ISO houdt zich bezig met standaardisering. Bijvoorbeeld standaardisering van Informatiebeveiliging of van kwaliteit, 2 onderdelen waar DOP voor gecertificeerd is. Er is vanuit de ISO een veelvoud aan normen opgesteld waar we aan moeten voldoen, allemaal vanuit het oogpunt van risicomanagement. Wat is bijvoorbeeld de kans dat een onbevoegde het bedrijfspand binnenloopt en aan gevoelige informatie kan komen? Welke maatregelen neem je om dat risico zo klein mogelijk te maken? Wat nu als een kwaadwillende medewerker data zou willen lekken? Zo is er een heel scala aan zaken waar je als bedrijf niet alleen over nagedacht moet hebben, maar ook over de vraag hoe je het beste met dat risico om kunt gaan.
Certificering was voor ons de volgende stap in de ‘maturement’ van het bedrijf. Het dwong ons om ervoor te zorgen dat alle essentiële processen zwart op wit beschreven stonden. Zo is het voor iedereen intern duidelijk hoe we iets doen. De vervolgstap is dat je daar met enige regelmaat weer naar kijkt en de vraag stelt: waarom doen we het zo? Klopt dit (nog)? Kan het anders of beter? Op die manier doe je dingen niet omdat het zo geschreven staat, maar blijf je bezig met het verbeteren.
Daarnaast toont het ook aan de buitenwereld dat we niet een paar developers op een zolderkamer zijn. We nemen ons werk uiterst serieus en daar hoort certificering op het gebied van informatiebeveiliging en kwaliteit bij.
Al die procedures en maatregelen moet je natuurlijk ook op papier hebben staan. Je moet kunnen aantonen dat het geen papieren tijger is. Hier zul je dus een efficiënt management systeem voor moeten inrichten en bijhouden. Binnen de gehele organisatie zal dit ook gedragen moeten worden. Het werkt niet als niet iedereen zich hieraan houdt. Dat betekent trouwens niet dat je een heel formele organisatie krijgt zonder enig bewegingsruimte. Zo voelt het bij DOP in ieder geval niet.
Ik ben er van overtuigd dat deze certificering DOP helpt met verdere professionalisering. Onze kwaliteit is verbeterd, er is intern meer awareness als het gaat om informatiebeveiliging, en er is een verbetercyclus ingebed in de organisatie. Ik kan dit elk ander IT bedrijf aanraden.
