Bij CERRIX zeggen we vaak: we bouwen niet alleen een GRC-platform, we werken er elke dag mee.
Ons eigen Information Security Management System (ISMS) draait volledig op CERRIX GRC, dezelfde software die onze klanten dagelijks gebruiken. Het is de basis waarop wij risico’s beheren, beheersmaatregelen uitvoeren, incidenten registreren en ons voorbereiden op ISO 27001-audits.
Voor ons gaat informatiebeveiliging niet over vinkjes zetten. Het gaat over vertrouwen creëren, binnen de organisatie én met iedereen met wie we samenwerken.
Waarom We Ons ISMS Hebben Gebouwd in CERRIX GRC
Toen we begonnen met het opzetten van ons ISMS, was het doel niet alleen om aan certificeringseisen te voldoen. We wilden informatiebeveiliging verankeren in ons dagelijks werk.
Dat betekende drie dingen: volledig inzicht, duidelijke verantwoordelijkheden en continue verbetering.
CERRIX GRC maakte dat mogelijk. Elk risico, elk beleid en elke maatregel is met elkaar verbonden. We kunnen direct zien hoe effectief onze maatregelen zijn en waar verbeteringen nodig zijn. Wat vroeger verspreid stond in Excel-bestanden en gedeelde mappen, is nu overzichtelijk samengebracht in één centrale omgeving.
Zoals een van onze collega’s het verwoordde:
“Ons ISMS geeft ons direct inzicht in hoe we ervoor staan op het gebied van informatiebeveiliging. We kunnen in één oogopslag zien wat onder controle is en waar nog werk te doen is.”
Die helderheid verandert naleving in vertrouwen.
Gecentraliseerde Uitvoering en Monitoring van Beheersmaatregelen
Binnen de Controls Module wordt elke beveiligingsmaatregel gezien als een uitvoerbare taak.
Hiermee kan ons securityteam de uitvoering en opvolging van maatregelen gestructureerd plannen, uitvoeren en monitoren.
Elke maatregel heeft een verantwoordelijke, een frequentie en een geplande beoordelingsdatum. Automatische herinneringen zorgen ervoor dat niets over het hoofd wordt gezien. Maandelijks genereert CERRIX GRC een ISMS-statusrapport waarin direct zichtbaar is welke maatregelen actief zijn, welke zijn afgerond en welke nog openstaan.
Alle bewijsstukken, van testresultaten tot documentatie, worden opgeslagen in dezelfde omgeving. Dit maakt audits eenvoudig en efficiënt. Auditors kunnen historische gegevens en bewijsmateriaal direct terugvinden, zonder eindeloos zoeken in mappen of e-mails.
Na verloop van tijd is dit uitgegroeid tot een vaste routine. Beheersmaatregelen zijn niet langer losse taken, maar vaste onderdelen van onze manier van werken.
Incidentbeheer en Continue Verbetering
Incidentbeheer is een essentieel onderdeel van ons ISMS.
Elk incident, of het nu gaat om een phishingpoging of een technisch probleem, wordt geregistreerd in CERRIX GRC. Elk incident krijgt een risicocategorie en impactscore en wordt, waar nodig, gekoppeld aan een Measure of Improvement (MOI).
Zo ontstaat een gesloten verbetercyclus: incidenten leiden tot verbeteracties, en MOI’s zorgen voor opvolging tot het probleem volledig is opgelost.
Die cyclus van signaleren, handelen en verbeteren houdt ons ISMS voortdurend in beweging. Dit is precies wat ISO 27001 bedoelt met continue verbetering.
Beleid, Risico’s en Beheersmaatregelen in Één Systeem
Alle belangrijke beleidsdocumenten, zoals het Information Security Policy, de Code of Conduct en het Business Continuity Plan, worden beheerd in CERRIX GRC.
Elk jaar bevestigen medewerkers via Forms dat zij deze beleidsstukken hebben gelezen en begrepen, waardoor er een aantoonbaar auditspoor ontstaat.
Omdat beleid, risico’s en maatregelen in het platform met elkaar zijn verbonden, zien we precies hoe beleid zich vertaalt naar de praktijk.
Als een beleid bijvoorbeeld voorschrijft dat data moet worden versleuteld of dat toegang beperkt moet zijn, dan zijn de bijbehorende maatregelen, risicoanalyses en testresultaten direct gekoppeld. Hierdoor kunnen we eenvoudig aantonen dat we compliant zijn én zien waar nog verbeteringen mogelijk zijn.
