Wanneer je begint met het implementeren van een ISO-norm, moet je nadenken over zaken die je moet regelen, zoals het plannen van een interne en een externe audit. Als u software ontwikkelt, moet u mogelijk een pentest doen om kwetsbaarheden te controleren. Daarnaast moet je beslissen welke mensen je nodig hebt (intern en extern) en wat het hele proces gaat kosten. Kortom, er komt genoeg op je af. Om u in dit denkproces te ondersteunen, geven we u enkele tips over hoe u op een efficiënte manier uw ISO-certificering kunt behalen.
1. Implementeer meerdere ISO-normen tegelijk
Een vraag die we vaak krijgen is of het raadzaam is om meerdere standaarden tegelijk te implementeren. Bijvoorbeeld ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteit). Dit kun je inderdaad vrij eenvoudig doen. Bepaalde standaardeisen komen immers vaak voor in meerdere standaarden. Het is fijn als je software hebt die zo'n extra standaard gewoon kan activeren. En dat kan de overlap tussen standaarden ontdubbelen. Dan zijn bepaalde standaardvereisten automatisch rechtstreeks van toepassing op die andere norm. Veel van onze klanten hebben bijvoorbeeld te maken met de nieuwe Europese NIS2-wetgeving die op 17 oktober 2024 van kracht wordt. Door deze wet moeten veel meer organisaties dan verplichte maatregelen nemen als het gaat om informatiebeveiliging. Het is nog niet helemaal duidelijk wat deze wet specifiek gaat voorschrijven. We zien echter wel dat veel organisaties deze wetgeving gebruiken als een kans om ook de ISO 27001-norm te implementeren. Want als u ISO 27001 hebt geïmplementeerd, voldoet u ook voor 90% aan de NIS2-wetgeving.
Is NIS2 relevant voor uw organisatie?
De NIS2-wetgeving is bedoeld voor een specifiek aantal bedrijfstakken en soorten organisaties. Er is een lijst samengesteld van deze organisaties en er is ook een lijst van essentiële organisaties waarvan nog meer vereist is. Een ander belangrijk aspect van de NIS2-wetgeving is de toeleveringsketen. Alle organisaties die als 'belangrijk of essentieel' worden aangemerkt en die moeten voldoen aan de NIS 2-wetgeving, moeten ook leveranciers hebben die zich aan de wet houden. Op deze manier wordt NIS2 relevant voor een veel groter aantal organisaties dan alleen degenen die als essentieel worden aangemerkt. NIS2 heeft dus invloed op de hele toeleveringsketen.
2. Implementeer een ISO-norm gelijktijdig met andere organisaties
Een andere manier om efficiënter te werken bij de implementatie van een ISO-norm is om dit samen met (een) andere organisatie (s) te doen. Steeds meer organisaties kiezen ervoor om in groepen een certificeringsproces te doorlopen. We bieden zo'n groepstraject aan via ISO Express een samenwerkingsverband waarin we samenwerken met verschillende partners zoals Instant 27001, PuraSec en ESET. Op deze manier hebben organisaties alles wat ze nodig hebben bij de hand: advies, ISMS-ondersteunende software, sjablonen en voorbeelddocumenten. Bijkomend voordeel is dat je kunt sparren met beveiligingsspecialisten van andere organisaties in dezelfde situatie. Door ervaringen uit te wisselen, leer je van elkaar en hoef je niet alleen het wiel opnieuw uit te vinden.
3. Medewerkers betrekken voor, tijdens en na het ISO-proces
Veel van onze klanten vinden het moeilijk om medewerkers te betrekken bij een ISO-project. Het is vaak een project dat naast de normale activiteiten loopt en dat je er extra tijd voor moet vrijmaken. Toch is het voor een efficiënte implementatie essentieel om medewerkers betrokken te houden voor, tijdens en vooral lang na het proces. Zodat ze op de hoogte zijn van alles wat er moet gebeuren. En dat ze hun steentje bij de verbeteringen goed kunnen uitvoeren.
Software inzetten die samenwerking bevordert
Met goede software kun je het bijvoorbeeld mogelijk maken dat mensen het overzicht houden over hun taken op een plek waar ze al aan het werk zijn. Bijvoorbeeld door taken in te plannen in een MS Outlook-agenda. Of het beschikbaar stellen van documentatie zoals een gedragscode via MS Teams. Dit is wat IsoPlanner faciliteert. Want anders zijn mensen die betrokken zijn en degenen die dat niet zijn aparte groepen. Je moet de hele organisatie bij het proces betrekken en iedereen blijven wijzen op hun rol en wat dit voor hen betekent. Niet alleen in de periode tot aan de certificering, maar vooral daarna. Aan de andere kant moet u over de middelen beschikken om dat praktisch en efficiënt te doen, zodat u alle maatregelen kunt bijhouden die u nodig hebt om de norm te implementeren en te handhaven.
