Meer rendement ISO27001 implementatie met IVA

Meer rendement ISO27001 implementatie met IVA

Uiteraard wil elke organisatie het harde werken voor een ISO27001(en/of NEN7510) implementatie graag bekroond zien met een certificaat. Maar zou het niet nog mooier zijn als al dat harde werken meer zou opleveren dan “alleen” een certificaat?

  1. Win/Win: een certificaat én toekomstbestendige processen

Met onze IVA aanpak (IsoSecure Value Add) dagen wij u uit om, tegelijk met het implementeren van ISO27001, uw processen te verbeteren en uw organisatie een solide basis te geven om sneller te kunnen reageren op klantenwensen en veranderende marktomstandigheden.

Wij bereiken, samen met u, het gewenste resultaat door een gestructureerde discussie te starten over de businessprocessen. Door het inzetten van enerzijds onze grote kennis en ervaring en anderzijds onze procesconfiguratie tool, zijn wij in staat om in een beperkte tijd (ongeveer 6 sessies van 2 uur) uw processen zodanig vorm te geven dat deze niet alleen een prima basis vormen voor het behalen van het ISO27001 certificaat maar meteen ook een werkwijze neer te zetten die toekomstbestendig is en daardoor toegevoegde waarde oplevert.

IVA heeft zich succesvol bewezen in o.a. de high-tech industrie (ICT, Softwarebouw, Smart-industry, etc.), Productie, Logistiek, Financiële Dienstverlening en de Gezondheidszorg. Onze referenties in deze sectoren zijn graag bereid hun ervaringen met IVA met u te delen.

En omdat IVA zich inmiddels tientallen keren heeft bewezen, kunnen wij een ISO27001 traject Fixed-Fee aanbieden en geven wij garantieop het in 1 keer behalen van het certificaat. En een eventueel gewenste NEN7510 certificering is in de prijs inbegrepen van een ISO27001 traject.

  • Hoe werkt IVA?

IVA gebruikt 4 simpele principes:

  • Effectiviteit: de hele organisatie werkt met 1 gezamenlijk procesmodel dus alle neuzen wijzen dezelfde kant op.
  • Efficiency: alleen nadenken over processen als dat toegevoegde waarde oplevert. Vaak is het slimmer een best practise over te nemen die zich al heeft bewezen (IVA bevat een grote bibliotheek met voorbeelden uit een reeks van branches en organisaties). 
  • Makkelijk bruikbaar: alle documentatie moet niet alleen aansluiten bij het dagelijkse werk maar dat ook echt ondersteunen.
  • Slim hergebruik: bestaande documentatie en niet-gedocumenteerde processen in uw organisatie worden eenvoudig opgenomen in IVA.

IVA in 4 stappen:

  1. Procesmodel

Vanuit het basis procesmodel, maken we in 2 uur een procesmodel voor uw organisatie dat de basis vormt voor de gehele ISO27001/NEN7510 implementatie. Tevens hebben we dan een eerste inzicht in welke bedrijfsmiddelen van belang zijn voor het bereiken van uw doelstellingen bv. IT systemen, Software, medewerkers met sleutelrollen, bepaalde leveranciers, etc.

In een aantal korte en interactieve sessies wordt dit procesmodel vervolgens uitgewerkt: wij dagen u daarbij uit (d.m.v. vragen en aandragen van best practises) om kritisch te kijken naar de huidige manier van werken en ter plekke verbeteringen aan te brengen. 

Zodra een proces gevalideerd is, kan het meteen geïmplementeerd worden en dus toegevoegde waarde generen voor uw organisatie.

  • Risico inventarisatie

Eén van de verplichte op te leveren documenten is de risico inventarisatie. Met de processen en de belangrijkste bedrijfsmiddelen helder in beeld, is het opeens veel gemakkelijker een op uw organisatie toegesneden risico inventarisatie te maken. Dus i.p.v. allerlei theoretische risico’s de échte bedreigingen voor uw organisatie in beeld te brengen (en tijdens de implementatie van ISO27001/NEN7510 aan te pakken), brengt op korte termijn toegevoegde waarde voor uw organisatie.

