Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!

Wanneer je als organisatie aan de slag gaat met ISO 27001, dan kom je ongetwijfeld in aanraking met de Plan-Do-Check-Act cyclus (PDCA). Deze PDCA-cyclus, ook wel de kwaliteitscirkel van Deming genoemd, is een tool om continue verbetering binnen organisaties in gang te zetten. De PDCA-cyclus vormt het basisprincipe van iedere ISO-norm. Het is dan ook niet toevallig dat de ISO 27001 norm in dezelfde volgorde is geschreven. In dit artikel geven we je een gratis handig hulpmiddel bij ISO 27001. Daarmee kun je de PDCA duidelijker en beter toepassen bij de risicoanalyse en interne audit.

De PDCA-cyclus is een zogenaamde verbetermethode. Om een hoger kwaliteitsniveau te bereiken als organisatie dien je een continue cyclus op gang te brengen. Deze cyclus start met plannen, wordt gevolgd door uitvoeren, checken van de resultaten en het bijstellen van de uitvoering. Tijdens een ISO 27001 implementatietraject wordt de PDCA-cyclus – ook wel ‘het stappenplan’ – tenminste één keer doorlopen. Alle hoofdstukken van de ISO 27001 norm passen immers precies in de PDCA-cyclus.

Bovenstaande afbeelding is en handig hulpmiddel omdat je zo alle onderwerpen visueel maakt en hun samenhang duidelijker is. Wanneer een intern auditor op pad gaat om een proces, afdeling, functie of rol te auditen, dan zal hij of zij dit framework in het achterhoofd hebben. Wanneer nieuwe mensen in een organisatie de rol van intern auditor oppakken, dan is dit plaatje een handig geheugensteuntje. Het stappenplan is ook toe te passen als ‘controlelijst’ bij de risicoanalyse; een zeer belangrijk onderdeel van de ISO 27001 norm.

Wanneer we kijken naar het stappenplan met betrekking tot ISO 27001 in bovenstaande afbeelding, dan komt dit grotendeels overeen met de afbeelding die gebruikt wordt voor ISO 9001. Het verschil van beide afbeeldingen zit hem in uitvoering (hoofdstuk 8) en in de planning bij paragraaf 6.3. Verder zijn beide afbeeldingen overeenkomstig.

Zoals aan de afbeeldingen te zien is, is het voor organisaties zeker mogelijk om de ISO 9001 en ISO 27001 norm tegelijkertijd te implementeren met betrekking tot de contextanalyse, de daartoe behorende stakeholdersanalyse en grote delen van de risicoanalyse. Uiteraard hangt de mate waarin je ISO 9001 en ISO 27001 samen kunt nemen ook samen met de visie, doelen en de complexiteit van de organisatie.

Als je deze stappen toe gaat passen, merk je het effect van deze verschillen. Voor ISO 27001 gelden meer regels bij de risicoanalyse en de nuttige beheersmaatregelen staan in een bijlage (‘Bijlage A’ of ‘Annex A’).

De paragraaf-indeling van de 27001 norm biedt daarom minder details dan bijvoorbeeld die van de 9001 norm: voor ISO 27001 komt het antwoord op de vraag ‘wat moet ik doen?’ uit de toegepaste risicoanalyse en de behandeling van die risico’s met best practices uit Bijlage A. Daarbij geldt gelukkig wel: jij bepaalt – binnen redelijkheid – zelf hoe ‘zwaar’ je een beveiligingsmaatregel uitvoert.

CertificeringsAdvies Nederland prikkelt organisaties tijdens advies- of outsourcingstrajecten graag om dit alles zichtbaar te maken. Het bovenstaande plaatje kan daar ook bij helpen. Als je denkt klaar te zijn met het bepalen van risico’s en kansen, kijk dan nog even kort of alle onderwerpen uit het plaatje aan bod zijn gekomen. Heb je het plaatje nuttig kunnen gebruiken? Dan horen we graag jouw succesverhaal!