9 Stappenplan voor een managementsysteem
Het implementeren van een managementsysteem kan een complex proces zijn, maar met de juiste aanpak en begeleiding kan het succesvol worden afgerond. Hieronder volgt een overzicht van de stappen die genomen moeten worden om een effectief managementsysteem te implementeren:
De eerste stap is het maken van een inventarisatie van de huidige structuur, werkwijze, procedures en andere relevante documenten die jullie reeds hanteren in de bedrijfsvoering. Dit doen wij door met enkele sleutelpersonen binnen de organisatie te spreken. Het komt ook voor dat we in deze fase een meer uitgebreide GAP analyse uitvoeren als het bedrijf al (de basis van) een managementsysteem heeft. Deze inventarisatie geeft ons een helder beeld waar de organisatie staat en wat er nog moet gebeuren om het project succesvol af te ronden.
Aan de hand van een classificatieschema brengen we de verschillende informatiestromen binnen de organisatie in kaart. Hierbij beoordelen we in overleg met jullie de vertrouwelijkheid, integriteit en beschikbaarheid van deze stromen. Tevens beoordelen we de impact van deze informatiestromen op de continuïteit van de bedrijfsvoering. Denk hierbij bijvoorbeeld aan emailboxen, de website, offertes, klantgegevens, personeelsgegevens, financiële gegevens etc.
In deze stap brengen wij – op basis van interviews en een enquête – de organisatiestructuur in kaart. Het resultaat is een helder organigram met bijbehorende functieprofielen. Daarnaast zetten we de personeelszaken procedures op. Denk hierbij aan een duidelijk indienst- en uitdiensttredingsprocedure, competentie management en een procedure voor het verhogen en in stand houden van medewerker bewustzijn op het gebied van informatiebeveiliging.. Als deze stukken zijn opgezet, begeleiden wij bij de implementatie.
Het resultaat van deze stap is dat voor ieder functie duidelijk is wat er wordt verwacht in het kader van informatiebeveiliging. Ook zorgen de procedures voor duidelijkheid en eenduidigheid op het gebied van hoofdprocessen bij personeelszaken.
In deze stap worden de primaire processen die raakvlakken hebben met informatiemanagement vastgesteld en beschreven. Op basis van interviews worden concepten opgesteld van de procedures, waarna deze besproken worden om tot een definitieve versie te komen. Uiteraard zorgen we ervoor dat de procedures voldoen aan de norm, maar nog belangrijker we bekijken op welke manier het effectiever, veiliger of gemakkelijker kan. Deze procedures dienen vervolgens met de betrokkenen te worden besproken. In een latere fase zal er ook een controle plaatsvinden of de procedures ook daadwerkelijk worden nageleefd door middel van interne audits.
Het resultaat van deze stap is een set interne afspraken over hoe de proces- en informatiestroom er uitziet. De medewerkers weten wat er moet gebeuren en interne overdrachten zijn duidelijk afgesproken. Dit op zich leidt tot meer grip en minder fouten.
Om het beleid vorm te geven stellen we een stakeholder-, context- en kansen- en risicoanalyse op. Deze analyse geeft ons inzicht in de belangen, wensen en eisen die de stakeholders aan de organisatie stelt op het gebied van informatiebeveiliging. Door deze analyse hebben we een goed beeld van de organisatie en de (markt) context waarin jullie opereren.
Uit deze analyse volgen doelstellingen waar de organisatie mee aan de slag kan en kunnen we een bewustzijnsprogramma opstellen gericht op de verschillende doelgroepen binnen de organisatie. De doelstellingen koppelen we aan de beleidsverklaring die met de medewerkers wordt besproken.
Het resultaat van deze stap is een duidelijk richting waarin de organisatie zich wil ontwikkelen. Dit biedt houvast aan de medewerkers en zorgt ervoor dat de neuzen dezelfde kant uit staan.
Nadat in de eerste 4 stappen de organisatie goed in kaart is gebracht, voldoet de organisatie waarschijnlijk al aan 90% van de normeisen. In de vijfde stap worden de procedures opgesteld die nodig zijn om geheel aan de gekozen norm te voldoen en om invulling te geven aan de Plan Do Check Act (PDCA) cyclus die centraal staat binnen ISO certificeringen.
Hierbij kan gedacht worden aan het omgaan met leveranciers en het delen van (vertrouwelijke) informatie met die partijen, of het aantoonbaar voldoen aan privacy wetgeving.
Deze procedures zijn vaak ondersteunend en onder beheer van een intern aan te wijzen coördinator (de security officer). Wij leren de coördinator met het systeem te werken, zodat jullie na de certificering op eigen benen kunnen staan en zelf in staat zijn om het systeem te onderhouden en om continu te kunnen blijven verbeteren.
In deze fase gaan jullie actief met het systeem aan de slag. Het werk wordt uitgevoerd zoals we met elkaar hebben afgesproken en zoals het is beschreven in de processen. Tijdens deze fase zul je ook merken dat er nog gefinetuned moet worden en kunnen direct verbeteringen worden doorgevoerd om het werk nog effectiever of gemakkelijker te maken. De interne coördinator bewaakt in deze fase de naleving van het managementsysteem en zorgt dat verbeteringen worden doorgevoerd.
Als het systeem enige tijd operationeel is wordt het tijd om een interne audit te gaan plannen. Tijdens de audit wordt gecontroleerd en beoordeeld of de procedures en werkafspraken worden nagekomen. De resultaten geven een goed beeld van het interne draagvlak en vaak komen er aanpassingen en verbeteringen naar voren die het managementsysteem nog effectiever maken.
Aansluitend aan de interne audits plannen we een management review. In deze vergadering evalueert de directie de werking van het managementsysteem en stellen jullie concrete doelen op om de organisatie verder te verbeteren op het gebied van informatiebeveiliging. Uiteraard kunnen we jullie begeleiden in deze stappen!
De laatste stap! Nadat het managementsysteem minimaal 3 maanden operationeel is en de interne audits en management review zijn uitgevoerd, komt een certificerende Instantie langs voor een externe audit om te controleren of aan de eisen van de norm wordt voldaan. Een certificerende instantie is een onafhankelijk bedrijf die enerzijds beoordeelt of het managementsysteem aan de norm voldoet en anderzijds beoordeelt in hoeverre de eigen werkprocessen zoals beschreven in het managementsysteem worden nageleefd. Indien deze instantie akkoord gaat, is de certificering een feit.
Wanneer je voor deze beoordeling (externe audit) slaagt, krijgt de organisatie voor 3 jaar het ISO 27001 certificaat uitgereikt. Waarbij jaarlijks, door de certificerende instantie, getoetst wordt of er nog wordt voldaan aan de eisen van de ISO 27001 norm.
Informatie en advies over certificeringen
Heb je nog vragen over certificeringen? Neem contact op met één van onze adviseurs door te bellen naar 010 26 88 015 of mail naar info@devaart.nl om te horen wat wij voor jouw organisatie kunnen betekenen. Onze adviseurs voorzien je graag en geheel vrijblijvend van het juiste advies.
Wij helpen je graag meer grip te krijgen op je organisatie.
