ISMS ISO27001, en wat echt werkt voor je organisatie

ISMS ISO27001

De eerste stappen zijn gezet, met een kick-of bijeenkomst met het gehele team.

Deze middag hebben we globaal kennis gemaakt met de inhoud van de norm, de aanpak en ook niet onbelangrijk de valkuilen.

Binnen Leanforms hebben we een kernteam geformeerd wat het voortouw gaat nemen in dit project.

Maar uiteindelijk zullen we het allemaal samen moeten doen.ISO27001

Net als bij ieder ander kwaliteitsmanagementsysteem gaat het om de gouden driehoek.

Ook bij ISMS (Information Security Management System) gaat het om de driehoek technische middelen, de afspraken (processen en procedures) en betrokkenheid van de mensen.

De ketting is net zo sterk als de zwakste schakel.

 

ISMS ISO27001 in de kinderschoenen?

Zij die al langer met kwaliteitsmanagementsystemen werken (ISO9001, ISO14001 e.d.) herkennen toch wel een aantal grote verschillen.

Hoewel de ISMS ISO27001 de high level structuur volgt is hij indirect behoorlijk dwingend beschreven.

Met 114 verplichte beheersmaatregelen en een groot aantal verplichten procedures/documenten neigt dit heel erg naar ISO-aanpak uit de jaren tachtig,

Groot gevaar is dat ook veel organisaties de norm gaan invullen met deze verplichtingen als leidraad.

Of nog erger door een adviserende consultant die het kunstje doet voor jullie certificaat.

Dan wordt het een papieren tijger in het digitale tijdperk!

Onze tip, begeleiding is ok maar hou het heft in eigen hand.

Gebruik je boerenverstand en zorg dat je een kwaliteitsmanagementsysteem bouwt wat bij jullie manier van werken hoort.

 

PDCA en continue verbeteren

Ook bij het ISMS ISO27001 is de bekende verbeter cyclus van Deming geïntegreerd.

Het zorgt ervoor dat er regelmatig wordt teruggekeken op het beoogde resultaat is behaald en of er aanvullende acties of maatregelen nodig zijn.

Hierdoor worden eventuele weeffouten gecorrigeerd maar wordt ook periodiek geanticipeerd op mogelijke veranderde omstandigheden in de nabije toekomst.

De manier van werken is sterk vergelijkbaar met een ARBO RIE, de basis is een nulmeting.

Afhankelijk van het gekozen beleid, bevindingen, tijd en beschikbare middelen wordt een plan van aanpak geschreven.

Simpel gezegd een lijst van acties die het kwaliteitsmanagementsysteem naar een nog hoger niveau zullen tillen

En misschien cru gezegd, het certificaat is dus geen garantie dat een minimaal beveiligingsniveau door de organisatie is behaald.

De concrete invulling ligt helemaal bij de organisatie zelf.

ISO27001

Stappenplan voor ISO 27001

Hoe eet je een olifant?

Juist, door de olifant in kleine porties te verdelen.

En dat gaan we dus ook doen met het implementatietraject rondom ISO27001.

In 6 logische stappen wordt het systeem opgebouwd.

We gaan daar alle standaard taken rondom risico en kwaliteitsmanagement in tegenkomen, van risicoanalyses tot beheer van registraties.

Maar ook heel specifieke ICT gerelateerde items

Onze uitdaging wordt echter om het systeem ook te combineren met de algemene IS09001:2015 norm.

In 1 keer alles gelijk goed wegzetten, het kan -we zijn ervan overtuigd.

De eerste stap is het opstellen van het beleid en strategie over informatiebeveiling.

Met alle respect, beetje een bla blah verhaal waarin het topmanagement zijn betrokkenheid en visie verklaart.

Het echte werk begint echter bij stap 2.

Het identificeren van risico’s en de afhankelijksheidsanalyse.

We zijn er druk mee bezig en maken jullie deelgenoot van onze ervaringen in de volgende blog.

 

Ook lezen? 

Noem het geen kwaliteitsmanagementsysteem maar een  bedrijfsmanagementsysteem !

ISO27001 versus ISO9001, een andere aanpak?

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.