Een ISO certificaat is een bijzondere mijlpaal voor elke organisatie. Vaak begint het vanuit noodzaak omdat een klant het eist of omdat je bijvoorbeeld mee wilt kunnen doen in een aanbesteding. Wat ons betreft is de ISO norm een fantastische certificering maar het is gewoon spannend, niets raars toch?
ICT ondernemers in Nederland gaan vaak voor een combinatie van ISO 27001, ISO 9001 of de NEN 7510. De kers op de taart is de externe audit, spannend! Veel van onze klanten vragen tips en trics om succesvol een (eerste) externe audit te behalen. We hebben een aantal tips voor je op papier gezet, succes!
Gebruik een spiekbriefje
Een vereiste van de ISO is dat je een interne audit moet doen, anders is de externe audit sowieso lastig te behalen. We zien veel mensen zoeken naar informatie als een auditor informatie vraagt bij een bepaald beheersmaatregel of norm element. Het is helemaal geen schade om te laten zien dat je jezelf goed hebt voorbereid en per onderdeel voor jezelf aantekeningen hebt gemaakt waar welke informatie te vinden is.
Wacht niet tot het laatste moment
Een auditor is niet gek hoor, ze zien het echt wel als er veel zaken last-minute geregeld zijn. Ok, je hebt voldoende om de ISO certificering te behalen maar erg blij worden auditoren er niet van. Het is natuurlijk veel toffer als ze zien dat een bedrijf het hele jaar door zaken al goed op orde heeft en regelmatig bepaalde checks uitvoert. Dit wil niet zeggen dat het meer werk is, maar spreid het werk met een logische interval.
Los van dit moet je als organisatie de werking van het managementsysteem in de praktijk kunnen aantonen. Een veelgebruikte termijn hiervoor is minimaal drie maanden.
Het is oke als je het even niet weet
Wees niet bang om aan te geven dat je het spannend vindt of even een black-out hebt. Het managementsysteem wordt getoetst en niet jij, ook al voelt dat misschien zo. Geef als je het even niet weet of bewijsvoering niet kunt vinden dat je hier later op terug komt of schakel een collega in. Ga in ieder geval niet zomaar iets verzinnen, als je zomaar iets zegt tegen de auditor dan kan dat voor de auditor ook als bewijs (een vaststelling) worden gebruikt.
Durf hulp te vragen!
Neem de tijd
Hiermee bedoel ik niet dat je de spullen niet op orde hoeft te hebben, zeker niet. Maar je mag prima de tijd nemen om zaken erbij te pakken. Mijn klanten leer ik altijd het volgende:
- Moment, ik pak even het beleid erbij.
- Hier staat het beleid, wilt u hiervoor ook bewijs in de praktijk zien? Moment ik pak het er even bij.
Op die manier straal je rust en autoriteit uit. Het geeft je ook even de tijd en ruimte om rustig na te denken. De auditor wil natuurlijk zien hoe fantastisch jullie het doen maar het is altijd prettig als hij concreet beleid kan opschrijven als beleid. Een auditor zal bijvoorbeeld het volgende kunnen opschrijven:
De organisatie heeft beleid (Algemeen Beleid H4.1) wat passend is bij de vereisten van de norm en de context van de organisatie. Daarnaast steekproef gedaan bij een project met naam: “Verbouwing boerderij Oma Duck”.
De norm en je risicoanalyse zijn het uitgangspunt
Het is nu eenmaal zo dat je soms behoorlijk gekleurde auditoren hebt. Het zijn net mensen, ze hebben een bepaalde achtergrond en auditeren met die bagage. Maar soms sijpelt een eigen visie of mening teveel door naar onze mening. Een auditor komt om te toetsen of je voldoet aan eisen van de norm, stakeholders, wetgeving en eigen eisen. Of hij het wel of niet mee eens is met jullie implementatiewijze doet er niet toe. Als jullie voldoen aan de gestelde eisen moet hij hiermee akkoord gaan, in het ergste geval kan de auditor dan een kans tot verbetering schrijven. Uiteraard moeten risico’s wel gedegen in kaart worden gebracht en moet je bij een hoog risico passende maatregelen nemen.
Een afwijking kan alleen geschreven worden als er een eis is en de auditor bewijs heeft voor het niet voldoen aan die eis.
Leer de norm te lezen en te begrijpen, zorg ook dat je een versie bij de hand hebt. Als je een discussie hebt moet een auditor altijd de norm als basis houden. Een voorbeeld: A.18.2.3 zegt: Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.
Diverse auditoren vroegen aan mijn klanten of ze een pentest of een andere kwetsbaarhedenscan hadden gedaan, maar dit zegt de norm helemaal niet. De norm zegt, als je in de toelichting van de ISO 27002 staat hier namelijk: Technische naleving behoort bij voorkeur te worden beoordeeld met behulp van geautomatiseerde instrumenten… …als alternatief kunnen handmatige beoordelingen door een ervaren technicus worden uitgevoerd.
Wat de norm wel beschrijft is dat afhankelijk van jullie context en de risicoanalyse passende maatregelen neemt. Bij bovenstaand voorbeeld moet een softwareontwikkelaar die een applicatie voor de zorg ontwikkeld wel een pentest laten uitvoeren. Er is tenslotte een hoog risico.
Het is aan jullie organisatie om te bepalen welke controles je dus doet. Puur een voorbeeld om de norm altijd als basis te pakken bij discussies.
Operationele Planning
Zorg ervoor dat je een goede Operationele Planning hebt waarin precies staat wanneer je wat gaat doen. Op die manier kan de auditor goed zien dat je in control bent en overal aan hebt gedacht, ook als iets nog niet hebt gedaan kan hij zien dat het gepland staat. Zo kun je daar nooit een afwijking voor krijgen, je bent tenslotte in control.
Nu we het toch hebben over de Operationele Planning. Vergeet niet de contact met relevante overheidsinstanties en speciale belangengroepen, dit wordt bijna altijd vergeten!
Bewijsvoering
Het is zo zonde als je enorm je best doet en je kunt het niet aantonen. Zorg voor een manier van werken zodat je altijd bewijsvoering hebt. De auditor kan je wel op je blauwe ogen geloven maar hij moet bewijsvoering hebben, zorg hiervoor. Dit hoeven geen formele papieren te zijn, veel van onze klanten doen dit in Autotask, Teams, AFAS, Topdesk of ander systeem die ze toch altijd al gebruiken.
Maak beleid organisatiespecifiek
Wij gebruiken ook een templatebeleid en voorbeelddocumenten en onze klanten vinden dit fantastisch. Externe auditoren weten dit en vinden het helemaal prima mits de aangeleverde templates als richtlijn zijn gebruikt. Als een auditor merkt dat het beleid niet organisatiespecifiek genoeg is zal hij/zijn hier zeker wat van vinden.
Templates gebruiken, gewoon doen! Maar zorg ervoor dat jij eigenaar bent van de inhoud en alles goed doorgelopen is en voldoende organisatiespecifiek is gemaakt.
Twijfel je of je de ISO audit gaat behalen?
We zijn geen certificerende instantie maar helpen bedrijven om hun ISO certificering succesvol te implementeren of betaande implementaties te optimaliseren. We doen in principe altijd na implementatie een proef externe audit, zo weet de klant wat hij kan verwachten.
Twijfel je of je klaar bent voor de externe audit? Jasper van Horssen is Lead Auditor en kan ook voor jou een dryrun doen om te kijken wat er goed is, wat beter kan of echt nog anders moet. Hij is streng hoor, maar dan weet je zeker dat je er klaar voor bent!