Wanneer je als organisatie aan de slag gaat met ISO 27001, dan kom je ongetwijfeld in aanraking met de Plan-Do-Check-Act cyclus (PDCA). Deze PDCA-cyclus, ook wel de kwaliteitscirkel van Deming genoemd, is een tool om continue verbetering binnen organisaties in gang te zetten. De PDCA-cyclus vormt het basisprincipe van iedere ISO-norm. Het is dan ook niet toevallig dat de ISO 27001 norm in dezelfde volgorde is geschreven. In dit artikel geven we je een gratis handig hulpmiddel bij ISO 27001. Daarmee kun je de PDCA duidelijker en beter toepassen bij de risicoanalyse en interne audit.
De PDCA-cyclus bij ISO 27001
De PDCA-cyclus is een zogenaamde verbetermethode. Om een hoger kwaliteitsniveau te bereiken als organisatie dien je een continue cyclus op gang te brengen. Deze cyclus start met plannen, wordt gevolgd door uitvoeren, checken van de resultaten en het bijstellen van de uitvoering. Tijdens een ISO 27001 implementatietraject wordt de PDCA-cyclus – ook wel ‘het stappenplan’ – tenminste één keer doorlopen. Alle hoofdstukken van de ISO 27001 norm passen immers precies in de PDCA-cyclus.
Bovenstaande afbeelding is en handig hulpmiddel omdat je zo alle onderwerpen visueel maakt en hun samenhang duidelijker is. Wanneer een intern auditor op pad gaat om een proces, afdeling, functie of rol te auditen, dan zal hij of zij dit framework in het achterhoofd hebben. Wanneer nieuwe mensen in een organisatie de rol van intern auditor oppakken, dan is dit plaatje een handig geheugensteuntje. Het stappenplan is ook toe te passen als ‘controlelijst’ bij de risicoanalyse; een zeer belangrijk onderdeel van de ISO 27001 norm.
Lees ook het artikel: De ISO 27001 risicoanalyse uitgelicht
Een eerste stap naar certificering?
Informatiebeveiligingsrisico’s worden voor iedere organisatie steeds belangrijker. Niets doen is geen optie meer! Is het niet vanuit eigen behoefte, dan wel vanuit eisen van klanten/stakeholders. Tijd om aan de slag te gaan dus! Maar hoe? Een laagdrempelige en toegankelijke manier hiervoor is door te beginnen met een ISO 27001 opstaptraject!
PDCA-cyclus bij ISO 27001 en ISO 9001
Wanneer we kijken naar het stappenplan met betrekking tot ISO 27001 in bovenstaande afbeelding, dan komt dit grotendeels overeen met de afbeelding die gebruikt wordt voor ISO 9001. Het verschil van beide afbeeldingen zit hem in uitvoering (hoofdstuk 8) en in de planning bij paragraaf 6.3. Verder zijn beide afbeeldingen overeenkomstig.
Wil je de PDCA-cyclus toepassen bij ISO 9001? Bekijk dan het artikel:
‘Gratis hulpmiddel bij ISO 9001: de PDCA duidelijker en beter toepasbaar bij risicoanalyse en interne audit’
Zoals aan de afbeeldingen te zien is, is het voor organisaties zeker mogelijk om de ISO 9001 en ISO 27001 norm tegelijkertijd te implementeren met betrekking tot de contextanalyse, de daartoe behorende stakeholdersanalyse en grote delen van de risicoanalyse. Uiteraard hangt de mate waarin je ISO 9001 en ISO 27001 samen kunt nemen ook samen met de visie, doelen en de complexiteit van de organisatie.
De nieuwe generatie ISO-normen zijn opgebouwd uit de High Level Structure (HLS). Dit is een gemeenschappelijke structuur en kerneisen voor alle ISO-managementsystemnormen. Dankzij de HLS zijn normen zoals ISO 9001, ISO 14001, ISO 27001 en ISO 45001 volgens het plug-in model makkelijker te integreren in de bedrijfsvoering. Dankzij de HLS kunnen bedrijven allerlei specifieke aandachtspunten borgen in ‘het managementsysteem’ van de organisatie. Zo is een integrale bedrijfsvoering mogelijk. De HLS is sinds 2012 het uitgangspunt voor alle nieuwe en gewijzigde ISO-normen.
Als je deze stappen toe gaat passen, merk je het effect van deze verschillen. Voor ISO 27001 gelden meer regels bij de risicoanalyse en de nuttige beheersmaatregelen staan in een bijlage (‘Bijlage A’ of ‘Annex A’).
De paragraaf-indeling van de 27001 norm biedt daarom minder details dan bijvoorbeeld die van de 9001 norm: voor ISO 27001 komt het antwoord op de vraag ‘wat moet ik doen?’ uit de toegepaste risicoanalyse en de behandeling van die risico’s met best practices uit Bijlage A. Daarbij geldt gelukkig wel: jij bepaalt – binnen redelijkheid – zelf hoe ‘zwaar’ je een beveiligingsmaatregel uitvoert.
Praktische toepassing?!
CertificeringsAdvies Nederland prikkelt organisaties tijdens advies- of outsourcingstrajecten graag om dit alles zichtbaar te maken. Het bovenstaande plaatje kan daar ook bij helpen. Als je denkt klaar te zijn met het bepalen van risico’s en kansen, kijk dan nog even kort of alle onderwerpen uit het plaatje aan bod zijn gekomen. Heb je het plaatje nuttig kunnen gebruiken? Dan horen we graag jouw succesverhaal!
