Een jaarlijkse gebeurtenis in het managementsysteem voor informatiebeveiliging (ISO27001, NEN7510), die wellicht voelt als een verplichting, is de directiebeoordeling. Hierbij kijk je als verantwoordelijke voor informatiebeveiliging samen met de directie eens kritisch naar jullie management systeem.
De managementreview is ook een onderwerp bij de externe audit waarover in audits veel discussie is over de inhoud. Er zijn veel auditors die verwachten dat je over alle onderdelen van normelement 9.3 iets opschrijft. De norm spreek van zaken die in overweging moeten worden genomen en stelt vervolgens dat de resultaten van de directiebeoordeling beslissingen moeten bevatten met betrekking tot kansen voor continue verbeteren. Dit normelement stelt vervolgens dat de organisatie gedocumenteerde informatie moet bevatten over de resultaten van de directiebeoordeling.

De inhoud van de directiebeoordeling

Nu is het natuurlijk helemaal niet verkeerd om de te overwegen onderwerpen mee te nemen in de directiebeoordeling en een rapportage voor te bereiden met hierin deze onderwerpen uitgewerkt. Laat de directie zelf antwoord geven op de vraag of het management systeem geschikt, toereikend en doeltreffend is voor de organisatie.

Onderstaande onderwerpen kun je in overweging nemen:

• De context van het ISMS

• Feedback van stakeholders

• Resultaten van uitgevoerde audits

• Incidenten en afwijkingen

• Veranderingen in contractuele en wettelijke eisen

• Risicoprofiel

In onze whitepaper hebben we veel details over deze onderwerpern beschreven waarmee je jouw directiebeoordeling gemakkelijk vormgeeft.