Easy ISO

Het behalen van een ISO-certificaat kan een ingewikkeld proces lijken, vol van technische termen en complexe processen. Het doel is in essentie “in control” zijn, wat betekent dat een organisatie haar processen, risico’s en activiteiten effectief beheerst en stuurt. En niet, zoals vaak gedacht wordt, dat er geen risico’s meer zouden zijn. Het houdt in dat jouw organisatie grip heeft op haar doelen, risico’s tijdig identificeert en passende maatregelen neemt om afwijkingen te voorkomen of bij te sturen, zodat deze geen negatieve invloed hebben op de bedrijfsresultaten of strategische doelen.

Waar begin je dan? In de kern is het te herleiden tot drie logische stappen die je organisatie helpen om een solide basis voor informatiebeveiliging neer te zetten. Bij Vidar Security hebben we het proces van implementeren van ISO teruggebracht tot drie eenvoudige stappen.

 

Stap 1: Bepaal wat je niveau van beveiliging zou moeten zijn

Stap 2: Beschrijf hoe je dat niveau gaat behalen, behouden en verbeteren

Stap 3: Bewijs dat het ook daadwerkelijk zo gedaan wordt

 

Stap 1. Bepaal wat je niveau van beveiliging zou moeten zijn

In de eerste fase beginnen we met een nulmeting: waar sta je nu? De nulmeting wordt gevolgd door een context- en risicoanalyse. Dit betekent dat we samen gaan kijken naar de huidige situatie van jouw organisatie en de risico’s die daarbij horen. Wat zou er mis kunnen gaan op het gebied van informatiebeveiliging, en hoe ernstig zijn die risico’s? Vervolgens ga je bepalen welk beveiligingsniveau je moet hebben om deze risico’s (voldoende) te beheersen. Hierbij rekening houdend met wettelijke eisen, de verwachtingen van klanten en de eigen bedrijfsdoelen.

Zie het als het plannen van een reis: je kunt pas echt beginnen als je weet waar je staat en waar je heen wilt.

Stap 2: Beschrijf hoe je dat niveau gaat behalen, behouden en verbeteren

Nadat je weet wat je moet doen om in control te zijn, begint het bouwen. We richten samen het managementsysteem in. Hierbij sluiten we zoveel mogelijk aan bij wat er al is. Geen enkele organisatie heeft niets. Het is zoeken naar een maatwerkoplossing die past bij jouw type organisatie. We gaan specifieke projecten de geïdentificeerde hiaten vullen. Als jouw organisatie op bepaalde punten nog niet voldoet, dan gaan we zorgen dat je dat wel doet. Bijvoorbeeld: je hebt nog geen gestructureerd proces voor wijzigingenbeheer of toegangsbeveiliging dan richten we die in. Dat doen we dan op zo’n manier dat we direct bewijs kunnen verzamelen voor Stap 3.

Deze stap vergt de meeste inzet. De nadruk ligt op samenwerking en het leveren van inhoudelijk advies. Tijdens bijeenkomsten helpen we bij het ontwerpen van oplossingen en geven we gericht advies om deze te optimaliseren. We dagen de organisatie uit om tot de beste resultaten te komen en zorgen ervoor dat alle betrokkenen scherp blijven gedurende het proces. Het is een iteratief proces waarbij we continu een terugkoppeling maken met de eerste stap en zo bijsturen en verbeteren om een optimaal eindresultaat te bereiken.

Stap 3: Bewijs leveren dat het ook daadwerkelijk gedaan wordt

Zonder bewijs blijft het bij woorden. In deze fase komt de externe auditor in beeld, die controleert of je aan de gestelde normen voldoet. Ben je “In control”? Voldoe je aan de norm? Als je dat kunt laten zien, dan volgt de certificering.

Voor Vidar Security is deze fase meestal een formaliteit. Als fase 1 en 2 goed zijn uitgevoerd, zijn de processen zo ingericht dat de organisatie relatief eenvoudig kan laten zien dat zij “in control” is.

Conclusie

Het behalen van een ISO-certificaat vereist een serieuze inspanning. Onze aanpak zorgt ervoor dat je organisatie beter bestand is tegen risico’s en klaar is voor de toekomst. Met goede begeleiding van iemand die de valkuilen kent en weet hoe je als organisatie aantoonbaar in control bent, is het behalen van een ISO-certificaat is een stuk minder complex dan de meeste mensen denken.