Stappenplan
Hoe gaat een nulmeting in zijn werk?
Een nulmeting wordt onder begeleiding van één van onze adviseurs uitgevoerd in één of meerdere ‘workshop’ sessies. Vanuit de organisatie is hierbij in ieder geval de interne kartrekker voor het project aanwezig (bijv. de QHSE-coördinator of de beoogde security officer), een vertegenwoordiging vanuit het managementteam en waar nodig en nuttig één of meerdere voor het certificeringsthema relevante functionarissen (bijvoorbeeld de IT-verantwoordelijke in geval van ISO 27001).
Na een eerste kennismaking met de activiteiten van de organisatie, worden om te beginnen de volgende zaken kort (op hoofdlijnen) besproken:
- Beoogde scope: op welke activiteiten, organisatieonderdelen, doelgroepen moet de certificering betrekking hebben?
- Stakeholders en hun eisen (in relatie tot het certificeringsthema, bijv. Kwaliteit, Milieu, Informatiebeveiliging, Arbo of Voedselveiligheid)
- Risico’s in relatie tot naleving van stakeholdereisen
Resultaat
Nulmeting: analyse en actieplan
Dit geeft een eerste idee waar het managementsysteem borging voor moet gaan bieden. Vervolgens wordt in beeld gebracht welke eisen de norm stelt als het gaat om (gedocumenteerd) beleid, registraties, middelen en monitoring en of er binnen de organisatie al zaken aanwezig zijn die daar deels of geheel invulling aan geven.
Het resultaat van de nulmeting is een analyse en actieplan, dat op de verschillende aspecten van de norm een beeld geeft hoe de organisatie ervoor staat en waar de belangrijkste “GAP’s” zitten waarmee aan de slag moet worden gegaan.
Nulmeting ISO 27001 / NEN 7510: inclusief inventarisatie Annex A beheersmaatregelen
Managementsysteemnormen zijn over het algemeen opgebouwd volgens de High Level / Harmonized Structure en kennen daardoor eenzelfde opbouw/indeling op hoofdlijnen als het gaat om de ‘Plan-Do-Check-Act’ cyclus. De hiervoor beschreven aanpak van de nulmeting gaat daarmee op voor iedere managementysteemnorm.
Enkele normen voegen daar specifieke eisen/richtlijnen aan toe. ISO 27001 en NEN 7510, de normen voor informatiebeveiliging, kennen bijvoorbeeld een bijlage met een uitgebreide lijst van rond de 100 verplicht te overwegen/implementeren beheersmaatregelen (Annex A). Bij een nulmeting voor ISO 27001/NEN 7510 wordt de “IST” situatie van de organisatie in relatie tot deze beheersmaatregelen ook in beeld gebracht. Daarmee wordt ook gelijk invulling gegeven aan enkele normeisen.
Op een rij
Voordelen van een nulmeting
Waarom kiezen om een nulmeting uit te laten voeren voor je organisatie?
- De nulmeting geeft helder inzicht waar je als organisatie staat ten opzichte van de normeisen en hoe groot de stap is naar een certificering;
- Het resultaat van de nulmeting is een praktisch actieplan, dat een goede basis biedt voor een vervolgtraject;
- De nulmeting is een op zichzelf staande dienst, die zonder verdere (vervolg)verplichtingen kan worden afgenomen.
Gemiddelde kosten
Investering in tijd en geld
Bij een gemiddelde MKB-organisatie (tot 250 medewerkers, 1 vestiging) kan wat betreft tijdsbesteding en kosten het volgende worden aangehouden (indicatief):
- Voor normen op gebied van kwaliteit (o.a. ISO 9001 / HKZ), milieu (ISO 14001), arbo (ISO 45001), voedselveiligheid (ISO 22000): 1 à 2 sessies van een dagdeel (4 tot 8 uur totaal); investering tussen € 600 en € 1.200.
- Voor normen op gebied van informatiebeveiliging (ISO 27001/NEN 7510): 16 tot 20 uur; investering rond de € 2.500 à € 3.000.
Kennis delen we graag!
Gerelateerde blogberichten
Hieronder een greep uit de blogberichten gerelateerd aan de nulmeting/GAP-analyse:
Vervolgstappen
Na de nulmeting
Na de nulmeting weet je waar je staat en wat je te doen staat. Je kiest als organisatie vervolgens zelf of en hoe je verder gaat richting certificering. Indien je kiest om verder te gaan, zijn er verschillende opties:
- Volledig zelfstandig verdergaan; hierbij kunnen wij eventueel hulpmiddelen aanreiken in de vorm van templates of onze Confluence ISMS tool;
- Zelf verder aan de slag, onder coachende begeleiding van een adviseur die je met tips, templates en reviews door het traject heen helpt;
- Verdere implementatie zoveel mogelijk uitbesteden aan een adviseur, waarbij de medewerkers binnen de organisatie voornamelijk dienen als bron van informatie.
De laatste stap voordat de externe certificeringsaudit kan worden uitgevoerd, is het uitvoeren van een interne audit en een directiebeoordeling. Ook hierbij heb je de keuze: zelf doen of uitbesteden.
Neem gerust contact met ons op om te sparren over jouw situatie. Of vraag een vrijblijvende offerte op maat aan.
Kom in contact met de partner in certificeren!
Vraag een nulmeting aan!
Wil je graag weten waar je staat in relatie tot de normeisen? Vraag dan een vrijblijvende offerte voor een nulmeting (gap-analyse) aan. We leggen je graag uit wat de mogelijkheden en bijbehorende investering is.