ISMS Copilot
Beveiliging

Waarom we nog niet ISO 27001 gecertificeerd zijn

Bij ISMS Copilot zijn we toegewijd aan het principe "practicing what we preach." Als een tool gebouwd door en voor informatiebeveiligingsprofessionals implementeren we veel van de beheersmaatregelen die we onze klanten helpen te bereiken—zoals verplichte MFA, row-level security voor data-isolatie, geautomatiseerde code-scanning en real-time monitoring. Onze architectuur is al in lijn met de belangrijkste eisen uit de ISO 27001:2022 Bijlage A en de SOC 2 Trust Services Criteria.

Dat gezegd hebbende, zijn we transparant: ISMS Copilot is nog niet ISO 27001 gecertificeerd of SOC 2 geattesteerd. Hier leggen we uit waarom dat zo is en wat ons pragmatische plan voor de toekomst is.

Waarom we nog niet gecertificeerd zijn

We zijn een bootstrapped startup, zonder investeerders of externe financiering. Ons kleine team wordt geleid door de oprichter/CEO die veel processen afhandelt, van productontwikkeling tot compliance, en tegelijkertijd fungeert als CEO, CISO, FG (DPO), compliance officer, product owner en financieel directeur.

Deze realiteit creëert tastbare uitdagingen die het behalen van een ISO 27001-certificering in onze huidige managementstructuur bemoeilijken:

Managementstructuur

ISO 27001 gaat uit van organisatiestructuren met functiescheiding en onafhankelijk toezicht. In onze huidige opzet betekent dit:

  • Ik schrijf en accordeer mijn eigen documentatie – Van beveiligingsbeleid tot risicoanalyses, er is geen onafhankelijke reviewer omdat ik de meeste rollen zelf vervul. Zelfs als engineering een aparte rol is, zou ik nog steeds de goedkeurder zijn voor het meeste beleid dat ik schrijf.

  • Managementbeoordelingen = solo reflectie – Wanneer een "managementbeoordeling" betekent dat ik mijn eigen werk beoordeel, is dat een zelfevaluatie zonder de diverse perspectieven die auditoren verwachten. Hoewel we externe consultants kunnen inschakelen voor interne audits om een frisse blik op het ISMS te werpen, kan de managementbeoordeling niet worden uitbesteed.

  • Leadership en uitvoering overlappen – Ik committeer me tegelijkertijd aan beveiliging als CEO en implementeer het als CISO. Dit biedt niet de functiescheiding die ISO 27001 aanbeveelt om duidelijke verantwoordelijkheidslagen te waarborgen (Paragraaf 5.1 en 5.3). Als oprichter draag ik de volledige verantwoordelijkheid voor alle aspecten, maar de intentie van de norm vereist een meer gestructureerde verdeling voor formele certificering.

We kunnen interne audits uitbesteden om aan de onafhankelijkheidseisen te voldoen, en we gebruiken onze eigen tool om efficiënt documentatie te genereren. De uitdaging is niet het kunnen, maar het hebben van de organisatiestructuur die de letterlijke intentie achter de ISO 27001-eisen vereist.

Prioritering van middelen

Als een bootstrapped bedrijf groeien we door onze klanten gelukkig te maken - cybersecurity consultants, auditoren en compliance teams die op ons vertrouwen voor hun ISO 27001-implementaties. We hebben prioriteit gegeven aan:

  • Tastbare beveiligingsmaatregelen die gebruikers direct beschermen (encryptie, toegangsbeheer, monitoring) boven formele certificeringsprocessen

  • Productfunctionaliteiten die onze collega- ISO 27001 en GRC-professionals helpen slagen in hun eigen compliance-trajecten

  • Klantwaarde door AI-gestuurde documentgeneratie, framework mapping en compliance automatisering

We herinvesteren de omzet van tevreden gebruikers in gestage verbeteringen in plaats van aanzienlijke middelen te besteden aan certificering terwijl we nog een heel klein team zijn.

We vertrouwen op gecertificeerde subverwerkers (Mistral AI's ISO 27001:2022, Stripe's PCI-DSS Level 1, AWS/Supabase ISO 27001 en SOC 2 Type II) om onze veiligheid naar een hoger plan te tillen, terwijl we transparant blijven over onze eigen certificeringsstatus.

Wanneer we van plan zijn te certificeren

We zullen ISO 27001-certificering en SOC 2-attestatie nastreven zodra we ons team uitbreiden - door rollen toe te voegen zoals een toegewijde compliance specialist en extra engineers. Deze groei zal organisch voortvloeien uit het succes van onze klanten: door ISO 27001- en GRC-professionals te helpen hun werk te stroomlijnen, bouwen we aan de omzet om op verantwoorde wijze te kunnen schalen.

Zodra het team groter is, zullen we de resterende organisatorische eisen formaliseren:

  • Onafhankelijke managementbeoordelingen met meerdere belanghebbenden

  • Gedocumenteerde risicobehandelplannen met afzonderlijke goedkeuringsworkflows

  • Continuïteitsprocedures met toegewezen rolverdelingen

  • Interne auditprogramma's met echte onafhankelijkheid

We zullen ons eigen product gebruiken om dit proces te versnellen - we doen wat we prediken door ISMS Copilot te gebruiken voor het bijwerken van ons beleid, het in kaart brengen van beheersmaatregelen en het bijhouden van bewijsmateriaal.

In de tussentijd implementeren we een ISMS dat is afgestemd op ISO 27001: we voeren risicobeoordelingen en -behandelingen uit, stellen maatregelen vast voor bedrijfscontinuïteit en noodherstel, doen aan incidentmanagement en threat monitoring, en verzamelen bewijsmateriaal via tools zoals logs en dashboards. Wanneer de teamuitbreiding een feit is, zal certificering onze bestaande sterke punten versterken in plaats van dat we vanaf nul moeten beginnen.

Onze huidige beveiligingsstatus

Hoewel we nog niet gecertificeerd zijn, hebben we robuuste beveiligingsmaatregelen geïmplementeerd die in lijn zijn met de industriestandaarden:

  • Verplichte multi-factor authenticatie

  • Row-level security voor volledige data-isolatie tussen werkruimtes

  • Geautomatiseerde code-scanning met beoordeling van bevindingen

  • Point-in-time herstel voor verhoogde veerkracht

  • Real-time foutopsporing en monitoring

  • Encryptie bij opslag (at rest) en tijdens verzending (in transit)

  • DDoS-bescherming en rate limiting

  • GDPR-compliance 'by design' met door de gebruiker gecontroleerde gegevensbewaring

Voor meer details over onze geïmplementeerde maatregelen, zie ons Overzicht Beveiliging & Gegevensbescherming en ons Beveiligingsbeleid.

Vragen over onze beveiliging?

We zijn beschikbaar om te bespreken hoe onze huidige beveiligingsstatus aansluit bij jouw behoeften. Ben je een klant of prospect met vragen over onze beheersmaatregelen, compliance status of onze certificerings-roadmap, neem dan contact met ons op. Ook wanneer we voldoende middelen hebben om een bepaalde maatregel te implementeren, doen we dat graag of plannen we dit in, dus aarzel niet om ernaar te vragen.

Was dit nuttig?