.webp)
Allereerst bestaat de keuze tussen zelf het benodigde in te richten of middels ondersteuning van een externe partij. Ongetwijfeld gaan beide wegen resultaat opleveren, maar het is belangrijk om te realiseren dat het implementeren van een zogenoemd managementsysteem veel werk met zich meebrengt.
Hoe ziet een ISO traject eruit?
Stap 1. GAP-analyse
Het startpunt is een GAP-analyse. Hierbij wordt de volledige organisatie geïnventariseerd en worden alle processen, belanghebbenden en de in- en externe context van de organisatie in kaart gebracht.
Stap 2. Risicoanalyse
Aan de hand van een brainstorm worden alle mogelijke risico’s (en kansen) voor de organisatie in kaart gebracht. Deze worden beoordeeld en beheerst met als doel de kans en/ of impact te verkleinen. Een risico is immers niets meer dan de kans dat een gebeurtenis met negatief effect zich voor doet.
Stap 3. Managementsysteem
Het managementsysteem is het geheel van processen, procedures, verantwoordelijkheden en documentatie. Wil je weten wat de juiste software is om een ISO-managementsysteem in te richte? Lees ook ons artikel ‘De juiste software voor jouw ISO-managementsysteem?’.
Stap 4. Bewustwording
Een belangrijk onderdeel van het implementeren van een managementsysteem is het bewust maken van de organisatie. Hierin worden alle interne belanghebbenden geïnformeerd en voorgelicht over welke onderdelen van het systeem relevant zijn voor hen. Dit draagt bij aan het creëren van draagkracht binnen de organisatie. Lees ook ons artikel 'Awareness vergroten? Een uitleg over het bewustzijn bij ISO 27001 informatiebeveiliging.'.
Stap 5. Interne audit & directiebeoordeling
Tijdens de interne audit ga je op zoek naar verbeteringen in het managementsysteem van de organisatie. Lees ook ons artikel “Wat is een interne audit eruit?”.
Naast de interne audit is een verplicht onderdeel de directiebeoordeling. Hierbij gaat de directie met geplande tussenpozen het managementsysteem van de organisatie beoordelen. Dit om de continue geschiktheid, toepasselijkheid, doeltreffendheid en afstemming met de strategische richting van de organisatie te bewerkstelligen.
Stap 6. Certificatie-audit
Nu zijn we aangekomen bij het officiële gedeelte: de audit waarbij getoetst wordt of het managementsysteem voldoet aan de eisen van de norm waarvoor het is ingericht. Deze audit wordt altijd uitgevoerd door een certificatie-instelling (deze term staat voor organisaties die door de Nederlandse raad voor accreditatie zijn aangewezen om certificeringen af te geven).
Vaak bestaat de audit uit twee onderdelen:
- Het vooronderzoek, waarin wordt getoetst of de organisatie gereed is voor de certificatie-audit; en
- De certificatie-audit, waarin steekproefsgewijs het managementsysteem wordt getoetst.
Na de certificatie-audit zal de lead auditor een positief of negatief advies afgeven aan de certificatie-instelling om de organisatie te certificeren.
Stap 7. Onderhoud managementsysteem
Je hebt het certificaat ontvangen en wilt deze behouden. Dit betekent dat het managementsysteem onderhouden moet worden. De certificatiecyclus bedraagt drie jaar, startend vanaf het moment dat het certificaat is afgegeven. Ieder jaar zal een controle-audit plaatsvinden, met in het derde jaar een hercertificatie-audit. Hierin zal het gehele managementsysteem onder de loep worden genomen.
Ons hele implementatietraject tot in detail bekijken? Klik hier!
In onze whitepaper nemen we je stap voor stap mee in ons implementatietraject.
