ISO 27001 Projectmanagement

Waar hebben we het over?

Om de ISO 27001 norm te implementeren en te borgen moet er binnen een organisatie wat werk worden verzet. Iedereen in de organisatie dient hierbij betrokken te zijn. Er moet een flink pakket aan acties en deelprojecten worden aangepakt. Het is verstandig om van de ISO 27001-implementatie een project te maken. Daarbij helpt het om een projectorganisatie op te zetten volgens de projectmanagementprincipes.

Scherpte op tijd en budget

Om het managementsysteem goed en binnen de afgesproken tijdslijnen op te zetten, is het slim om te werken volgens de principes van projectmanagement. Naast de bewaking van tijd, budget en output zorgt u hiermee ook voor betrokkenheid op alle niveaus binnen de organisatie.

Het optuigen van het ISO 27001 project

Het opzetten van het project kent meerdere stappen:

1. Vaststellen stuurgroep om het project te monitoren (bij grotere organisaties). Ook om visie, beleid en strategie te ontwikkelen. De betrokkenheid van de directie is hierbij essentieel.
2. Vaststellen projectgroep om op projectniveau te opereren. Laat gemotiveerde mensen aanhaken en zorg voor een gemotiveerde projectleider binnen de organisatie. Zorg er bovendien voor dat kritische proceseigenaren worden toegevoegd aan het projectteam.
3. De aanleiding en doelen van het project door de hele organisatie heen communiceren.
4. Draagvlak in de organisatie creëren. Zorg ervoor dat je de juiste mensen spreekt, hen in het project meeneemt en hun obstakels serieus neemt en oplost.
5. Vier behaalde successen en laat tussentijdse resultaten van het project zien. Interne communicatie is belangrijk.

Betrokkenheid vanuit de eigen organisatie

Binnen de organisatie zijn diverse mensen betrokken bij de implementatie en latere continuering van de ISO 27001-norm. Deze mensen werken op verschillende niveaus binnen de organisatie en hebben allemaal een eigen rol en bijdrage. Het belang van zo’n brede groep is om enerzijds voor de juiste informatie en kennis te zorgen, en anderzijds de betrokkenheid en bewustwording op alle niveaus binnen de organisatie te bevorderen. Dit is een belangrijke voorwaarde voor duurzaam succes.

Welke rollen zijn er binnen het projectteam

Projectleider
De projectleider is de linking pin tussen opdrachtgever en de proceseigenaren op het gebied van informatiebeveiliging. Hij of zij is verantwoordelijk voor het structureren en (laten) inrichten van managementsysteem.

Security officer
De security officer coördineert alles op het gebied van informatieveiligheid en beheert het Information Security Management Systeem. De samenwerking tussen de security officer en de projectleider is essentieel.

Functionaris gegevensbescherming
Dit is de interne toezichthouder op het gebied van privacy, een elementair onderdeel van informatiebeveiliging. De functionaris gegevensbescherming werkt nauw samen met de security officer en de projectleider. Deze aanpak draagt bij aan het succes en voorkomt dubbel werk.

Proceseigenaren en stafmedewerkers
Proceseigenaren en stafmedewerkers geven inhoudelijk input tijdens interviews en reviews, en selecteren een aantal inhoudelijk aspecten. Zij werken actief mee aan de implementatie van de procedures en protocollen. Tevens helpen zij om hun medewerkers bewust te maken van en bekend te maken met het onderwerp informatieveiligheid.

Tips en valkuilen bij de implementatie van ISO 27001

Als een organisatie zelf aan de slag gaat met de eerste stappen, dan komen onderstaande tips en valkuilen van pas. Daarmee voorkomt u fouten, extra tijd en geld om zaken te herstellen.

1. Zie een ISO 27001-implementatie niet als bijzaak. Geef mensen de tijd en ruimte om met het onderwerp aan de slag te gaan. Het uitwerken van beleid en processen kost tijd. Niet alleen om het te bepalen, maar ook om het op te schrijven. Zie de uiteindelijke certificering als een logisch bijproduct van een goed project.
2. Activeer de organisatie op het moment dat besloten is om met de implementatie aan de slag te gaan. Geef aan dat informatieveiligheid en privacy voor de organisatie en de stakeholders essentieel zijn. En dat je het als directie en management belangrijk vindt.
3. Houd het praktisch. Voorkom papieren tijgers en onnodige administratieve rompslomp.
4. Kies de eigen organisatie als vertrekpunt en laat de norm niet leidend zijn. Kijk hoe de organisatie werkt en pas deze aan waar deze nog niet aan de norm voldoet.
5. Houd het overzichtelijk. Leg niet meer vast dan nodig. Het is een managementsysteem en moet dus ook te managen zijn.
6. Zorg voor een goede overdracht naar de lijnorganisatie, zodra de implementatie is afgerond. Het organiseren van informatiebeveiliging is geen eenmalige actie.

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01