Door die samenhang is ons ISMS veel meer dan een documentatieverzameling; het is een levend systeem dat laat zien hoe governance in de praktijk werkt.
Inzicht via Dashboards en KPI’s
Ons ISMS wordt continu gemonitord via dashboards waarin de status van risico’s, beheersmaatregelen en incidenten zichtbaar is.
Voor managementrapportages koppelt CERRIX GRC naadloos met Power BI, waarmee we belangrijke indicatoren volgen zoals:
- Uitvoeringspercentage van beheersmaatregelen
- Aantal en ernst van incidenten
- Status van openstaande MOI’s
- Risicotrends door de tijd
Deze inzichten maken het voor het management eenvoudig om geïnformeerd te blijven, patronen te herkennen en op data gebaseerde beslissingen te nemen.
Het helpt ons ook om vooruitgang te meten: hoe goed onze maatregelen werken, hoe snel incidenten worden opgelost en waar we als organisatie sterker worden.
Dit soort inzicht verandert data in richting.
Altijd Klaar voor de Audit
Voordat we met CERRIX GRC werkten, betekende auditvoorbereiding weken van documenten verzamelen.
Nu is het slechts een kwestie van beoordelen wat al in het systeem staat. Elke maatregel is gekoppeld aan de relevante ISO 27001-clausule, elke wijziging wordt automatisch gelogd en alle documentatie is direct beschikbaar.
We bereiden ons niet één keer per jaar voor op audits. We zijn het hele jaar door audit-ready.
Een Systeem Dat Zichzelf Verbeterd
Door ons ISMS te draaien op CERRIX GRC, verbeteren we niet alleen onze informatiebeveiliging, maar ook de software zelf.
We zien wat goed werkt, wat eenvoudiger kan en wat onze gebruikers nog meer zou helpen. Die inzichten nemen we direct mee in onze productontwikkeling.
Het is een van de beste manieren om ons platform te testen en te verfijnen: door het elke dag zelf te gebruiken.
Daarom menen we het letterlijk als we zeggen dat CERRIX GRC organisaties helpt om in control te blijven.
Wat We Hebben Geleerd
Onze ISMS-reis heeft ons geleerd dat goede governance net zo veel te maken heeft met mensen en duidelijkheid als met technologie.
Wanneer iedereen zijn verantwoordelijkheid kent, processen transparant zijn en inzichten toegankelijk zijn, wordt informatiebeveiliging onderdeel van de cultuur in plaats van een verplichting.
Dat is wat CERRIX GRC ons heeft gebracht: niet alleen compliance, maar vooral vertrouwen.
Het gebruik van CERRIX GRC voor ons eigen ISMS houdt ons scherp.
Het betekent dat we niet alleen anderen adviseren over governance en compliance, maar het ook zelf elke dag toepassen.
En elke keer dat we intern iets verbeteren, wordt het platform sterker voor onze klanten.
Dat is wat “in control, by design” voor ons betekent.
Benieuwd hoe dit in de praktijk werkt? Vraag een demo aan.
Spreadsheets vs. GRC Tools: Elevating Risk & Compliance Management
Accessible popup
Welcome to Finsweet's accessible modal component for Webflow Libraries. This modal uses custom code to open and close. It is accessible through custom attributes and custom JavaScript added in the embed block of the component. If you're interested in how this is built, check out the Attributes documentation page for this modal component.
%20(1).jpg)
Hoe Wij CERRIX GRC Gebruiken voor het Beheren van Ons ISMS. ISO 27001 in de Praktijk
Wij gebruiken onze eigen CERRIX GRC-software om het ISMS van CERRIX te beheren. Zo maken we van compliance een continu proces en laten we zien hoe ISO 27001 onderdeel wordt van de dagelijkse praktijk.
%20(1).jpg)
Hoe bereken je risicokans en -impact?
Leer hoe je risicokans en -impact berekent volgens ISO 31000. Ontdek hoe gestructureerde risicobeoordeling, scoringsmodellen en risicomatrices bijdragen aan effectief risicomanagement met CERRIX.
.jpg)
Why the Three Lines of Defense Model Is Outdated? What Every Board Should Know About the Three Lines Model
Three Lines Model Explained: Why Boards Must Move Beyond 3LOD
.jpg)
What Is ISO 31000 and How Does It Work?
