We krijgen regelmatig de vraag hoe de NEN 7510 & ISO 27001 geïnterpreteerd moeten worden. De beschrijvingen van controls zijn vaak algemeen en geven niet direct antwoord op hoe of welke maatregelen specifiek geïmplementeerd moeten worden.
Risicoprofiel centraal
Bij het interpreteren van normen en het vaststellen van maatregelen speelt het risicoprofiel een belangrijke rol. Een organisatie die gezondheidsgegevens verwerkt heeft bijvoorbeeld een groot afbreukrisico wanneer deze gegevens gelekt worden. Dit hoge risicoprofiel laat zien dat het noodzakelijk is te investeren en de toegang tot deze gegevens te beperken.
Meridion gebruikt bij haar aanpak het risicoprofiel als uitgangspunt. Hiermee is het mogelijk om iedere norm op een manier te implementeren die bij de organisatie en/of branche past.
Wat past bij een organisatie?
Het managementsysteem ‘’Meridion Compliancy Center’’ bestaat in hoofdlijnen uit de norm-controls, een High Level Structure (gericht op continu verbeteren) en een proceslandschap van de organisatie. Dit zijn de drie perspectieven van waaruit u NEN & ISO borging kan realiseren.
Control perspectief
In veel organisaties zijn hands-on specialisten aanwezig die niet vragen om een handboek met uitvoerige beschrijvingen. De focus op controls resulteert in een gefaseerde implementatie met voor iedere control een aangewezen eigenaar. Een HR-medewerker zal bijvoorbeeld verantwoordelijk worden voor control A07 (personeel). Met het risicoprofiel wordt vastgesteld welke verbeteringen gewenst zijn.
Processen perspectief
Meridion kan de implementatie vanuit processen benaderen door een schematische procesplaat van uw organisatie te maken. Vanuit hier wordt voor ieder proces het risicopofiel vastgesteld waarmee door een proceseigenaar wordt bepaald welke controls, risico’s, documenten en registraties aandacht vragen.
HLS perspectief
Bij de meest gebruikte aanpak van Meridion worden de verschillende hoofdstukken van de norm, die samen de High Level Structure (HLS) vormen, gefaseerd doorlopen. In iedere fase wordt gebruik gemaakt van verschillende tools zoals een context-, stakeholder- en risicoanalyse. De implementatie volgt een PDCA-cyclus die zorgt dat de norm binnen uw organisatie geborgd wordt en blijft.
Wat de situatie binnen uw organisatie ook is, een passende aanpak is dus altijd voor handen!