
ISO 27001 Proof met Sensus process management
Ineens ben je klant van jouw eigen product
Eind vorig jaar besloten we dat Sensus process management gaat voor een ISO 27001 certificering. In februari heb ik daarom deelgenomen aan de training ISO 27001 van de NEN. In een paar maanden tijd de organisatie “ISO 27001-proof” maken was mijn doel. Naar mijn idee moest het wel lukken, aangezien wij een klein team zijn met overzichtelijke en al uitgewerkte processen.
Inmiddels zijn we een paar maanden verder en ben ik druk bezig met onze stagiair Nick Leung om alle risico’s in kaart te brengen. Omdat we dit grotendeels online doen, vergt het wat meer tijd, dan ik aanvankelijk gepland had. Ook blijkt dat onze organisatie best gecompliceerd in elkaar zit, vooral op technologisch gebied blijkt dat wij aanzienlijk vooruitstrevend zijn en ons IT team veel meer maatregelen heeft ingericht om de beveiligingsrisico’s te minimaliseren, dan ik aanvankelijk dacht. Buiten de IT zijn de meeste risico’s gelukkig ook bekend en worden ook beheerst, maar vooral onze eigen werkmethoden mogen hier en daar best wat aangescherpt worden. Daarbij wilde ik een proven concept maken met onze eigen software als uitgangspunt. Onze BPM software leent zich tenslotte erg goed als instrument om gecertificeerd te worden, maar vooral ook om beheersbaar ISO gecertificeerd te blijven…
Onze aanpak
Omdat wij onze klanten begeleiden bij het beschrijven van processen, het verbeteren hiervan, maar ook bij het opzetten van managementsystemen, neem ik voor dit traject ons eigen product als basis. Als Sensus process management willen wij niet alleen onze eigen organisatie ISO certificeren en onze klanten bewijzen dat we onze organisatie en softwaresystemen continue monitoren en verbeteren, maar ook onze klanten een kant-en-klaar product bieden, waarmee ze zelf een ISMS-systeem kunnen opzetten. Als we toch bezig zijn, dan kunnen we tenslotte net zo goed direct een goede blauwdruk voor onze klanten maken!
De eerste stap, het beschrijven van onze processen, is gelukkig grotendeels al wel gebeurd. Dat moet natuurlijk ook wel als procesmanagement dienstverlener! Alleen blijkt dat wij het ook niet veel beter doen dan onze klanten op dat gebied. Veel processen blijken inmiddels behoorlijk verouderd. We hebben veel geïnvesteerd in allerlei nieuwe online oplossingen en die zijn nog niet verwerkt in onze procesbeschrijvingen. Die up-to-date beschrijvingen zijn wel nodig omdat wij onze processen samen willen brengen met de ISO 27001 normen, de risico’s die wij onderkennen en de verbetermaatregelen die we treffen. Straks moet direct duidelijk worden, uit ons systeem, welke processen, welke ISO-normen en risico’s afdekken en vice versa. De onderlinge samenhang moet dus duidelijk worden..
Daarnaast vraagt ISO om veel informatie die in allerlei Word- en Exceldocumenten moeten worden vastgelegd. Wij willen liever niet allerlei documentatie in een apart DMS-systeem, maar wij hebben wel het liefst dat die informatie zoveel mogelijk vastgelegd is in onze software. Ook willen we straks de risicoanalyse in rapporten of dashboards terugzien binnen de Sensus BPM online omgeving. Dit geldt ook voor de auditrapportages en directiebeoordelingen. Zaken die wij eigenlijk met onze eigen applicatie willen afvangen zodat klanten een brede totaaloplossing hebben. Een boeiende zoektocht dus naar welke koppelingen wij het beste kunnen leggen met andere systemen en welke functionele uitbreidingen wij binnen ons eigen systeem moeten doorvoeren. Denk hierbij bijvoorbeeld aan een Power BI of Microsoft /Google Forms koppeling, notificaties in Calendar of email notificaties.
Intern is afgesproken dat functionaliteiten en integraties, die nodig zijn om Sensus BPM Online optimaal inzetbaar te maken voor een ISO traject, voorrang krijgen.
Mooi hoor, om eens in de rol van de klant te zitten!
Inmiddels draaien wij in onze bèta omgeving integraties naar Power BI, Google Forms, Calendar en email notificaties. Deze koppelingen maken de inzetbaarheid van onze BPM tool als totaaloplossing echt veel groter.
Wij lopen dus eigenlijk tegen dezelfde issues aan als onze klanten. Maar als het allemaal goed loopt, kunnen we binnenkort onze klanten een blauwdruk en onze eigen gecertificeerde organisatie als business case leveren voor het behalen van de ISO-certificering.
Wilt u hier meer over weten, bel ons gerust!
Wilt u op de hoogte blijven van onze ISO blogs? Meld u hier aan!
