HLS - Doe er je voordeel mee

ISO - HLS structuur hoe geef je er effectief invulling aan

Van: Christel Bastiaenssens, Zelfstandig adviseur

Van: Christel Bastiaenssens, Zelfstandig adviseur

HLS High Level Structure

Sinds 2015 zijn de meeste ISO-normen opgebouwd volgens de HLS ofwel de High Level Structure. Ik zeg de meeste, want ISO13485 Medische Hulpmiddelen vormt hier een uitzondering op.
 
Grof gezegd is de hoofdstukindeling en zijn de teksten van de normeisen voor elke norm hetzelfde. Alleen het onderwerp is anders. Heb je het over ISO9001, dan staat de ‘kwaliteitsbril’ op. Spreek je over ISO27001, dan gaat het over het onderwerp informatiebeveiliging enz. Een voorbeeld: de norm-eis 4.2 geeft inzicht in de behoeften en verwachtingen van belanghebbenden. Bij de ISO9001 hebben we het dan over belanghebbenden op het gebied van kwaliteitsmanagement en in de ISO27001 gaat het over de belanghebbenden ten aanzien van informatiebeveiliging.
 
Het voordeel van de HLS structuur is dat je eenvoudig een ISO norm erbij kan ‘prikken’. Om even bij de belanghebbende (stakeholders) te blijven: heb je al een stakeholdersanalyse gedaan voor je ISO9001, dan kun je deze makkelijk uitbreiden met de stakeholders die van toepassing zijn op deze nieuwe norm. Het is wel handig om de verschillende normen te kunnen onderscheiden van elkaar. Dit kun je doen met twee exemplaren van hetzelfde format of bijvoorbeeld met kleuren. Het moet in ieder geval duidelijk zijn of de geïdentificeerde stakeholder bij kwaliteit of bijvoorbeeld informatiebeveiliging of bij beide hoort.
 
En eigenlijk kun je bovenstaande werkwijze doorvoeren door de gehele HLS. Denk aan een SWOT-analyse, risico-analyses, formuleren van doelstellingen, de communicatiematrix, wet- en regelgeving en klanteisen, leveranciers, KPI’s (Kritische Prestatie Indicatoren), interne audits, directiebeoordeling, verbeterregister en ga zo maar door. Wanneer je de norm goed kent en je de indeling kunt dromen, dan is het misschien nog een idee om de documenten die onderdeel uitmaken van je managementsysteem, precies volgens de HLS op te slaan. Doe je dit in MS Office dan zou je mappen kunnen aanmaken genoemd naar het hoofdstuk uit de HLS. Een groot voordeel: je vliegt door de externe audit! Houd daarbij wel rekening met updates die plaatsvinden binnen de HLS. Houd de informatie van de NEN daarom in de gaten!
 
27001-managementsysteem

Voorbeeld mappenstructuur managementsysteem.

 

En dan is de audit achter de rug en wat dan? Uiteraard vier je het succes, althans als het bedrijf er goed doorheen is gekomen. Over tot de orde van de dag. Jammer, want het blijft belangrijk om aandacht voor het onderwerp te blijven vragen. Een aantal ideeën waardoor het onderwerp (=norm) ‘warm’ blijft:

Na de audit

Auditteam. Richt een intern auditteam op. Train het team en laat ze interne audits doen. Nieuwe inzichten, begrip voor elkaars werk, draagvlak voor het managementsysteem …..Niets dan voordelen.

Rapporteer periodiek over het norm-onderwerp. In het verleden heb ik regelmatig een column gehad in de maandelijkse nieuwsbrief van de directie. Vertel wat er speelt, wat de uitdagingen zijn, welke verbeteringen er zijn doorgevoerd enz.

Draagvlak. Behandel de analyses die aan bod zijn gekomen tijdens de directiebeoordeling ook tijdens de personeelsbijeenkomsten. Laat zien hoeveel klachten er zijn binnengekomen, wat de oorzaken daarvan zijn of welke datalekken er zijn geweest. En als klap op de vuurpijl: laat je collega’s meedenken over de te nemen maatregelen. Dat kan natuurlijk ook in een aparte werkgroep of tijdens een afdelingsoverleg.

Kennis delen. Daarnaast worden nieuwe medewerkers bij indiensttreding natuurlijk bijgepraat over de certificeringen en wordt de kennis van je collega’s periodiek op peil gehouden. Hiervoor zijn tegenwoordig leuke tools zoals bijvoorbeeld een Kahoot (quiz). Regel dan vooral ook leuke prijzen!

Informatiebeveiliging en ISO27001

Informatiebeveiliging is hot! Elk bedrijf heeft ‘gouden eieren’ zoals werkwijzen, patenten, receptuur, medical files, tekeningen, wachtwoorden, broncodes van software, kennis en ga zo maar door. Of deze informatie nu het product is dat je verkoopt of omdat het bijdraagt aan het productieproces, het is belangrijke informatie en vertegenwoordigt een waarde. En die waarde moet worden beschermd.

ISO27001 Informatiebeveiliging is een norm die, ten onrechte overigens, wordt bestempeld als een ICT-norm. Informatiebeveiliging gaat over informatie op papier, digitale informatie en over het gesproken woord. Er moeten inderdaad technische beheersmaatregelen worden genomen, maar ook organisatorische en fysieke. Dit alles om beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen waarborgen, wat leidt tot informatiebeveiliging.

Deze norm volgt de HLS maar heeft een toevoeging, namelijk Annex A of ook wel Bijlage A genaamd. Hierin staan de 114 beheersmaatregelen (de eerder genoemde technische, organisatorische en fysieke maatregelen) die in mindere of meerdere mate moet worden geïmplementeerd (afhankelijk van de geïdentificeerde risico) en geborgd.

In het MKB zie je vaak dat de kwaliteitscoördinator de schone taak krijgt ISO27001 te implementeren. Als je dan de HLS goed kent, dan kom je al een heel eind. Bij het technische stuk zou ik zeker een ICT-collega betrekken en wellicht een externe adviseur om uitleg te geven over sommige normeisen/beheersmaatregelen en/of om de interne audits uit te voeren. Werk je bij een grotere organisatie, dan is de security officer vaak de kartrekker van ISO27001. Ook dan is het belangrijk om samen op te trekken met de kwaliteitscoördinator zodat structuur en formats kunnen worden gedeeld.

Succes!

 

 

 

 

Online
kennismaken

 

Geen formulier invullen maar een
WhatsApp bericht versturen. Dit kan naar

 

Marcel van Schooneveld

Consultant van FPSupport