Een betere managementreview.
Een jaarlijkse gebeurtenis in het managementsysteem voor informatiebeveiliging (ISO27001, NEN7510), die wellicht voelt als een verplichting, is de directiebeoordeling. Hierbij kijk je als verantwoordelijke voor informatiebeveiliging samen met de directie eens kritisch naar jullie management systeem.
De managementreview is ook een onderwerp bij de externe audit waarover in audits veel discussie is over de inhoud. Er zijn veel auditors die verwachten dat je over alle onderdelen van normelement 9.3 iets opschrijft. De norm spreek van zaken die in overweging moeten worden genomen en stelt vervolgens dat de resultaten van de directiebeoordeling beslissingen moeten bevatten met betrekking tot kansen voor continue verbeteren. Dit normelement stelt vervolgens dat de organisatie gedocumenteerde informatie moet bevatten over de resultaten van de directiebeoordeling.
De inhoud van de directiebeoordeling
Nu is het natuurlijk helemaal niet verkeerd om de te overwegen onderwerpen mee te nemen in de directiebeoordeling en een rapportage voor te bereiden met hierin deze onderwerpen uitgewerkt. Laat de directie zelf antwoord geven op de vraag of het management systeem geschikt, toereikend en doeltreffend is voor de organisatie.
Onderstaande onderwerpen kun je in overweging nemen:
De context van het ISMS
Feedback van stakeholders
Resultaten van uitgevoerde audits
Incidenten en afwijkingen
Veranderingen in contractuele en wettelijke eisen
Risicoprofiel
In onze whitepaper hebben we veel details over deze onderwerpern beschreven waarmee je jouw directiebeoordeling gemakkelijk vormgeeft.