Een geïntegreerd kwaliteitssysteem, de route kaart

Hoewel het einddoel hetzelfde is, blijkt de aanpak voor de ISO 9001 en 27001 norm totaal verschillend. De logische vervolgstap bij ISO9001:2015 begint bij het beschrijven van de bedrijfsprocessen. Bij implementatie van een ISO27001 kwaliteitssysteem start men gebruikelijk met een risico en impactanalyse van de (ICT) bedrijfsmiddelen. Binnen LeanForms hebben we gekozen beide trajecten synchroon uit te werken. In een later stadium laten we zien hoe we, met onze eigen software, deze beide normen eenvoudig verbinden en voor de gebruiker inzichtelijk maken.

De volgende stap, de impact en afhankelijkheidsanalyse

De tweede stap bij implementatie van een ISO27001 kwaliteitssysteem is de impact en afhankelijkheidsanalyse. Hiervoor brengt men alle ICT-gebruiksmiddelen binnen de organisatie in kaart. De volgende vragen komen hierbij minimaal komen aan de orde:

  • Softwareapplicaties, apps en hulpmiddelen die worden gebruikt;
  • Hardware, gebruik van servers, desktop, laptop, telefoon e.d.;
  • Locaties (waar worden de activiteiten uitgevoerd);
  • In welke bedrijfsprocessen worden deze gebruikt;
  • Welke bedrijfsinformatie wordt vastgelegd.

Impactbepaling, de verschillende invalshoeken

Om de impact van ieder individueel ICT-gebruiksmiddel op de informatiebeveiliging te bepalen, wordt deze vanuit 4 verschillende invalshoeken beoordeeld:
Beschikbaarheid, integriteit, vertrouwelijkheid en belang.

Voordat men hier mee begint moet men dus wel de criteria opstellen voor de beoordeling. Deze criteria moeten in lijn zijn met je beleidsverklaring. Het is echter ook van belang dat ze geschikt zijn voor je eigen organisatie. Neem dus de tijd om deze goed te definiëren. Het resultaat van de beoordeling wordt uitgedrukt als een score op een maatlat (bv 1 = invloed nihil, 5 = invloed ernstig).

Afhankelijkheden, voorkom verrassingen!

Nu komt het echte werk men moet ook de onderlinge verbanden gaan vastleggen. Want als je bijvoorbeeld de software wilt bijwerken moet je weten op welke hardware deze wordt gebruikt. Of welke data tussen verschillende applicaties wordt uitgewisseld. De zwakste schakel van de ketting bepaalt uiteindelijk de sterkte.

Tijd voor stap 3, de risicobeoordeling…

Het eindresultaat is een overzichtslijst waarvan je misschien wel schrikt. Je hebt nu alle middelen in beeld en globaal bepaald hoe belangrijk ze zijn voor de informatiebeveiliging binnen je organisatie. Als je deze nu kunt koppelen aan beveiligingsrisico’s en preventieve maatregelen is de cirkel gesloten.

Ook hier wijkt de werkwijze bij de implementatie van een ISO27001 kwaliteitssysteem af ten opzichte van een regulier ISO-kwaliteit systeem.

Wil je ondersteuning bij je ISO proces? Onze consultants staan voor je klaar!

Vraag vrijblijvend een demo aan