GAP-analyse

Nulmeting uitvoeren

Ga je een (managementsysteem)norm implementeren of ervoor certificeren? Dan komt er veel op je af. Waar moet je beginnen? Hoe vertaal je de abstracte norm naar jouw situatie en wat moet je allemaal aanpakken en aanpassen ten opzichte van je huidige manier van werken, om aan de eisen van de norm te voldoen? Met andere woorden:

  • Je wilt weten waar je staat in relatie tot de normeisen.
  • Hoe groot is de stap van de huidige situatie (‘IST’) naar een certificeerbaar managementsysteem (‘SOLL’)?

Een nulmeting (ook wel GAP-analyse genoemd) is bij uitstek het middel om hier een helder beeld van te krijgen. Een nulmeting is ook uitermate geschikt om een beeld te krijgen van de stand van zaken in je organisatie met betrekking tot een thema, zoals duurzaamheid of informatiebeveiliging.

Nulmeting
GAP analyse

Stappenplan

Hoe gaat een nulmeting in zijn werk?

Een nulmeting wordt onder begeleiding van één van onze adviseurs uitgevoerd in één of meerdere ‘workshop’ sessies. Vanuit de organisatie is hierbij in ieder geval de interne kartrekker voor het project aanwezig (bijv. de QHSE-coördinator of de beoogde security officer), een vertegenwoordiging vanuit het managementteam en waar nodig en nuttig één of meerdere voor het certificeringsthema relevante functionarissen (bijvoorbeeld de IT-verantwoordelijke in geval van ISO 27001).

Na een eerste kennismaking met de activiteiten van de organisatie, worden om te beginnen de volgende zaken kort (op hoofdlijnen) besproken:

  • Beoogde scope: op welke activiteiten, organisatieonderdelen, doelgroepen moet de certificering betrekking hebben?
  • Stakeholders en hun eisen (in relatie tot het certificeringsthema, bijv. Kwaliteit, Milieu, Informatiebeveiliging, Arbo of Voedselveiligheid)
  • Risico’s in relatie tot naleving van stakeholdereisen

Resultaat

Nulmeting: analyse en actieplan

Dit geeft een eerste idee waar het managementsysteem borging voor moet gaan bieden. Vervolgens wordt in beeld gebracht welke eisen de norm stelt als het gaat om (gedocumenteerd) beleid, registraties, middelen en monitoring en of er binnen de organisatie al zaken aanwezig zijn die daar deels of geheel invulling aan geven.

Het resultaat van de nulmeting is een analyse en actieplan, dat op de verschillende aspecten van de norm een beeld geeft hoe de organisatie ervoor staat en waar de belangrijkste “GAP’s” zitten waarmee aan de slag moet worden gegaan.

PDCA-in-de-HKZ-Norm

Nulmeting ISO 27001 / NEN 7510: inclusief inventarisatie Annex A beheersmaatregelen

Managementsysteemnormen zijn over het algemeen opgebouwd volgens de High Level / Harmonized Structure en kennen daardoor eenzelfde opbouw/indeling op hoofdlijnen als het gaat om de ‘Plan-Do-Check-Act’ cyclus. De hiervoor beschreven aanpak van de nulmeting gaat daarmee op voor iedere managementysteemnorm.

Enkele normen voegen daar specifieke eisen/richtlijnen aan toe. ISO 27001 en NEN 7510, de normen voor informatiebeveiliging, kennen bijvoorbeeld een bijlage met een uitgebreide lijst van rond de 100 verplicht te overwegen/implementeren beheersmaatregelen (Annex A). Bij een nulmeting voor ISO 27001/NEN 7510 wordt de “IST” situatie van de organisatie in relatie tot deze beheersmaatregelen ook in beeld gebracht. Daarmee wordt ook gelijk invulling gegeven aan enkele normeisen.

Op een rij

Voordelen van een nulmeting

Waarom kiezen om een nulmeting uit te laten voeren voor je organisatie?

  • De nulmeting geeft helder inzicht waar je als organisatie staat ten opzichte van de normeisen en hoe groot de stap is naar een certificering;
  • Het resultaat van de nulmeting is een praktisch actieplan, dat een goede basis biedt voor een vervolgtraject;
  • De nulmeting is een op zichzelf staande dienst, die zonder verdere (vervolg)verplichtingen kan worden afgenomen.
GAP analyse ISO 27001
De RI&E kosten

Gemiddelde kosten

Investering in tijd en geld

Bij een gemiddelde MKB-organisatie (tot 250 medewerkers, 1 vestiging) kan wat betreft tijdsbesteding en kosten het volgende worden aangehouden (indicatief):

  • Voor normen op gebied van kwaliteit (o.a. ISO 9001 / HKZ), milieu (ISO 14001), arbo (ISO 45001), voedselveiligheid (ISO 22000): 1 à 2 sessies van een dagdeel (4 tot 8 uur totaal); investering tussen € 600 en € 1.200.
  • Voor normen op gebied van informatiebeveiliging (ISO 27001/NEN 7510): 16 tot 20 uur; investering rond de € 2.500 à € 3.000.

Vervolgstappen

Na de nulmeting

Na de nulmeting weet je waar je staat en wat je te doen staat. Je kiest als organisatie vervolgens zelf of en hoe je verder gaat richting certificering. Indien je kiest om verder te gaan, zijn er verschillende opties:

  1. Volledig zelfstandig verdergaan; hierbij kunnen wij eventueel hulpmiddelen aanreiken in de vorm van templates of onze Confluence ISMS tool;
  2. Zelf verder aan de slag, onder coachende begeleiding van een adviseur die je met tips, templates en reviews door het traject heen helpt;
  3. Verdere implementatie zoveel mogelijk uitbesteden aan een adviseur, waarbij de medewerkers binnen de organisatie voornamelijk dienen als bron van informatie.

De laatste stap voordat de externe certificeringsaudit kan worden uitgevoerd, is het uitvoeren van een interne audit en een directiebeoordeling. Ook hierbij heb je de keuze: zelf doen of uitbesteden.

Neem gerust contact met ons op om te sparren over jouw situatie. Of vraag een vrijblijvende offerte op maat aan.

Partnermodel CAN

Kom in contact met de partner in certificeren!

Vraag een nulmeting aan!

Wil je graag weten waar je staat in relatie tot de normeisen? Vraag dan een vrijblijvende offerte voor een nulmeting (gap-analyse) aan. We leggen je graag uit wat de mogelijkheden en bijbehorende investering is.