Misschien ken je het begrip wel, maar wat houdt dit eigenlijk in? Opzet bestaan en werking vormen de basis van de informatievoorziening van jouw organisatie. Tijdens een audit zal er dan ook getoetst worden hoe jouw organisatie voldoet aan de criteria van deze processen.
De basis van het managementsysteem
Wanneer jouw organisatie kiest voor certificering van ISO 27001 de norm voor informatiebeveiliging, ben je verplicht een managementsysteem in te richten, te onderhouden en te verbeteren. Informatiebeveiliging is namelijk een continu proces. Het opstellen en implementeren van beleid en processen vormt de basis van het managementsysteem. Indien beleid en processen juist zijn opgesteld, geïmplementeerd en onderhouden, voldoe je als organisatie aan de voorwaarden die de norm hiervoor stelt. Deze processen dienen te worden beschreven in de opzet.
Opzet
Opzet wordt het onderwerp of ook wel het ontwerp genoemd. De opzet wordt gedefinieerd en uitgewerkt in een procesbeschrijving.
- Wat is het plan, welke resultaten wil je behalen en hoe ga je dat bereiken?
Onderdeel van de opzet van een managementsysteem is het opstellen van beleid. Bijvoorbeeld het back-up beleid (A.12.3.1 uit de ISO 27001:2017). In het back-up beleid bepaal je van welke informatie back-up kopieën worden gemaakt en met welke frequentie je dit doet. Ook bepaal je in het back-up beleid hoelang een back-up beschikbaar moet blijven en op welke wijze je de back-ups test.
Bestaan
Bij bestaan draait het om de implementatie van de opzet. Je kijkt hier naar de processen die je in de eerste fase hebt beschreven en of er maatregelen nodig zijn om het bestaan van de opzet te kunnen verbeteren. Maatregelen kunnen preventief, continu en corrigerend zijn en komen voort uit tussentijdse evaluatie, problemen en registratie hiervan.
Tijdens het bestaan wordt het beleid uitgevoerd. In het geval van back-up beleid zorg je dat de back-ups, al dan niet, automatisch worden uitgevoerd.
Werking
De effectiviteit en de werking van de procedures en maatregelen die zijn opgesteld bij opzet en bestaan worden elk jaar getoetst.
- Worden de processen van het ontwerp ook daadwerkelijk gevolgd en uitgevoerd?
- Hoe verloopt de werking van deze processen, is er tussentijds geëvalueerd en loop je tegen problemen aan?
Tijdens de werking, of wel check fase, worden de back-ups ook periodiek getest. Zo wordt gecontroleerd of de back-ups valide zijn en ook gebruikt kunnen worden wanneer data niet beschikbaar zijn. Vaak wordt periodiek een back-up restore test uitgevoerd, waarbij de back-up deels of volledig teruggezet wordt. Tijdens zo’n test kan geconstateerd worden dat back-ups niet volledig zijn en maatregelen noodzakelijk zijn.
Audit
Een auditor toetst of je voldoet aan de eisen uit de norm en welke onderwerpen van toepassing zijn op jouw organisatie en welke jij hebt gedefinieerd in de opzet-fase. De auditors doen dit door de procesbeschrijvingen te bestuderen en vragen te stellen aan medewerkers die betrokken zijn bij de uitvoering van de processen, ook wel de bestaan–fase. Er kunnen afwijkingen worden geconstateerd in de opgestelde processen of in de werking van de processen die plaats hebben gevonden, deze worden vervolgens opgenomen als verbeterpunt bij de controle op de werking-fase.
De verbeteringen dienen te worden doorgevoerd door de betrokken medewerkers en zullen worden gecontroleerd op voorgang tijdens een volgende audit.
Plan Do Check Act (PDCA)
Opzet, bestaan en werking is eigenlijk heel eenvoudig te beschrijven:
- Opzet: vaststellen van het plan
- Bestaan: uitvoeren van het plan
- Werking: hoe is de werking van het plan
Dit komt overeen met de PDCA-cyclus. De PDCA-cyclus is het uitgangspunt van het ISO-managementsysteem.
In de ‘plan’ fase wordt een plan opgesteld, hierin neem je in op welke resultaten je wilt behalen en hoe dat moet gebeuren. Aan dit plan worden doelstellingen en taken gekoppeld welke gedurende het jaar uitgevoerd dienen te worden, de ‘do’ fase.
In de ‘check’ fase worden de werkelijk behaalde resultaten vergeleken met de geplande resultaten. Wanneer in de ‘act’ fase blijkt dat er aanpassingen benodigd zijn, wordt er in de re-act fase bijgestuurd. Daarnaast wordt er onderzoek gedaan naar innovatieve mogelijkheden en hoe deze kunnen worden opgenomen in het managementsysteem, dit noemen we de pro-act fase.
ISMS in de PCT
Het inrichten van een managementsysteem waarin deze processen worden vastgelegd is een vereiste voor wanneer je kiest voor ISO 27001 certificering. Breng jouw Information Security Management System onder in de ISMS software tool, de PCT.
Alle onderwerpen en taken die aan bod komen bij de ISO 27001 implementatie vind je op overzichtelijke wijze terug in de PCT.
Meer informatie over de PCT?
Ben jij nieuwsgierig hoe je het ISMS van jouw organisatie kunt onderbrengen in de PCT? Neem dan contact met ons op.
