088-2627376 
start@ambrero.nl 
072 56 26 500 
Ambrero is ISO-27001 gecertificeerd! Begin december onderging ons softwarebedrijf drie spannende auditdagen. Het resultaat? Onze ISO-27001:2022 certificering is binnen! Een mooie mijlpaal waar we trots op zijn, maar ook een leerzaam proces met verrassende inzichten.
In een eerder blog vertelde ik hoe ISO-certificering helpt bij zelfsturing en structuur binnen organisaties. Nu nemen we je mee in onze ervaring met de audit en waar de auditor écht naar keek. Dat verraste ons!
Focus op wat écht telt
We dachten dat onze zelfsturende organisatiestructuur onder de loep zou liggen. Niet dus. De auditor had drie belangrijke focuspunten:
1. Risicoanalyse en methode
Welke risico’s lopen we als organisatie en hoe beheersen we die? Denk aan datalekken, sleutelposities of uitval van infrastructuur. Belangrijk daarbij: je analyse moet goed en objectief beschreven zijn. Hoe voer je deze uit? Welke stappen en criteria gebruik je?
2. Effectieve maatregelen
Wat doen we om risico’s te voorkomen of aan te pakken? De auditor keek naar de effectiviteit én hoe goed deze maatregelen zijn geborgd in de organisatie.
3. Levend beleid
Een document is mooi, maar hoe leeft je informatiebeveiligingsbeleid in het team? Weten collega’s wat ze moeten doen en hoe ze bijdragen aan informatiebeveiliging? De auditor zag dat dit bij ons goed zit:
“Medewerkers volgen het Huisreglement informatiebeveiliging goed en zijn zich zeer bewust van de gevolgen. Hun betrokkenheid is groot, wat duidelijk terug te zien is in het aantal KIA (Klacht, Incident of Afwijking)-meldingen.”
Dit bevestigt dat informatiebeveiliging voor ons geen formaliteit is, maar écht onderdeel van de dagelijkse praktijk.
De audit gaf ons waardevolle inzichten. We hadden al veel aandacht voor risico’s, maar zagen ook waar we nog scherper kunnen zijn.
Leren en verbeteren: kansen voor de komende maanden
De audit was meer dan een vinkje zetten. Het voelde als een constructief gesprek met kritische, maar waardevolle feedback. Hierdoor weten we waar we in 2025 verder kunnen verbeteren.
Een concreet voorbeeld: het beoordelen van leveranciers. De uitkomst mag niet afhangen van de persoon die de beoordeling doet. Daarvoor moet je je analysemethode helder beschrijven: hoe beoordeel je, welke criteria gebruik je en waarom?
De belangrijkste les? De belangrijkste les? Een minor tekortkoming waar we zelf al twijfels over hadden. We zagen het aankomen en de auditor bevestigde dit. Onvoldoende actieve monitoring op het volgen van beleid rondom de installatie van software en inlogpogingen. Dit ging te veel op basis van steekproeven. De auditor adviseerde een meer proactieve manier van monitoring, en daar zijn we meteen mee aan de slag gegaan.
We hebben direct korte-termijnmaatregelen genomen en pakken dit in 2025 grondig aan om écht in control te zijn.
Trots op het team
Deze certificering is een mijlpaal, maar vooral een mooi moment om het team in het zonnetje te zetten. Dankzij hun inzet, betrokkenheid en open houding hebben we dit resultaat behaald. Samen bewezen we dat informatiebeveiliging geen ‘moetje’ is, maar een vast onderdeel van hoe wij werken.
Met deze ISO-27001 certificering versterken we het vertrouwen van onze opdrachtgevers en onze eigen continuïteit.
Ook aan de slag met ISO?
Wil je weten hoe wij zelfsturing en informatiebeveiliging combineren? Of ben je benieuwd hoe je zelf een ISO-traject aanvliegt? Bel of mail ons gerust – we delen onze ervaring graag!
