Snel naar content
Pijl

PDCA-cyclus voor informatiebeveiliging en privacy

De PDCA-cyclus (Plan-Do-Check-Act) is een methode waarmee je stap voor stap je werk, prestaties en organisatie beter kunt maken om zo continu te verbeteren. Plannen worden opgesteld, acties worden uitgevoerd, maar soms wordt de cyclus afgerond, omdat er niet wordt geëvalueerd. Het is belangrijk dat resultaten worden geëvalueerd zodat ze eventueel kunnen worden bijgestuurd om vervolgens weer te starten met de eerste stap. Zo waarborg je de kwaliteit continu.

Inhoudsopgave:

Informatiebeveiliging is een continu proces

Er komt bij complexe zaken zoals de Baseline Informatie Beveiliging Overheid (BIO) en de AVG geen moment dat alle vinkjes gezet zijn en de organisatie ‘klaar’ is. Je blijft continu plannen, analyseren, evalueren en aanpassen. Een goed beleid voor informatieveiligheid en privacy gaat daarom uit van de PDCA-cyclus. Welke tooling je ook kiest, het moet die PDCA-aanpak ondersteunen, vereenvoudigen én versterken. Natuurlijk kun je allerlei zaken bijhouden in een spreadsheet of documenten, maar goede tools zorgen dat je alles in samenhang bijhoudt en op tijd bijstuurt.

ISMS-tool volgens de PDCA-cyclus

De term ISMS staat niet voor een tool, maar voor de systematische aanpak van privacy- en informatievraagstukken binnen jouw organisatie. Een ISMS is dus geen softwareoplossing. De kern is de kwaliteitscirkel volgens het principe Plan-Do-Check-Act, ofwel de PDCA-cyclus. Hoe richt je deze cyclus eenvoudig in? Dit zorgt ervoor dat je in staat bent om de scope te bepalen, processen te verbeteren en dat je je gereed bent voor audits. Het gebruik van de juiste tool maakt dit mogelijk. LIAS ISMS ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw Informatieveiligheidshandboek en zorgt ervoor dat jouw ISMS gaat leven én werken.

In de praktijk: hoe maak je een keuze en wat heb je nodig in welke fase van de Plan-Do-Check-Act cyclus?

De PDCA cyclus bestaat uit vier stappen. In het onderstaande figuur worden de vier stappen afgebeeld en toegelicht.

Plan-Do-Check-Act cyclus

Plan

In deze eerst stap wordt een plan opgesteld waarin de beoogde resultaten duidelijk zijn omschreven. Doelstellingen moeten SMART zijn geformuleerd (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden) en in overeenstemming zijn met het belang van de verschillende betrokkenen. Daarnaast moeten de randvoorwaarden en de beschikbare middelen zijn omschreven.

Tooling die je in de Plan-fase van de Plan-Do-Check-Act cyclus echt ondersteunt, kent een planmatige aanpak en biedt actuele content en praktische voorbeelden voor jouw ISMS of PMS. Ook helpt het je om beleid uit te werken en processen in te richten. Wij zelf maken sjablonen vanuit best practices. Je kunt alles aanpassen voor jouw organisatie. Daarbij kun je gebruik maken van de meest recente en relevante informatie, binnen de juiste normenkaders. Zo helpt een tool je om processen te versnellen en om alle documentatie actueel te houden.

Do

Hier gaat het om de uitvoering en realisatie van het goedgekeurde plan. Tijdens de uitvoering worden de activiteiten en prestaties continu geregistreerd en beoordeeld. De factor mens is misschien wel de belangrijkste bij privacy en informatieveiligheid. Voelen jij én jouw collega’s de urgentie om het beleid uit te voeren en is het ook helder wat je te doen staat? Goede tooling is gericht op doen, doen, doen. Bijvoorbeeld door een heldere interface, inzicht gevende dashboards en task management. Juist dit soort inzicht helpt de CISO en de FG bij het kweken van draagvlak bij het bestuur en het management. Een goede tool helpt bij het monitoren van de voortgang en geeft inzicht via heldere rapportages. Doordat acties kunnen worden uitgezet en gemonitord, houd je inzicht in openstaande activiteiten en de uren die besteed zijn. En: in wat nog gedaan moet worden om in control te komen. De overzichten geven inzicht in de voortgang van activiteiten.

