PDCA-cyclus voor informatiebeveiliging en privacy

De PDCA-cyclus (Plan-Do-Check-Act) is een methode waarmee je stap voor stap je werk, prestaties en organisatie beter kunt maken om zo continu te verbeteren. Plannen worden opgesteld, acties worden uitgevoerd, maar soms wordt de cyclus wordt afgerond, omdat er niet wordt geëvalueerd. Het is belangrijk dat resultaten worden geëvalueerd zodat ze eventueel kunnen worden bijgestuurd om vervolgens weer te starten met de eerste stap. Zo waarborg je de kwaliteit continu.

Informatiebeveiliging is een continu proces
Er komt bij complexe zaken zoals de Baseline Informatie Beveiliging Overheid (BIO) en de AVG geen moment dat alle vinkjes gezet zijn en de organisatie ‘klaar’ is. Je blijft continu plannen, analyseren, evalueren en aanpassen. Een goed beleid voor informatieveiligheid en privacy gaat daarom uit van de PDCA-cyclus. Welke tooling je ook kiest, het moet die PDCA-aanpak ondersteunen, vereenvoudigen én versterken. Natuurlijk kun je allerlei zaken bijhouden in een spreadsheet of documenten, maar goede tools zorgen dat je alles in samenhang bijhoudt en op tijd bijstuurt.

ISMS-tool volgens de PDCA-cyclus
De term ISMS staat niet voor een tool, maar voor de systematische aanpak van privacy- en informatievraagstukken binnen jouw organisatie. Een ISMS is dus geen softwareoplossing. De kern is de kwaliteitscirkel volgens het principe Plan-Do-Check-Act, ofwel de PDCA-cyclus. Hoe richt je deze cyclus eenvoudig in? Dit zorgt ervoor dat je in staat bent om de scope te bepalen, processen te verbeteren en dat je je gereed bent voor audits. Het gebruik van de juiste tool maakt dit mogelijk. LIAS ISMS ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw Informatieveiligheidshandboek en zorgt ervoor dat jouw ISMS gaat leven én werken.

In de praktijk: hoe maak je een keuze en wat heb je nodig in welke fase van de Plan-Do-Check-Act cyclus?
De PDCA cyclus bestaat uit vier stappen. In het onderstaande figuur worden de vier stappen afgebeeld en toegelicht.

Plan-Do-Check-Act cyclus

Plan
In deze eerst stap wordt een plan opgesteld waarin de beoogde resultaten duidelijk zijn omschreven. Doelstellingen moeten SMART zijn geformuleerd (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden) en in overeenstemming zijn met het belang van de verschillende betrokkenen. Daarnaast moeten de randvoorwaarden en de beschikbare middelen zijn omschreven.

Tooling die je in de Plan-fase van de Plan-Do-Check-Act cyclus echt ondersteunt, kent een planmatige aanpak en biedt actuele content en praktische voorbeelden voor jouw ISMS of PMS. Ook helpt het je om beleid uit te werken en processen in te richten. Wij zelf maken sjablonen vanuit best practices. Je kunt alles aanpassen voor jouw organisatie. Daarbij kun je gebruik maken van de meest recente en relevante informatie, binnen de juiste normenkaders. Zo helpt een tool je om processen te versnellen en om alle documentatie actueel te houden.

Do
Hier gaat het om de uitvoering en realisatie van het goedgekeurde plan. Tijdens de uitvoering worden de activiteiten en prestaties continu geregistreerd en beoordeeld. De factor mens is misschien wel de belangrijkste bij privacy en informatieveiligheid. Voelen jij én jouw collega’s de urgentie om het beleid uit te voeren en is het ook helder wat je te doen staat? Goede tooling is gericht op doen, doen, doen. Bijvoorbeeld door een heldere interface, inzicht gevende dashboards en task management. Juist dit soort inzicht helpt de CISO en de FG bij het kweken van draagvlak bij het bestuur en het management. Een goede tool helpt bij het monitoren van de voortgang en geeft inzicht via heldere rapportages. Doordat acties kunnen worden uitgezet en gemonitord, houd je inzicht in openstaande activiteiten en de uren die besteed zijn. En: in wat nog gedaan moet worden om in control te komen. De overzichten geven inzicht in de voortgang van activiteiten.

