De serviceafdeling van Siemens Mobility ITS is sinds kort ISO 27001-gecertifceerd. Opdrachtgevers kunnen daarmee rekenen op een hoogwaardige informatiebeveiliging. Confidentiality, Integrity en Availability staan hierbij voorop.

In deze digitale tijden is het belangrijk voor bedrijven en organisaties dat hun data goed beveiligd zijn. Ze stellen op dit vlak steeds hogere eisen aan partijen waar ze mee samenwerken. “Wij zien dit ook bij onze opdrachtgevers”, zegt Sven Eriks, kwaliteitsmanager bij Siemens Mobility. “We zijn betrokken bij steeds grotere projecten, en klanten willen er zeker van zijn dat de kwaliteit van onze informatiebeveiliging goed geborgd is.” Yuyun Utami, Information Security Ambassador, vult aan: “Veel zaken uit de ISO27001 gaan over processen rond informatiebeveiliging. Hebben wij onze back-up goed geregeld? Is onze netwerkbeveiliging op orde? Wie controleert zaken zoals de toegangsrechten voor bepaalde applicaties? Het naleven van de norm moet goed gecontroleerd worden.”

Projectaanpak

“Ook vóór de certificering hadden we onze informatiebeveiliging al goed op orde”, vervolgt Utami. “Onze procesbeheersing en kwaliteitsborging zijn zorgvuldig geregeld. Het was dus voor ons gesneden koek. Maar het ISO27001-certificaat houdt ons scherper en bewuster, want we hebben het nu ook vast moeten leggen.” Ter voorbereiding van de audit is een projectteam samengesteld, bestaande uit IT-experts, de Service Asset Manager, medewerkers van de serviceafdeling en applicatiebeheerders. Eriks: “Het was leuk om dit als project aan te vliegen. Binnen het projectteam bespraken we periodiek de voortgang. Ook is het onderwerp veelvuldig aan bod gekomen in vergaderingen op managementniveau.”

Plan-Do-Check-Act

Utami was actief bij de uitvoering betrokken, die is aangepakt volgens de Plan-Do-Check-Act-cirkel. “Daarbij hebben we de hele tijd Confidentiality, Integrity en Availability in het achterhoofd gehouden.” Ze blijft na de certificering als Information Security Ambassador verantwoordelijk voor de controle op het naleven van de norm.

High Level Structuur

De afgelopen jaren heeft siemens Mobility haar kwaliteitssysteem naar een hoger niveau getild. Doordat de nieuwe ISO-normen volgens een High Level Structuur zijn opgezet, kan het bedrijf haar processen beter stroomlijnen en vereenvoudigen. Eriks: “We hadden al heel wat in de steigers staan en hebben voortgebouwd op de High Level Structuur. We zijn nu gecertificeerd voor ISO27001 maar hebben onderliggend ook alle eisen uit de ISO27002 toegepast.”

Virtuele audit

Vanwege de lockdown kon de audit niet fysiek plaatsvinden. Als alternatief is gekozen voor een virtuele audit’s via Windows Teams. Eriks: “Tijdens een audit liep een collega met een camera door ons pand, op afstand aangestuurd door de auditeur. Dat is prima verlopen.”

Het ISO27001-certificaat is geldig voor drie jaar. Na de initiële audit wordt Siemens Mobility één keer per jaar tussentijds geauditeerd. Eriks: “Dit is een mooie aanvulling op de certificaten die we al hadden: ISO9001:2015 (kwaliteitsmanagement), ISO14001:2015 (milieumanagement), VCA** (Veiligheid, gezondheid en milieu Checklist Aannemers) en trede 5 van de CO2-prestatieladder.” In een volgende stap wil Siemens Mobility naast de serviceafdeling de hele businessunit Intelligent Traffic Systems (ITS) laten certificeren.