Discover what ISO 31000 is, how it works, and why it’s essential for risk management in 2025. Learn the principles, framework, and how tools like CERRIX help organizations turn ISO 31000 into practice.
.jpg)
How to Write an Incident Report That Stands Up to Audits
Learn how to write incident reports that are clear, evidence-backed, and audit-ready. Includes a template, best practices, and compliance alignment for risk professionals.
.jpg)
How to Implement ISO 31000: Real-Time Risk Decisions with AI‑Enabled Tools
Discover how to move beyond compliance and operationalize ISO 31000 using AI, real-time dashboards, and structured risk assessments. Learn from webinar insights and best practices tailored for financial services and regulated industries.
%20(1).jpg)
What’s Blocking Your ISMS Rollout? 7 Fixable Challenges for Financial Institutions
Discover the 7 biggest blockers in ISMS rollout for financial institutions—and how to solve them. Learn practical strategies to secure buy-in, define scope, streamline controls, and prepare for ISO 27001 certification.
.jpg)
Trends Driving ISMS Adoption in 2025: What Risk & Compliance Leaders Need to Know
Discover the top trends pushing organizations toward ISMS adoption in 2025—from regulatory changes and remote work to threat evolution and AI. Learn what to prioritize to stay ahead in risk and compliance.
What Is an ISMS? A Practical Guide for Risk & Compliance Leaders in 2025
An Information Security Management System (ISMS) is more than policy—it’s your organization’s shield against evolving threats, regulation, and reputation risk. Discover what ISMS means, how to implement it, and why it matters in 2025.
.jpg)
The Intelligent Future of GRC: How AI is Reshaping Governance, Risk & Compliance in 2025
Explore how AI is transforming GRC in 2025—from predictive insights and automation to ethical oversight. Learn what features matter, what risks to manage.
.jpg)
How Do You Implement an ISMS in Financial Services Without Slowing Down Innovation?
Implementing an ISMS in financial services? Explore a practical, risk-aligned roadmap tailored for banks, fintechs, and insurers to meet ISO 27001, GDPR, and DORA compliance—without compromising agility.
How Do You Build a Robust ISMS Framework Based on ISO 27001?
Learn how to build a robust ISMS framework aligned with ISO 27001. Discover the key components—people, policies, processes, and controls—to strengthen security and achieve compliance.
.jpg)
When to Conduct Risk Assessments: 6 Enterprise-Critical Moments
Learn when to conduct risk assessments—annual, quarterly, after incidents or change—and how CERRIX ensures continuous compliance.
.jpg)
How do you build a system of quality management that works under ISQM 1?
Learn how to build a system of quality management under ISQM 1. Move beyond compliance to an operational model that proves audit quality.
Top GRC Platforms Compared: Risk Assessment Tools for 2025
Discover the top GRC platforms for 2025 with a focus on risk assessment tools.
What Are Risk Scoring Methods for Financial Institutions? [2025 Guide]
From Risk Assessment to Risk Management: Moving Beyond Checklists in 2025
Understand the evolution from risk assessment to strategic risk management in 2025. Learn why leading organizations are embedding risk into decision-making—and how GRC platforms like CERRIX support this shift.
What is risk management? A strategic guide for leaders in 2025
How Audit Firms Embed ISQM into Daily Practice
In our second ISQM webinar, experts from RSM, Grant Thornton, and CERRIX shared practical insights on how audit firms can embed ISQM into the heart of their operations.
Embedding ISQM 1 into the DNA of Your Audit Firm: A Risk-Based Approach to Quality Management
Discover how to implement ISQM 1 with a risk-based approach. Learn how audit firms can embed quality management into daily operations and governance.
%20(1).avif)
CERRIX User Conference 2025
Op 12 maart 2025 kwamen marktleiders, verzekeringsexperts en CERRIX-klanten samen voor de CERRIX User Conference 2025, een dag van kennisuitwisseling, inzichtelijke discussies en samenwerking over de toekomst van risicobeheer, compliance en AI-gestuurde GRC-oplossingen.
Van spreadsheets tot GRC-software: waarom pensioenfondsen een moderne benadering van risicobeheer nodig hebben
CERRIX en BR1GHT versterken langdurige samenwerking om oplossingen voor bestuur, risico, compliance en audit te verbeteren
DORA implementeren: van compliance tot veerkracht op lange termijn
