Hoe 4way Consulting de weg vrijmaakte voor ISO 27001-succes

4way Consulting levert specialistisch technologisch advies en ondersteuning om de veiligheid, betrouwbaarheid en toegankelijkheid van transportdiensten in het Verenigd Koninkrijk te verbeteren. Het bedrijf ondersteunt lokale en centrale overheden bij het beheer van transportnetwerken door middel van de inzet van technologie. Het team van circa 45 mensen is voornamelijk gevestigd in Manchester en Birmingham.

Het team van 4way Consulting wilde ISO 27001 implementeren voor informatiebeveiligingsbeheer, als aanvulling op hun bestaande ISO 9001-certificering voor kwaliteitsmanagement.

Ze overwogen ook ISO 45001 voor gezondheids- en veiligheidsmanagement (H&S), aangezien het bedrijf al een bestaand H&S-managementsysteem had met materiaal waarop ze hun naleving konden baseren. Omdat het bedrijf gevoelige informatie verwerkte, was ISO 27001-certificering essentieel om aan te tonen dat 4way Consulting de beste praktijken op het gebied van informatiebeveiliging toepaste. Ze hadden een manier nodig om de norm strategisch te implementeren en tegelijkertijd tijd en middelen te besparen.

"We moesten de meest kostenefficiënte en tijdbesparende manier vinden om de certificering te behalen", aldus Ian Pengelly, technisch directeur Digital bij 4way Consulting. Een van de opties die Ian en zijn team overwogen, was om hun informatiebeveiligingsbeheersysteem (ISMS) helemaal opnieuw op te bouwen. Een alternatief was om het op SharePoint gebaseerde systeem van een zusterbedrijf over te nemen. Geen van beide opties bood echter de efficiëntie of centralisatie die het team voor ogen had.

Het team van 4way Consulting heeft het IO-platform gebruikt om ISO 27001 te implementeren en is bezig met de implementatie van ISO 45001, evenals de migratie van hun bestaande ISO 9001-managementwerk naar het platform. 

Het team gebruikte de 11-stappenmethode Assured Results Method (ARM) om hun ISO 27001-conformiteit te verbeteren en de vooraf opgestelde beleids- en controlesjablonen van het platform aan te passen.

Het bedrijf gebruikte ook de risicoregisterfunctie van het platform om een ​​overzicht te maken van de risico's volgens ISO 27001, ISO 45001 en ISO 9001. Ze creëerden een nieuw cluster binnen het IO-platform en koppelden dit aan de risicoregisters van hun standaarden. Dit leverde een geconsolideerd risicoregister op dat vervolgens kon worden gefilterd op de risico's met de hoogste score en gebruikt als bedrijfsbreed risicoregister. Hierdoor kon het managementteam deze risico's vaker beoordelen en aanpakken.

Het intuïtieve IO-platform ondersteunde het bedrijf ook bij het leggen van verbanden tussen risico's, activa en beheersmaatregelen, waardoor duidelijk werd hoe 4way Consulting risico's beheerde in overeenstemming met de vereisten van de normen.

Daarnaast zijn bewustwording en betrokkenheid van medewerkers cruciaal voor continue naleving van ISO-normen; 4way Consulting heeft hun aanpak voor medewerkersopleiding afgestemd op hun beleid en procedures in het IO-platform.

Ze deelden hun documentatie met de medewerkers, die een bevestigingsdocument ondertekenden om te bevestigen dat ze elk document hadden gelezen en begrepen. Dit document gaf hen ook de mogelijkheid om feedback te geven op punten waar ze behoefte hadden aan verduidelijking. Hierdoor konden ze deze feedback vastleggen, de documenten bijwerken en versies bijhouden binnen het IO-platform. Dit leverde verder bewijs van de betrokkenheid van de medewerkers en ondersteunde hun certificering.

Het bedrijf ontwikkelt tevens een leerbeheersysteem (LMS) met interactieve video-inhoud, waarmee feedback verder kan worden versterkt, de betrokkenheid van medewerkers kan worden bijgehouden en dat als bewijs van naleving kan worden vastgelegd.

4way Consulting behaalde de ISO 27001-certificering in 17 maanden, hoewel het team schat dat dit met meer middelen ongeveer 10 maanden zou hebben geduurd.

Ian vertelt dat het gebruiksgemak van het platform heeft geleid tot een gestroomlijnd auditproces:

ISO-normen vereisen continue verbetering, daarom richt het team zich op het verfijnen van de naleving van ISO 27001, het regelmatig uitvoeren van risico- en beheersbeoordelingen en het evalueren van het risicoregister van de organisatie. Het IO-team blijft 4way Consulting ondersteunen bij de verdere ontwikkeling van het informatiebeveiligingsmanagementsysteem (ISMS) van Ian en het team, en kijkt uit naar de volgende stappen: aanvullende ISO-certificeringen.

Ian en het team van 4way Consulting zetten de implementatie van ISO 45001 voor gezondheids- en veiligheidsmanagement voort.

Ze zijn ook bezig hun ISO 9001-kwaliteitsmanagementsysteem te migreren naar het IO-platform. Daarnaast ontwikkelt het team, met de hulp van het leer- en ontwikkelingsteam, trainingsvideo's ter ondersteuning van het onboardingproces voor nieuwe medewerkers, om de kennis van bestaande medewerkers op peil te houden en ervoor te zorgen dat leveranciers voldoen aan de informatiebeveiligingseisen van 4way Consulting.