Marcel van Schooneveld
Consultant van FPSupport
Van: Christel Bastiaenssens, Zelfstandig adviseur
Voorbeeld mappenstructuur managementsysteem.
En dan is de audit achter de rug en wat dan? Uiteraard vier je het succes, althans als het bedrijf er goed doorheen is gekomen. Over tot de orde van de dag. Jammer, want het blijft belangrijk om aandacht voor het onderwerp te blijven vragen. Een aantal ideeën waardoor het onderwerp (=norm) ‘warm’ blijft:
- Auditteam. Richt een intern auditteam op. Train het team en laat ze interne audits doen. Nieuwe inzichten, begrip voor elkaars werk, draagvlak voor het managementsysteem …..Niets dan voordelen.
- Rapporteer periodiek over het norm-onderwerp. In het verleden heb ik regelmatig een column gehad in de maandelijkse nieuwsbrief van de directie. Vertel wat er speelt, wat de uitdagingen zijn, welke verbeteringen er zijn doorgevoerd enz.
- Draagvlak. Behandel de analyses die aan bod zijn gekomen tijdens de directiebeoordeling ook tijdens de personeelsbijeenkomsten. Laat zien hoeveel klachten er zijn binnengekomen, wat de oorzaken daarvan zijn of welke datalekken er zijn geweest. En als klap op de vuurpijl: laat je collega’s meedenken over de te nemen maatregelen. Dat kan natuurlijk ook in een aparte werkgroep of tijdens een afdelingsoverleg.
- Kennis delen. Daarnaast worden nieuwe medewerkers bij indiensttreding natuurlijk bijgepraat over de certificeringen en wordt de kennis van je collega’s periodiek op peil gehouden. Hiervoor zijn tegenwoordig leuke tools zoals bijvoorbeeld een Kahoot (quiz). Regel dan vooral ook leuke prijzen!
Informatiebeveiliging is hot! Elk bedrijf heeft ‘gouden eieren’ zoals werkwijzen, patenten, receptuur, medical files, tekeningen, wachtwoorden, broncodes van software, kennis en ga zo maar door. Of deze informatie nu het product is dat je verkoopt of omdat het bijdraagt aan het productieproces, het is belangrijke informatie en vertegenwoordigt een waarde. En die waarde moet worden beschermd.
ISO27001 Informatiebeveiliging is een norm die, ten onrechte overigens, wordt bestempeld als een ICT-norm. Informatiebeveiliging gaat over informatie op papier, digitale informatie en over het gesproken woord. Er moeten inderdaad technische beheersmaatregelen worden genomen, maar ook organisatorische en fysieke. Dit alles om beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen waarborgen, wat leidt tot informatiebeveiliging.
Deze norm volgt de HLS maar heeft een toevoeging, namelijk Annex A of ook wel Bijlage A genaamd. Hierin staan de 114 beheersmaatregelen (de eerder genoemde technische, organisatorische en fysieke maatregelen) die in mindere of meerdere mate moet worden geïmplementeerd (afhankelijk van de geïdentificeerde risico) en geborgd.
In het MKB zie je vaak dat de kwaliteitscoördinator de schone taak krijgt ISO27001 te implementeren. Als je dan de HLS goed kent, dan kom je al een heel eind. Bij het technische stuk zou ik zeker een ICT-collega betrekken en wellicht een externe adviseur om uitleg te geven over sommige normeisen/beheersmaatregelen en/of om de interne audits uit te voeren. Werk je bij een grotere organisatie, dan is de security officer vaak de kartrekker van ISO27001. Ook dan is het belangrijk om samen op te trekken met de kwaliteitscoördinator zodat structuur en formats kunnen worden gedeeld.
Succes!
Geen formulier invullen maar een
WhatsApp bericht versturen. Dit kan naar