Een nulmeting uitvoeren
Op het moment dat certificering voor een (managementsysteem)norm aan de orde komt binnen je organisatie, komt er veel op je af. Je vraagt je misschien af waar je moet beginnen, hoe je de abstracte norm moet vertalen naar jouw situatie en wat je allemaal moet aanpakken en aanpassen ten opzichte van je huidige manier van werken, om aan de eisen van de norm te voldoen. Met andere woorden: je wilt weten waar je staat in relatie tot de normeisen. Hoe groot is de stap van de huidige situatie (‘IST’) naar een certificeerbaar managementsysteem (‘SOLL’)? Een nulmeting (ook wel GAP-analyse genoemd) is bij uitstek het middel om hier een helder beeld van te krijgen.
Een nulmeting uit laten voeren voor je organisatie?
Vraag een vrijblijvende offerte op maat aan!
Hoe gaat een nulmeting in zijn werk?
Een nulmeting wordt onder begeleiding van één van onze adviseurs uitgevoerd in één of meerdere ‘workshop’ sessies. Vanuit de organisatie is hierbij in ieder geval de interne kartrekker voor het project aanwezig (bijv. de QHSE-coördinator of de beoogde security officer), een vertegenwoordiging vanuit het managementteam en waar nodig en nuttig één of meerdere voor het certificeringsthema relevante functionarissen (bijvoorbeeld de IT-verantwoordelijke in geval van ISO 27001).
Na een eerste kennismaking met de activiteiten van de organisatie, worden om te beginnen de volgende zaken kort (op hoofdlijnen) besproken:
- Beoogde scope: op welke activiteiten, organisatieonderdelen, doelgroepen moet de certificering betrekking hebben?
- Stakeholders en hun eisen (in relatie tot het certificeringsthema, bijv. Kwaliteit, Milieu, Informatiebeveiliging, Arbo of Voedselveiligheid)
- Risico’s in relatie tot naleving van stakeholdereisen
Dit geeft een eerste idee waar het managementsysteem borging voor moet gaan bieden.
Vervolgens wordt in beeld gebracht welke eisen de norm stelt als het gaat om (gedocumenteerd) beleid, registraties, middelen en monitoring en of er binnen de organisatie al zaken aanwezig zijn die daar deels of geheel invulling aan geven.
Het resultaat van de nulmeting is een analyse en actieplan, dat op de verschillende aspecten van de norm een beeld geeft hoe de organisatie ervoor staat en waar de belangrijkste “GAP’s” zitten waarmee aan de slag moet worden gegaan.
Nulmeting ISO 27001 / NEN 7510: inclusief inventarisatie Annex A beheersmaatregelen
Managementsysteemnormen zijn over het algemeen opgebouwd volgens de High Level / Harmonized Structure en kennen daardoor eenzelfde opbouw/indeling op hoofdlijnen als het gaat om de ‘Plan-Do-Check-Act’ cyclus. De hiervoor beschreven aanpak van de nulmeting gaat daarmee op voor iedere managementysteemnorm.
Enkele normen voegen daar specifieke eisen/richtlijnen aan toe. ISO 27001 en NEN 7510, de normen voor informatiebeveiliging, kennen bijvoorbeeld een bijlage met een uitgebreide lijst van rond de 100 verplicht te overwegen/implementeren beheersmaatregelen (Annex A). Bij een nulmeting voor ISO 27001/NEN 7510 wordt de “IST” situatie van de organisatie in relatie tot deze beheersmaatregelen ook in beeld gebracht. Daarmee wordt ook gelijk invulling gegeven aan enkele normeisen.
Voordelen van een nulmeting
- De nulmeting geeft helder inzicht waar je als organisatie staat ten opzichte van de normeisen en hoe groot de stap is naar een certificering;
- Het resultaat van de nulmeting is een praktisch actieplan, dat een goede basis biedt voor een vervolgtraject;
- De nulmeting is een op zichzelf staande dienst, die zonder verdere (vervolg)verplichtingen kan worden afgenomen;
- De nulmeting biedt een laagdrempelige mogelijkheid om praktisch en inhoudelijk kennis te maken met CAN en de adviseur, voordat commitment wordt gegeven voor een verder begeleidingstraject.
Tijdsbesteding en kosten
Bij een gemiddelde MKB-organisatie (tot 250 medewerkers, 1 vestiging) kan wat betreft tijdsbesteding en kosten het volgende worden aangehouden (indicatief):
- Voor normen op gebied van Kwaliteit (o.a. ISO 9001 / HKZ), Milieu (ISO 14001), Arbo (ISO 45001), Voedselveiligheid (ISO 22000): 1 à 2 sessies van een dagdeel (4 tot 8 uur totaal); kosten tussen 600 en 1.200 euro.
- Voor normen op gebied van Informatiebeveiliging (ISO 27001/NEN 7510): 16 tot 20 uur; kosten rond de 2.500 à 3.000 euro.
Na de nulmeting
Na de nulmeting weet je waar je staat en wat je te doen staat. Je kiest als organisatie vervolgens zelf of en hoe je verder gaat richting certificering. Indien je kiest om verder te gaan, zijn er verschillende opties:
- Volledig zelfstandig verdergaan; hierbij kunnen wij eventueel hulpmiddelen aanreiken in de vorm van templates of onze Confluence ISMS tool;
- Zelf verder aan de slag, onder coachende begeleiding van een adviseur die je met tips, templates en reviews door het traject heen helpt;
- Verdere implementatie zoveel mogelijk uitbesteden aan een adviseur, waarbij de medewerkers binnen de organisatie voornamelijk dienen als bron van informatie.
De laatste stap voordat de externe certificeringsaudit kan worden uitgevoerd, is het uitvoeren van een interne audit en een directiebeoordeling. Ook hierbij heb je de keuze: zelf doen of uitbesteden.
Wil je meer weten?
Wil je meer weten over wat CertificeringsAdvies Nederland voor jouw organisatie kan betekenen op het gebied van een nulmeting? Neem dat contact met ons op.
