Leestijd: 3 minuten

Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!

Continue verbetering door middel van de Plan-Do-Check-Act cyclus. Zo pas je het toe bij ISO 27001.

pdca-gratis-hulpmiddel
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Wanneer je als organisatie aan de slag gaat met ISO 27001, dan kom je ongetwijfeld in aanraking met de Plan-Do-Check-Act cyclus (PDCA). Deze PDCA-cyclus, ook wel de kwaliteitscirkel van Deming genoemd, is een tool om continue verbetering binnen organisaties in gang te zetten. De PDCA-cyclus vormt het basisprincipe van iedere ISO-norm. Het is dan ook niet toevallig dat de ISO 27001 norm in dezelfde volgorde is geschreven. In dit artikel geven we je een gratis handig hulpmiddel bij ISO 27001. Daarmee kun je de PDCA duidelijker en beter toepassen bij de risicoanalyse en interne audit.

De PDCA-cyclus bij ISO 27001

De PDCA-cyclus is een zogenaamde verbetermethode. Om een hoger kwaliteitsniveau te bereiken als organisatie dien je een continue cyclus op gang te brengen. Deze cyclus start met plannen, wordt gevolgd door uitvoeren, checken van de resultaten en het bijstellen van de uitvoering. Tijdens een ISO 27001 implementatietraject wordt de PDCA-cyclus – ook wel ‘het stappenplan’ – tenminste één keer doorlopen. Alle hoofdstukken van de ISO 27001 norm passen immers precies in de PDCA-cyclus.

PDCA in beeld voor ISO 27001

Bovenstaande afbeelding is en handig hulpmiddel omdat je zo alle onderwerpen visueel maakt en hun samenhang duidelijker is. Wanneer een intern auditor op pad gaat om een proces, afdeling, functie of rol te auditen, dan zal hij of zij dit framework in het achterhoofd hebben. Wanneer nieuwe mensen in een organisatie de rol van intern auditor oppakken, dan is dit plaatje een handig geheugensteuntje. Het stappenplan is ook toe te passen als ‘controlelijst’ bij de risicoanalyse; een zeer belangrijk onderdeel van de ISO 27001 norm.

PDCA-cyclus bij ISO 27001 en ISO 9001

Wanneer we kijken naar het stappenplan met betrekking tot ISO 27001 in bovenstaande afbeelding, dan komt dit grotendeels overeen met de afbeelding die gebruikt wordt voor ISO 9001. Het verschil van beide afbeeldingen zit hem in uitvoering (hoofdstuk 8) en in de planning bij paragraaf 6.3. Verder zijn beide afbeeldingen overeenkomstig.

Zoals aan de afbeeldingen te zien is, is het voor organisaties zeker mogelijk om de ISO 9001 en ISO 27001 norm tegelijkertijd te implementeren met betrekking tot de contextanalyse, de daartoe behorende stakeholdersanalyse en grote delen van de risicoanalyse. Uiteraard hangt de mate waarin je ISO 9001 en ISO 27001 samen kunt nemen ook samen met de visie, doelen en de complexiteit van de organisatie.

De nieuwe generatie ISO-normen zijn opgebouwd uit de High Level Structure (HLS). Dit is een gemeenschappelijke structuur en kerneisen voor alle ISO-managementsystemnormen. Dankzij de HLS zijn normen zoals ISO 9001, ISO 14001, ISO 27001 en ISO 45001 volgens het plug-in model makkelijker te integreren in de bedrijfsvoering. Dankzij de HLS kunnen bedrijven allerlei specifieke aandachtspunten borgen in ‘het managementsysteem’ van de organisatie. Zo is een integrale bedrijfsvoering mogelijk. De HLS is sinds 2012 het uitgangspunt voor alle nieuwe en gewijzigde ISO-normen.

Als je deze stappen toe gaat passen, merk je het effect van deze verschillen. Voor ISO 27001 gelden meer regels bij de risicoanalyse en de nuttige beheersmaatregelen staan in een bijlage (‘Bijlage A’ of ‘Annex A’).

De paragraaf-indeling van de 27001 norm biedt daarom minder details dan bijvoorbeeld die van de 9001 norm: voor ISO 27001 komt het antwoord op de vraag ‘wat moet ik doen?’ uit de toegepaste risicoanalyse en de behandeling van die risico’s met best practices uit Bijlage A. Daarbij geldt gelukkig wel: jij bepaalt – binnen redelijkheid – zelf hoe ‘zwaar’ je een beveiligingsmaatregel uitvoert.

Praktische toepassing?!

CertificeringsAdvies Nederland prikkelt organisaties tijdens advies- of outsourcingstrajecten graag om dit alles zichtbaar te maken. Het bovenstaande plaatje kan daar ook bij helpen. Als je denkt klaar te zijn met het bepalen van risico’s en kansen, kijk dan nog even kort of alle onderwerpen uit het plaatje aan bod zijn gekomen. Heb je het plaatje nuttig kunnen gebruiken? Dan horen we graag jouw succesverhaal!

Download Informatiegids ISO 27001

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Meer weten over ISO 27001?

Download de handige informatiegids!

  • Alles over informatiebeveiliging
  • Stap voor stap inzicht
  • Antwoord op al je vragen

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields