Telkens hetzelfde blijven doen en een ander resultaat verwachten was volgens de theoretisch natuurkundige Einstein de definitie van krankzinnigheid. Alhoewel ik het woord “krankzinnig” wat zwaar op de tong vind liggen, ben ik het wel eens met de strekking. Dit zie ik ook terug in het werken met ISO normeringen.
Om een beter resultaat te realiseren, is het niet slim om hetzelfde te blijven doen. Er moet iets veranderen, iets moet niet meer worden gedaan of juist wel. Dit proces wordt in de ISO normeringen ook wel continu verbeteren genoemd. Een cyclus waarbij onder andere eigen observaties, tekortkomingen en opmerkingen uit audits leiden tot een planning, implementatie en controle van verbeterpunten. In deze blog deel ik een aantal verbeterpunten, die ik in mijn consultancywerk vaak tegen kom.
Top vijf veelvoorkomende verbeterpunten
Op basis van reeds uitgevoerde interne audits heb ik een overzichtje gemaakt. Dit zijn een aantal verbeterpunten die veelvuldig voorkomen. Door wat meer tijd te besteden aan de implementatie of het onderhoud van jouw managementsysteem, zijn de meeste punten gemakkelijk te voorkomen. De vijf veelvoorkomende verbeterpunten in willekeurige volgorde zijn:
- Het ontbreken van een classificatie op formulieren, templates en andere documenten.
Hierdoor kan het voorkomen dat medewerkers verkeerd omgaan met (gevoelige) informatie.
- De context- en risicoanalyse is niet actueel.
Dit komt vaak doordat de context- en risicoanalyse slechts één keer per jaar worden geactualiseerd. Wees bewust dat ook bij ingrijpende veranderingen, zoals een nieuwe dienst, een fusie of overname of andere belangrijke wijzigingen het herzien belangrijk is.
- Onterecht uitsluiten van een normelement.
Een bekend normelement dat bij ISO 27001 vaak wordt uitgesloten is “beleid voor beveiligd ontwikkelen”. In veel gevallen blijkt toch een vorm van softwareontwikkeling plaats te vinden waardoor dit normelement toch van toepassing is.
- Een matige oorzaakanalyse bij informatiebeveiligingsincidenten.
Bij geconstateerde informatiebeveiligingsincidenten is het belangrijk om een oorzaakanalyse uit te voeren. Ook moet de organisatie de daarbij behorende verbeteringen doorvoeren. De eerste stap wordt vaak niet grondig genoeg gedaan. Een tip hiervoor is het vijf keer stellen van de vraag “Waarom?”. Heb je de QSN boekreferentie over ‘Start with Why‘ al gelezen?
- Het niet testen van het bedrijfscontinuïteitsplan.
Een bedrijfscontinuïteitsplan (BCP) omschrijft noodscenario’s en hoe er gehandeld moet worden om de bedrijfscontinuïteit te garanderen. Net als brandoefeningen dienen scenario’s uit het BCP te worden getest op de werking.
Hulp nodig?
Zijn deze verbeterpunten ook herkenbaar voor jouw organisatie? Onze Kennisexperts hebben veel ervaring en helpen jouw organisatie graag op weg. Neem contact op voor een vrijblijvend adviesgesprek.
Contact