van de norm ISO 27001. Een belangrijke aanbesteding heeft dit proces versneld. Om hier richting aan te kunnen geven, is qua scope gekozen voor een niveau tussen de reguliere business en ABDO, te weten ‘high secure’. In deze business line (en ook ABDO) worden hogere eisen gesteld aan informatiebeveiliging dan in de reguliere business, en omvat klanten die (niet per definitie) om ISO-27001-certificering vragen, maar wel een hogere standaard van eisen en verwachtingen hebben. Gelukkig hadden we al ervaringen met de ABDO-normering, waardoor wij gewend zijn om met specifieke eisen voor informatiebeveiliging om te gaan.“

Het thema informatiebeveiliging is dus een hot topic. Merken jullie dat ook bij klanten?

Frank van Olphen, senior manager sales: „Informatiebeveiliging en daarmee de ISO-27001-certificering staan sterk in de belangstelling. De belangrijkste trend is dat organisaties steeds meer te maken krijgen met vertrouwelijke en/of privacygevoelige gegevens.“

„Daarnaast merken we dagelijks dat er veel phishing mails worden verstuurd. ICT-afdelingen zijn erg druk bezig met het afschermen van het bedrijfsnetwerk. Het is derhalve belangrijk dat deze informatie niet ‘op straat‘ komt te liggen of dat we online schade oplopen. Bedrijven moeten hiervoor de juiste beheersmaatregelen treffen. Tekortschieten in het beveiligen van informatie kan leiden tot imagoschade. Bosch heeft hierin daarom zelf al hele belangrijke maatregelen getroffen.“

Dick Blom, business developer voor de overheid, vult aan: „Doordat data in zijn algemeenheid steeds belangrijker wordt, worden er ook steeds meer maatregelen omtrent informatiebeveiliging aan organisaties opgelegd die zaken doen met bijvoorbeeld banken, verzekeraars, zorginstellingen en natuurlijk de overheid. Met name vanuit de overheid wordt gekeken naar hoe organisaties, waar zij mee (gaan) samenwerken, hun informatiebeveiliging op orde hebben. Zodra je namelijk met of voor een overheidsinstantie (landelijk, regionaal of lokaal) werkzaamheden wil gaan verrichten, dien je meer en meer te beschikken over het ISO-27001-certificaat. De vertical overheid is één van onze focusverticals; voor ons dus een heel belangrijk en gewenst certificaat.“

Verandert er hierdoor veel voor jullie in de manier van werken?

Dick Blom: „Het beschikken over het certificaat dwingt ons om op een professionele, gestructureerde manier om te gaan met informatiebeveiliging, hetgeen ook goed past bij de manier hoe we met onze klanten en hun informatie omgaan. Tevens verschaft het ons de mogelijkheid om zelfstandig in te schrijven op aanbestedingen vanuit de overheid, waarvoor de

ISO 27001 vereist is. Dit vergroot natuurlijk onze kansen op de markt om nog meer actief te worden binnen het domein van de overheid en meldkamers.“

Het thema informatiebeveiliging is dus een hot topic. Merken jullie dat ook bij klanten?

Frank van Olphen, senior manager sales: „Informatiebeveiliging en daarmee de ISO-27001-certificering staan sterk in de belangstelling. De belangrijkste trend is dat organisaties steeds meer te maken krijgen met vertrouwelijke en/of privacygevoelige gegevens.“

„Daarnaast merken we dagelijks dat er veel phishing mails worden verstuurd. ICT-afdelingen zijn erg druk bezig met het afschermen van het bedrijfsnetwerk. Het is derhalve belangrijk dat deze informatie niet ‘op straat‘ komt te liggen of dat we online schade oplopen. Bedrijven moeten hiervoor de juiste beheersmaatregelen treffen. Tekortschieten in het beveiligen van informatie kan leiden tot imagoschade. Bosch heeft hierin daarom zelf al hele belangrijke maatregelen getroffen.“

Berrie van der Kaag, gepokt en gemazeld in het thema informatie security en privacy (ISP), zegt hierover: „Bosch heeft met ISP gegevensbeschermings­principes gedefinieerd die binnen de organisatie wereldwijd moeten worden nageleefd. Deze maatregelen dienen niet alleen om persoonlijke informatie te beschermen, maar ook bedrijfsinformatie. Dit raamwerk aan activiteiten is binnen Bosch vastgelegd in de central directive. Deze cen­trale richtlijn beschrijft de bindende voorschriften voor het information security management system (ISMS) en het data protection management system (DPMS) van Bosch en is volledig in lijn met de hoofdstukstructuur van ISO 27001. Dit heeft ons in het hele proces enorm geholpen.“

David Stuerebaut, ICT Manager, vult aan: „Ook de volledige IT-infrastructuur en bijbehorende diensten maken deel uit van het certificeringsbereik. Hierbij ligt de focus op locaties met een global of regionaal data center, die verspreid over de gehele wereld worden geëxploiteerd. Om de certificering te behouden, moeten de datacenters en IoT-cloud van Bosch, oftewel alle infrastructuurdiensten die door de ICT-afdeling geleverd worden, elk jaar een externe en interne audit ondergaan, om te controleren of aan alle eisen van de norm wordt voldaan.“

Willem Groenendijk, manager QHSE, was de kartrekker van het auditeringsproces. Willem, kun jij meer vertellen over hoe dit in zijn werk ging?

Willem Groenendijk: „Tijdens de quality review, die jaarlijks met het managementteam wordt gehouden, wordt het aantal certificeringen doorgenomen. Zijn de huidige ­certificeringen nog noodzakelijk voor de bedrijfsvoering en welke nieuwe certificeringen hebben we nodig? Net na de zomer is de vraag vanuit het managementteam ­gekomen om de ISO-27001-certificering voor 7 oktober 2020 te behalen. Normaal staat er een termijn van 12-18 maanden voor dit traject; dat was wel even schrikken.“

„Dankzij een topprestatie van het Bosch-team en de ­adviseur is het gelukt om in vijf weken tijd het ISO-27001-certificaat te behalen. Ook de auditeur van SGS had dit in zijn carrière nog niet meegemaakt.“

Hoe verloopt zo‘n certificeringstraject?

Groenendijk: „Voor certificering zijn over het algemeen twee par­tijen vereist: een adviseur en een certificerende instantie (CI). Een CI is noodzakelijk om de certificering te bevestigen middels een initiële audit. In overleg met de directie is voor Patagonia BV gekozen als adviseur. Zij kenden ons bedrijf al van een eerder traject. Als CI is gekozen voor SGS.“

Wat was de planning voor het traject?

Groenendijk: „Het traject zou in eerste instantie medio oktober 2020 starten en de certificering zou medio mei 2021 worden afgerond. Vanwege de aanbesteding werd deze deadline vervroegd naar ruim een half jaar eerder: oktober 2020.“

Dat klinkt als een bijna onmogelijke taak...

Groenendijk: „Alles is op alles gezet. Patagonia is in die periode soms met wel vier medewerkers aanwezig geweest om de zaken voor de 27001 op de rit te krijgen. Onze Data Security Officer Berrie van der Kaag en ICT Manager David Stuerebaut hebben meer dan de helft van de audit op zich genomen. Zonder hen en zonder de goede infrastructuur die we standaard binnen Bosch al hebben, was het nooit gelukt. Maar ook voor SGS was het kunst- en vliegwerk om de gehele planning op tijd rond te krijgen.“

Wat is er in die vijf weken allemaal gebeurd?

„Het 27001-team heeft een information-security- ­managementsysteem (ISMS) opgesteld, ingevoerd, uitgelegd en zowel intern als uiteindelijk ook extern geauditeerd“, vervolgt Groenendijk. „Een hele klus, daarom staan er normaal gesproken voor een ISMS ook 12 tot 18 maanden. Additionele processen moesten worden opgesteld en aangepast. En organogram, doelstellingen en beleidsverklaring werden aangepast voor de nieuwe business line high secure. Een ISMS gaat over de gehele Bosch-keten. Van onze serverparken over de hele wereld tot onze ISO9001- processen van business development tot en met service en onderhoud, logistiek en dergelijke. Nu moet het ISMS gaan “leven” in de business line high secure.

Arno, wil jij tot slot nog iets zeggen?

Arno Janssen: „Namens het managementteam wil ik iedereen bedanken die zich voor de certificering heeft ingezet. Met de ISO-27001-­certificering toont Bosch Energy and Building Solutions NL aan dat aan de strenge norm­eisen rondom informatiebeveiliging wordt voldaan en kunnen we hiermee aan klanten garanderen dat vertrouwelijke informatie veilig is bij ons. Dit project was een topprestatie van het hele team! Het traject is versneld doorlopen en heeft veel tijd gekost. Alles moest naast de reguliere werkzaamheden plaatsvinden. Een ongelooflijk knappe prestatie!“