INTEGRATIE VAN MANAGEMENTSYSTEMEN
Met de toenemende vraag naar ‘aantoonbaarheid’ stijgt het aantal organisaties dat meer dan één ISO-certificaat bezit. Dan ligt het vanuit het verleden voor de hand dat ISO 27001 werd behartigd door de afdeling ICT en bijvoorbeeld ISO 9001 (kwaliteit) door de KAM-functionaris; de twee managementsystemen staan als silo’s naast – en los van – elkaar.
Sinds een aantal jaren voldoen nieuwe versies van ISO-normen aan dezelfde ‘High Level Structure’. Elk norm spreekt bijvoorbeeld over risicoanalyse, input van belanghebbenden, interne audits, management review en PDCA-cyclus. ISO 27001 was in 2013 al zover en ISO 9001 en 14001 zijn onlangs hierop aangepast.
Integratie is nu dus veel eenvoudiger en ligt ook meer voor de hand. Waarom zou je een risicobeoordeling op het gebied van kwaliteit niet combineren met invalshoeken als beschikbaarheid, integriteit en vertrouwelijkheid, de drie pilaren van informatiebeveiliging? Raad + Daad is bij meerdere organisaties actief betrokken bij zulke geïntegreerde managementsystemen.