“De factor mens is misschien wel de belangrijkste in de PDCA-cyclus. Een tool kan je niet uitleggen waarom iets zo belangrijk is, maar een goede tool neemt die factor natuurlijk mee door niet alleen een ‘control’ te presenteren maar ook de uitleg daarbij. Alleen een Excel-document vertelt je namelijk niet wat je nog moet doen. De dashboards, reminders en cloudoplossingen dragen bij aan het commitment. Ook zijn er bijvoorbeeld functionaliteiten waarmee je zaken als ‘deniability’ regelt. Denk aan afvinkbare, verplichte leestaken. ‘Oh, ik wist niet dat ik er wat mee moest’, is dan geen optie meer.  Daarnaast zijn er ook andere manieren om de echte commitment te vergroten. Laatst sprak ik een klant die als werkt bij een gemeente. Hij organiseert in zijn organisatie inspiratiesessies over privacy om het bewustzijn te vergroten. Ze deden onder andere een soort ‘petje op, petje af’-quiz deden met allerlei prikkelende vragen. Toen viel het kwartje bij veel van zijn collega’s. Zo werd privacy werd ineens wél een interessant thema. Creatief bezig zijn met collega’s is de moeite waard.”

“De factor mens is misschien wel de belangrijkste in de PDCA-cyclus. Een tool kan je niet uitleggen waarom iets zo belangrijk is, maar een goede tool neemt die factor natuurlijk mee door niet alleen een ‘control’ te presenteren maar ook de uitleg daarbij.”

Check

In deze stap worden de behaalde resultaten vergeleken met de resultaten die jouw organisatie voor ogen heeft. De verschillen worden geëvalueerd en de oorzaken van mogelijke verschillen worden opgespoord. Evaluaties en privacy assessments zijn geïntegreerd in goede tooling. Sluiten de processen nog aan bij de inrichting van de organisatie en het functiehuis? En is het beleid effectief? Bereik je het gewenste resultaat? En hoe speelt je in op wijzigingen binnen de organisatie, invloeden van buitenaf of veranderende doelstellingen? Het is belangrijk dat tooling de interne controle ondersteunt, bijvoorbeeld met functionaliteit om activiteiten te plannen en monitoren. Een tool maakt het gemakkelijker om inzicht te krijgen in wat en hoe er moet worden gecontroleerd.

Act

In deze stap wordt na de evaluatie, indien nodig, bijgestuurd. Vervolgens  worden er maatregelen getroffen om de geplande resultaten alsnog te behalen. Een tool is dynamisch en brengt verbeterpunten en kwetsbaarheden in kaart. Uit een evaluatie of risicoanalyse kan blijken dat het anders moet. Een tool maakt dit in acties concreet: welke maatregelen zijn nodig en hoe doe je het? Zo helpt goede tooling om de PDCA-cyclus steeds weer te doorlopen en zo te zorgen voor continue verbetering.

LIAS ISMS

Met LIAS ISMS richt je de PDCA-cyclus eenvoudig in. Daardoor ben je in staat om de scope te bepalen, processen te verbeteren en je gereed te maken voor audits. Met LIAS ISMS kun je de Baseline Informatiebeveiliging Overheid (BIO) implementeren. De vertaling van de maatregelen die voortkomen uit de GAP- en risicoanalyse vind je in LIAS ISMS en Content terug. LIAS ISMS en Content ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw informatieveiligheidshandboek en zorgt ervoor dat jouw ISMS gaat leven én werken.

Meer informatie

Wil je meer informatie over onze oplossingen voor Informatiebeveiliging en Privacy of over het LIAS ISMS? Neem dan geheel vrijblijvend contact met ons op. We nemen binnen één werkdag contact met je op.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Gemeente Berkelland waarborgt de fiscale beheersmaatregelen met LIAS Horizontaal Toezicht

Gemeente Berkelland waarborgt de fiscale beheersmaatregelen met LIAS Horizontaal Toezicht

Gemeente Berkelland over LIAS HT: “Het waarborgen van de fiscale beheersmaatregelen is momenteel ons belangrijkste aandachtspunt” 

Lees verder

Tips voor een (informatie)veilige zomer

Tips voor een (informatie)veilige zomer

Voor velen is de zomervakantie is gestart. Een tijd van ontspanning en plezier, maar volgens de informatieveiligheid experts van Inergy...

Lees verder

Werken vanuit het buitenland: Carlijn in Zuid-Afrika 

Werken vanuit het buitenland: Carlijn in Zuid-Afrika 

Bij Inergy zijn er meerdere collega’s die naast kantoor en thuiswerken tijdelijk in het buitenland werken. In deze nieuwe reeks vragen we hun hoe het is om vanaf een “niet-standaard” locatie te werken. Deze keer: Carlijn van Schaik, Data Engineer bij Inergy, vanuit Kaapstad in Zuid-Afrika.

Lees verder