ISO 27001 voor start-upHet eenvoudige antwoord: ja, dat kan. Sterker nog, zelfs een eenmansbedrijf kan opgaan voor een ISO 27001 certificaat. Daarmee kan het bedrijf gelijk ook aan een van de eerste vragen van potentiële nieuwe klanten voldoen: kan dit bedrijf wel betrouwbaar leveren?

Ook de vraag ‘hoe’ die startup dat kan doen, is een eenvoudig te beantwoorden. De eisen aan de startup zijn hetzelfde als die aan elk ander bedrijf. De startup zal in de praktijk toch enkele maanden oud moeten zijn, maar kan wel op dag één beginnen volgens ISO te werken.

Sommige aspecten van de ISO normen zijn juist relatief makkelijk in te vullen:

  • de startup is waarschijnlijk vertrokken vanuit een businessplan,
  • waarin staat beschreven in welke context de organisatie zich bevindt,
  • waar de meest belangrijke risico’s en kansen liggen,
  • en hoe aan de eisen van de belangrijkste stakeholders voldaan gaat worden
  • in de turbulente tijden van eerste groei (continue verbeteracties)

Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht

Kun je voldoen aan de ISO eisen?

Een paar van de ISO eisen lijken wat moeilijker in te vullen, toch is dit zeker mogelijk:

De organisatie moet voldoende middelen (tijd, geld, personeel) beschikbaar stellen voor het onderhouden van het ISO systeem.

  1. Dat lijkt voor een startup een (zware) extra kostenpost. Dat is alleen zo als het managementsysteem voor informatiebeveiliging (ISMS) niet aansluit bij de praktijk van de organisatie. Elk startend bedrijf heeft duidelijke afspraken nodig, zeker als het snel wil groeien, anders wordt er veel energie verspild. Een ISMS biedt die duidelijkheid. Dat gezegd hebbende is een ISO 27001 het meest relevant voor bedrijven met een sterke ICT component, of die regelmatig omgaan met gevoelige, mogelijk persoonlijke informatie. Voor andere startups is ISO 9001 (kwaliteitszorg) relevanter en een betere introductie in de wereld van ISO. Een ISO 9001 systeem is eigenlijk niets anders dan goede bedrijfskunde.
  2. Een andere uitdaging is de beschikbaarheid van kennis en kunde van ISO binnen zo’n bedrijf. Totdat het ‘kwartje gevallen is’, zal ISO wennen zijn en bewuste aandacht nodig hebben. De eerste personeelsleden zijn het meest gericht op productontwikkeling, productie en sales. Een externe adviseur geeft dan de gewenste snelheid én vult andere behoeftes in: het maakt de organisatie minder kwetsbaar tegen wegvallend personeel en de rol van onafhankelijke interne auditor is geborgd.
  3. Nog wel 1 voordeel: het systeem mag zich, zoals altijd, aanpassen aan de risico’s van de organisatie. Voor een startup is het goed mogelijk dat deze risico’s nog meevallen, waardoor een eenvoudiger systeem ingevoerd kan worden.

Download vrijblijvend de handige ISO 27001 informatiegids 
Download gratis de ‘Informatiegids ISO 27001’. Een handig naslagwerk met daarin allerlei informatie over ISO 27001.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

De organisatie moet haar systeem passend houden bij de organisatie. In een startup verandert er juist steeds iets.

  1. De oplossing: niet te veel schrijven in verplichtende documenten, en niet een te zwaar handboek schrijven (sowieso geen verplichting van de norm). Benoem juist expliciet de bevoegdheden van de medewerkers en maak gebruik van de (intensieve) interne communicatie die er toch is in deze tijd van sterke groei.
  2. Maak ook gebruik van de in het bedrijf beschikbare automatisering: deze geeft structuur, dus dit wiel hoeft niet twee keer uitgevonden te worden.

Meer informatie over de mogelijkheden van ISO 27001 voor een start-up onderneming? 

Onze adviseurs vertellen je er graag meer over!

Neem contact op