TÜV NORD Nederland heeft de accreditatie ontvangen voor ISO 22301 (Business Continuity Management). Zij zijn de tweede certificerende partij in Nederland die deze accreditatie heeft. De laatste fase voor de accreditatie werd voltooid tijdens de audit bij IT-dienstverlener Espresso Gridpoint. In dit interview vertellen Piet Honkoop, de CTO van EGP en Vincent Schijven van TÜV NORD Nederland waarom Business Continuity Management zo belangrijk is.
EGP heeft een eigen ICT-infrastructuur, verdeeld over verschillende gecertificeerde datacenters in Nederland. Omdat beschikbaarheid cruciaal is, heeft het een ISO 27001-certificering. Schijven: “Dat betekent dat je informatiebeveiliging qua processen, beleid en awareness goed op orde is. De klanten van EGP vertrouwen erop dat er alles aan gedaan wordt om informatie te beschermen.” Maar voor een grote IT-organisatie is dit niet meer voldoende. Zij kunnen niet zonder business continuity management. Juist daarom is de internationale ISO 22301-norm zo belangrijk.
Het belang van Business Continuity Management
Honkoop: “Natuurlijk moet je binnen je organisatie de discussie aangaan over wat je kunt doen om risico’s te verkleinen, maar vervolgens moet het ook gaan over oplossingen voor dingen die kunnen gebeuren.” Vincent Schijven knikt: “Het gaat hierbij vooral over de vraag of je weet wat je moet doen als er iets fout gegaan is. Denk aan een hack, maar ook aan een brand, een natuurramp of een andere gebeurtenis waardoor een bedrijf stil komt te staan. Het is belangrijk dat je ervoor kunt zorgen dat je snel weer operationeel bent.”
Daarbij gaat het niet alleen om digitale verstoringen. “Stel bijvoorbeeld dat de kans op een brand ergens groot is, heb je dan nagedacht over een locatie waar je eventueel naartoe kunt gaan?” legt Schijven uit. “Weet je dus wat je moet doen om de impact voor medewerkers en klanten zo klein mogelijk te maken?”
Vertrouwen op continuïteit
EGP behaalde het ISO 22301 certificaat en kan daarmee voortaan aantonen dat klanten en andere stakeholders kunnen vertrouwen op de continuïteit van hun dienstverlening. Piet Honkoop, de CTO van EGP, is uiteraard trots. “Dat we met externe calamiteiten om kunnen gaan, wisten we al langer. Als IaaS-partij moet je bijvoorbeeld nadenken over de gevolgen van stroomuitval in een datacenter. Dat hebben we twee keer meegemaakt en beide keren hebben we dat zonder problemen opgelost. We vroegen ons af of dat ook geldt voor andere calamiteiten die kunnen optreden. We hebben goed naar onszelf gekeken en uiteindelijk geconcludeerd dat we dat allemaal goed op orde hadden.”
Maar die constatering was voor EGP niet genoeg. “Bedrijven leunen op ons. Als een gerenommeerde onafhankelijke partij zoals TÜV NORD volgens een internationaal normenkader vaststelt dat wij het juiste niveau van business continuity management geïmplementeerd hebben, dan geeft dat veel meer kracht dan dat wij het alleen maar zelf zeggen.”
Belangrijk bewijs
“Voor onze businesspartners is dit certificaat een belangrijke bevestiging,” legt Honkoop uit. “Een Managed Service Provider die bijvoorbeeld in de financiële wereld of de zorg clouddiensten verleent, wil continuïteitsgaranties richting zijn klanten kunnen geven. Dat zij samenwerken met een gecertificeerde partij zoals wij, is voor hen een argument om hun klanten te overtuigen. En dus een belangrijke bevestiging voor de samenwerking met ons.”
Ook Schijven merkt dat bedrijven die garanties steeds belangrijker vinden. “Vroeger zag je in de IT toch vaak dat een leverancier zei: ‘Vertrouw me maar, het komt goed.’ Die tijd is echt voorbij. Klanten willen bewijzen zien van het feit dat dingen goed geregeld zijn, omdat ze met kritische bedrijfsprocessen op je leunen. De lat wordt daarbij ook steeds hoger gelegd. Je moet kunnen aantonen dat je de dingen doet zoals je zegt dat je ze doet. EGP kan dat nu.”
Groeiende vraag naar ISO 22301 certificering
Klanten vragen ook steeds vaker naar het specifieke onderwerp business-continuïteit, zo geven beiden aan. Het hebben van een strategie voor alles wat er ná een eventuele calamiteit komt heeft meer prioriteit dan vroeger. Schijven: “Grote supermarktketens bijvoorbeeld vragen hun grootste leveranciers vaak naar business-continuïteit. Ook in andere sectoren, waaronder de IT, wordt het belang steeds meer ingezien. Engeland is daarin vaak een voorbeeld. Daar zijn ze erg ver op dit vlak en wordt het zelfs vanuit verzekeraars vereist.”
In Nederland zijn meerdere partijen actief die ISO 22301 certificering bieden zonder dat zij hiervoor accreditatie hebben. “TÜV NORD Nederland heeft wél aangetoond aan alle eisen te voldoen. Dit geeft onze klanten meer zekerheid over de waarde van het certificaat,” legt Schijven uit.
Honkoop kijkt met een goed gevoel terug op het proces. “Natuurlijk moet je door bepaalde hoepels springen, maar uiteindelijk was het in ons geval vooral een kwestie van vastleggen wat we al veel langer deden. Wat vooral fijn is: dit geeft je de kans om even buiten de waan van de dag te stappen. Het dwingt je om na te denken over de keuzes die je ooit hebt gemaakt. Zo’n traject maakt je bewust van alle veranderingen die impact hebben op de processen die je ooit bedacht hebt.”
TÜV NORD heeft ervaren Nederlandse auditoren op het gebied van ISO 22301. Zij kunnen een ISO 22301 audit uitvoeren in combinatie met de certificering van andere normen zoals ISO 9001, ISO 14001 of ISO 27001. Dit is gemakkelijk en voordeliger. Meer informatie vind je op onze pagina over ISO 22301 certificering.
Onderwerpen:
