High Level Structure

Normeisen

De ISO- en NEN-normen bevatten een uitgebreide set aan eisen, waaraan uw organisatie moet voldoen. In het kader van de gemeenschappelijke High Level Structure bevat iedere ISO- of NEN-norm 10 hoofdstukken met dezelfde omschrijving. Daarnaast kent iedere norm specifieke eisen welke doorgaans zijn opgenomen in een addendum.

De High Level Structure en haar voordelen

Het voordeel van de HLS-indeling is dat een groot aantal onderwerpen min of meer gelijk zijn. Hierdoor is het relatief eenvoudig om bij een combinatie van meerdere normen efficiency voordeel te behalen. Je hoeft slechts een keer de overeenkomstige onderdelen, zoals beleid, context, planning etc. te beschrijven. Een integraal managementsysteem met een combinatie van meerdere normen biedt zo het voordeel dat alle redundantie wordt voorkomen

10 generieke ISO hoofdstukken

1. Onderwerp en toepassingsgebied

2. Normatieve wijzigingen

3. Termen en definities

4. Context organisatie

Iedere organisatie heeft veel belanghebbende partijen. Van klanten, medewerkers toezichthouders tot belangengroepen of leveranciers. Inzicht in de behoeften en verwachtingen van belanghebbenden is van groot belang. De norm verlangt dat de context en het toepassingsgebied van het managementsysteem voor informatiebeveiliging duidelijk is beschreven in het managementsysteem.

5. Leiderschap

Uw managementsysteem wordt pas echt succesvol als de organisatieleiding een duidelijk beleid opstelt en ook actief uitdraagt. Persoonlijke betrokkenheid en goed voorbeeldgedrag ​is essentieel. Daarnaast moeten de rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie duidelijk beschreven zijn.

6. Planning

De planmatige inrichting en uitvoering van maatregelen om risico’s te beperken en kansen te benutten is vereist. Ook beschrijft een managementsysteem de doelstellingen en de planning om deze doelen te bereiken.

7. Ondersteuning

Een managementsysteem beschrijft welke middelen de organisatie beschikbaar stelt voor het inrichten en continu verbeteren van het managementsysteem. Ook dienen de medewerkers de juiste competenties te bezitten en zich bewust te zijn van de eisen die aan hen gesteld worden. De organisatie moet tevens vaststellen welke interne- en externe communicatie relevant is voor een goed functionerend managementsysteem. Tenslotte stelt de norm eisen aan de aanwezigheid van actuele formeel gedocumenteerde informatie.

8. Uitvoering

Operationele planning en beheersing van gedocumenteerde informatie is nodig om te borgen dat de processen volgens de planning worden uitgevoerd. ​Risicobeoordeling van het aandachtsgebied (bijv. informatiebeveiliging) moet regelmatig uitgevoerd worden. Zeker als zich ingrijpende wijzigingen binnen of buiten de organisatie hebben voorgedaan. De risico’s moeten vervolgens gestructureerd behandeld en gedocumenteerd worden.

9. Evaluatie van de prestaties

Meten is weten. Daarom moet een organisatie haar prestaties op het gebied van het aandachtsgebied (bijv. kwaliteit of milieu) regelmatig monitoren, meten, analyseren en evalueren. Dit moet worden uitgevoerd via een onafhankelijke interne audit. Bovendien dient periodiek de directie via een Directiebeoordeling de geschiktheid van het managementsysteem te beoordelen.

10. Verbetering

Wanneer zich een afwijking voordoet moet deze geanalyseerd worden en dienen de oorzaken vastgesteld te worden. Vervolgens moeten er adequate maatregelen genomen worden. De organisatie moet continu haar managementsysteem verder verbeteren. Dit volgens het principe van Plan-Do-Check-Act.