  • Implementatie

Zoals al aangegeven, worden processen meteen geïmplementeerd. Dit heeft als voordeel dat niet alleen meteen de toegevoegde waarde van verbeterde processen wordt gegenereerd maar ook dat de organisatie leert hoe zij blijvend processen kan aanpassen op veranderende marktomstandigheden en/of klantenwensen.

  • Verplichte documentatie

De IVA methode levert meteen ook een aantal van de door ISO27001 verplichte documenten op; de overige zijn al compact samengevat in verzameldocumenten en kunnen met een kleine aanpassing in gebruik genomen worden of zijn beschikbaar als template (we hebben ingevulde voorbeelden van alle documenten). Hierdoor wordt het opleveren van de documentatie een stuk vlotter en efficiënter. 

Meer weten?

Eildert Karstens, ISO27001 Lead Auditor, ISO31000 Lead Risk Manager en Partner bij IsoSecure

+31 6 22 59 20 10

e.karstens@isosecure.nl

Linkedin

BS10012: de APK voor uw AVG implementatie ?

BS10012: de APK voor uw AVG implementatie ?

Nu de meeste AVG implementaties een jaar oud zijn, vragen organisaties zich meer en meer af hoe de staat van deze implementatie getoetst kan worden (op continue verbetering, onderhoud, werking, etc.) of zelfs gecertificeerd. En dan tegen een objectieve en officiële norm.

Het goede nieuws is dat er nu een objectieve norm bestaat waaraan een AVG implementatie getoetst kan worden; deze norm is zelfs certificeerbaar. Deze norm is de BS10012 norm en is ontwikkeld door British Standards Institution voor de GDPR.

En aangezien de GDPR hetzelfde is als onze AVG, kan de BS10012 dus ook uitstekend gebruikt worden om AVG implementaties te toetsen. Naast het toetsen (door een terzake kundig auditor) is het ook mogelijk de AVG implementatie te laten certificeren. Uiteraard zijn aan certificeren hogere kosten verbonden dan aan toetsen. In Nederland worden AVG implementaties bv. gecertificeerd door TuV Nederland ( https://www.tuv.nl/nl/home/  ).

N.a.v. vragen uit onze klantenkring hebben wij een auditschema ontwikkeld o.b.v. BS10012 om middels een formele audit vast te kunnen stellen wat de status van de AVG implementatie is. Vervolgens kunnen wij dan middels een zogenaamde TPM (Third Party Memorandum) als gecertificeerde ISO27001 Lead Auditors vastleggen wat de status van de AVG implementatie is. En omdat we onze klanten graag verder helpen, vullen wij de audit resultaten aan met aanbevelingen voor verbeteringen. Bij de meeste klanten, kunnen wij een dergelijke audit in ongeveer 2 dagen uitvoeren (inclusief bespreken resultaten en aanbevelingen). Wij zien dat het BSI auditschema vooral gewaardeerd wordt door organisaties die intensief persoonsgegevens verwerken zoals de Re-integratie/Sociale Werkvoorziening branche en Gezondheidszorg. Maar ook ICT bedrijven die formeel moeten aantonen aan klanten dat zij AVG proof werken, vinden het een aantrekkelijke oplossing. Verder blijkt het schema ook een mooie opstap naar een ISO27001 en/of NEN7510 certificaat, temeer daar BS10012 naadloos in ISO en/of NEN kan worden geïntegreerd.

Zelf doen of uitbesteden ? Het goede nieuws is dat de BS10012 norm gewoon gekocht kan worden bij BSI (zie link hieronder) en dat een organisatie er dan mee aan de slag kan gaan. Dit vereist echter wel “wat“ kennis en ervaring (van/met ISO27001 en de AVG); als die onvoldoende aanwezig is, kan uitbesteden dus effectiever en efficiënter zijn.

https://www.bsigroup.com/en-GB/BS-10012-Personal-information-management/

Eildert Karstens, ISO27001 Lead Auditor, ISO31000 Lead Risk Manager en Partner bij IsoSecure