Informatie uitwisselen vraagt om zorgvuldigheid, om aandacht voor privacy en om veiligheid. Dit geldt zeker ook voor het bibliotheekveld, waarin informatie en digitalisering centraal staan. Goed om te melden dat na een jaar hard werken BiSC Utrecht er eind januari 2024 in is geslaagd het ISO27001:2022-certificaat te behalen. Deze certificering geeft aan dat BiSC passende maatregelen heeft genomen om de informatiebeveiliging op orde te hebben. Én om deze continu te verbeteren. 

Stappen die we hierin hebben gezet: 

• Begin 2023 zijn we – samen met een externe consultant – gestart met een Plan-Do-Check-Act-proces en de bijbehorende risicoanalyse, om zo zicht te krijgen op de huidige situatie en bijbehorende risico’s.  
• Daarna zijn we gedurende meerdere maanden bezig geweest met het vormgeven en implementeren van het informatiebeveiligingsbeleid van BiSC. In deze fase zijn allerhande verbeteringen doorgevoerd, zowel in de organisatie als op technisch vlak, zoals: 
  -Een groepgebaseerde autorisatiematrix als basis voor toegang tot data; 
  -Technische beleidsinstellingen voor de Office365-omgeving;  
  -Beleid en procedures voor in- en uitdiensttreding van personeel.  

• De implementatie van dit beleid is in augustus door een (externe) ISO-auditor getoetst tijdens de interne audit. Daaruit zijn een aantal verbeterpunten naar voren gekomen die we aangepakt en doorgevoerd hebben.  
• Hierop volgend is eind september de 1e fase van de externe ISO-audit uitgevoerd, waarbij een dag lang allerhande facetten van ISO27001 voorbij zijn gekomen. Wederom zijn daar enkele verbeterpunten naar voren gekomen die zijn verholpen, zoals verduidelijking van een aantal processen rondom informatiebeveiliging.  
• Eind november gingen we de 2e fase in, waarbij we 2,5 dag lang verder de diepte in zijn doken. Hierbij is het beleid en bijbehorende bewijsstukken nader tegen het licht gehouden en waren er interviews met collega’s, over hoe zij met informatiebeveiliging omgaan in hun dagelijkse werk. Ook hier zijn een aantal verbeterpunten naar voren gekomen die we komend jaar verwerken in de jaarcyclus van onze certificering, zoals het duidelijker maken van beschrijvingen.  

Continue verbetering 

Extra duidelijk is voor ons wel geworden dat ISO27001 geen status is maar een proces. Het is het begin van een continue verbetercyclus. En dit alles vooral omdat we veel waarde hechten aan goede informatiebeveiliging, voor onze organisatie en voor de bibliotheeksector als geheel.