“De factor mens is misschien wel de belangrijkste in de PDCA-cyclus. Een tool kan je niet uitleggen waarom iets zo belangrijk is, maar een goede tool neemt die factor natuurlijk mee door niet alleen een ‘control’ te presenteren maar ook de uitleg daarbij. Alleen een Excel-document vertelt je namelijk niet wat je nog moet doen. De dashboards, reminders en cloudoplossingen dragen bij aan het commitment. Ook zijn er bijvoorbeeld functionaliteiten waarmee je zaken als ‘deniability’ regelt. Denk aan afvinkbare, verplichte leestaken. ‘Oh, ik wist niet dat ik er wat mee moest’, is dan geen optie meer.  Daarnaast zijn er ook andere manieren om de echte commitment te vergroten. Laatst sprak ik een klant die als werkt bij een gemeente. Hij organiseert in zijn organisatie inspiratiesessies over privacy om het bewustzijn te vergroten. Ze deden onder andere een soort ‘petje op, petje af’-quiz deden met allerlei prikkelende vragen. Toen viel het kwartje bij veel van zijn collega’s. Zo werd privacy werd ineens wél een interessant thema. Creatief bezig zijn met collega’s is de moeite waard.”

De factor mens is misschien wel de belangrijkste in de PDCA-cyclus. Een tool kan je niet uitleggen waarom iets zo belangrijk is, maar een goede tool neemt die factor natuurlijk mee door niet alleen een ‘control’ te presenteren maar ook de uitleg daarbij.

Check
In deze stap worden de behaalde resultaten vergeleken met de resultaten die jouw organisatie voor ogen heeft. De verschillen worden geëvalueerd en de oorzaken van mogelijke verschillen worden opgespoord. Evaluaties en privacy assessments zijn geïntegreerd in goede tooling. Sluiten de processen nog aan bij de inrichting van de organisatie en het functiehuis? En is het beleid effectief? Bereik je het gewenste resultaat? En hoe speelt je in op wijzigingen binnen de organisatie, invloeden van buitenaf of veranderende doelstellingen? Het is belangrijk dat tooling de interne controle ondersteunt, bijvoorbeeld met functionaliteit om activiteiten te plannen en monitoren. Een tool maakt het gemakkelijker om inzicht te krijgen in wat en hoe er moet worden gecontroleerd.

Act
In deze stap wordt na de evaluatie, indien nodig, bijgestuurd. Vervolgens  worden er maatregelen getroffen om de geplande resultaten alsnog te behalen. Een tool is dynamisch en brengt verbeterpunten en kwetsbaarheden in kaart. Uit een evaluatie of risicoanalyse kan blijken dat het anders moet. Een tool maakt dit in acties concreet: welke maatregelen zijn nodig en hoe doe je het? Zo helpt goede tooling om de PDCA-cyclus steeds weer te doorlopen en zo te zorgen voor continue verbetering.

LIAS ISMS
Met LIAS ISMS richt je de PDCA-cyclus eenvoudig in. Daardoor ben je in staat om de scope te bepalen, processen te verbeteren en je gereed te maken voor audits. Met LIAS ISMS kun je de Baseline Informatiebeveiliging Overheid (BIO) implementeren. De vertaling van de maatregelen die voortkomen uit de GAP- en risicoanalyse vind je in LIAS ISMS en Content terug. LIAS ISMS en Content ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw informatieveiligheidshandboek en zorgt ervoor dat jouw ISMS gaat leven én werken.


Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Deel dit artikel

Paul Bijvoet

Accountmanager

Wil jij meer weten over dit onderwerp?

Neem gerust contact op met Paul Bijvoet.

Bel ons op 0348 45 76 66

Mail Paul Bijvoet via paul.bijvoet@Inergy.nl





    Lees gerust verder...

    18-10-2021

    De visie van gemeente Boxtel vastgelegd in een online platform

    20-9-2021

    ENSIA-tool vs LIAS ENSIA-module

    Altijd op de hoogte

    Schrijf je in voor onze nieuwsbrief en ontvang maandelijks een update.