Welkom bij Protify.

We plaatsen conform cookiewetgeving ℹ️ en onze privacy policy alleen strikt-noodzakelijke functionele cookies. 😊

Voor bezoekersanalyse gebruiken we Google Analytics (ook cookieless). Mogen we voor een beter begrip ook enkele Google Analytics analytische cookies plaatsen?

Wat is een Gap-analyse voor ISO 27001 certificering?

Geschreven door Tim Kemper

Informatief

Je hebt als organisatie de keuze gemaakt om je te laten certificeren. Je wil graag inzicht of jouw organisatie klaar is om een certificeringsproject te starten. Dan is de Gap-analyse een goede start, of je nu hebt gekozen voor de ISO 27001 de norm voor informatiebeveiliging, EN 50518 of andere managementsysteemcertificering. Een Gap-analyse wordt vaak uitgevoerd, voordat je als organisatie begint met een certificeringsproject om inzicht te krijgen waar je als organisatie zelf, en ten aanzien van de certificering, staat. Zo weet je waar je als organisatie al voldoet aan de eisen van een certificering en waar de (grootste) gaten zitten. Door de stappen van de Gap-analyse te doorlopen, maak je alvast kennis met de norm en krijg je inzicht wat de norm nu eigenlijk van jouw organisatie vraagt. We nemen je in dit blog mee in het uitvoeren van een Gap-analyse gericht op ISO 27001.

  • Wat zijn de veranderingen in de nieuwe ISO 27001:2022?
  • Wat zijn de belangrijkste veranderingen in de Harmonized Structure en de beheersmaatregelen?
  • Wat houdt de Gap-analyse analyse in?
  • Hoe kun je je als organisatie voorbereiden op de overgang naar deze vernieuwde versie van de norm?
  • Hoe stap je als organisatie over op de herziene versie voor de ISO 27001 norm en hoe kan Protify jouw organisatie helpen?
  • Wanneer kan mijn organisatie het beste overstappen, juist nu of bij hercertificering?
  • Wat is de impact voor jouw organisatie?

Doel Gap-analyse

Het doel van de uitvoering van een Gap-analyse is om te bepalen in hoeverre jouw organisatie reeds voldoet aan de gestelde eisen uit de gekozen ISO certificering. Daarbij is eveneens vastgesteld wat de nog te nemen stappen zijn om te komen tot een volwaardig, bij de organisatie passend managementsysteem en de certificering te behalen. De Gap-analyse is tevens het startpunt (de kick-off) van het project om te komen tot een passend managementsysteem en de certificering hiervan te gaan behalen.

Waar bestaat een Gap-analyse uit?

De Gap-analyse maakt inzichtelijk wat je als organisatie al hebt en waar je nog naartoe moet groeien. Dit wordt gedaan door de huidige documentatie te beoordelen, de huidige situatie te observeren en medewerkers te interviewen. Je weet zo welke stappen je nog moet nemen om het gat tussen de huidige en de gewenste situatie te overbruggen.

De Gap-analyse voor ISO 27001 behandelt de volgende onderdelen:

beoordeelt op welke wijze de structuur van de gedocumenteerde informatie van het managementsysteem is opgesteld. Er wordt gekeken of er een duidelijke toelichting is op de wijze hoe de PDCA-cyclus is geïmplementeerd binnen het managementsysteem en hoe continue verbetering wordt bevorderd. Er wordt beoordeeld of de organisatie een verklaring van toepasselijkheid (VVT) volgens de eisen uit de norm heeft opgesteld, waarin is vastgesteld welke controls expliciet van toepassing zijn verklaard.

maakt inzichtelijk wat je doet als organisatie, waar sta je als organisatie voor en met welke stakeholders en je kijkt welke wet- en regelgeving van toepassing is op de bedrijfsvoering. Er wordt bepaald op welke wijze jouw organisatie invulling geeft aan de belangen die gesteld worden door deze stakeholders. Binnen leiderschap en strategie zijn de grenzen van het toepassingsgebied van het managementsysteem vastgesteld.

stelt vast welke processen er binnen het managementsysteem vallen, ofwel op welke wijze worden de werkzaamheden binnen de organisatie uitgevoerd. maak de processen inzichtelijk. Er wordt eveneens op welke wijze de operationele planning van het managementsysteem plaatsvindt. Welke activiteiten zijn er gepland om het managementsysteem te monitoren. Kortom wat doe je als organisatie?

welke hard- en software, netwerk en faciliteiten worden er gebruikt in de organisatie.

hoe wordt de software binnen een organisatie ontwikkeld. Dit is alleen relevant voor organisaties die een softwareontwikkeling doen. Is er een vastgesteld proces ten aanzien van het ontwikkelproces en op welke wijze wordt er omgegaan met wijzigingen tijdens softwareontwikkeling. Hoe wordt continuïteit en kwaliteit van geleverde dienstverlening/producten gegarandeerd. Is er een proces vastgesteld binnen de organisatie waarin is bepaald op welke wijze impact van wijzigingen wordt bepaald bij wijzigingen in producten en of de dienstverlening.

kijkt naar de bedrijfsmiddelen die in kaart zijn gebracht en welke risico’s hier kunnen optreden. Deze risico’s worden vervolgens beoordeeld. In dit onderdeel wordt beoordeeld op welke wijze de organisatie een risico-inventarisatie uitvoert, waarbij de vastgestelde risico’s op een eenduidige manier worden beoordeeld, zodat deze bij herbeoordeling op eenzelfde wijze beoordeeld worden. Worden er risicobehandelplannen opgesteld voor risico’s die niet gemitigeerd kunnen worden en hoe wordt er gemonitord dat deze risicobehandelplannen worden uitgevoerd.

hoe ga je de werking van je managementsysteem, de PDCA cyclus, de maandelijkse overleggen, je wederkerende taken uitvoeren in je managementsysteem, borgen en die borging aantoonbaar maken.

Verschil nulmeting en Gap-analyse?

Nulmeting geeft aan waar je nu staat als organisatie. Het verschil tussen een nulmeting en een Gap-analyse is dat ook het gewenste niveau inzichtelijk wordt gemaakt; waar sta je nu als organisatie en waar wil je naar toe.

Voor wie is een Gap-analyse geschikt?

Wil je als organisatie graag weten waar je aan toe bent? Zodat je jouw organisatie goed kunt voorbereiden op de gekozen certificering? Dan is een Gap-analyse voor jouw organisatie geschikt. IT-dienstverleners en softwareontwikkelaars kiezen vaak de norm ISO 27001. Elke organisatie die zich richting een managementsysteem wil certificeren, kan hiervoor bij Protify terecht. Ook wanneer je als organisatie kiest voor ISO 9001ISO 22301ISO 27701 of EN 50518 is het een goed startpunt, zodat je weet waar je aan toe bent. Voor de EN 50518 norm is de Gap-analyse uitgebreider omdat hier ook de bouw van de alarmcentrale wordt beoordeeld.

Volwassenheidsmodel

De Gap-analyse wordt gepresenteerd in het volwassenheidsmodel, waarbij scores in vijf niveaus worden aangegeven. Het een tot en met vijf. Bij nul is er nog helemaal geen invulling aan de set van eisen gegeven, bij vijf loopt het proces perfect, is alles geborgd, er hoeft geen aandacht meer aan te worden besteed, is er continue verbetering en is de procesoptimalisatie helemaal op orde. Als baseline wordt een drie gehanteerd om klaar te zijn voor certificering. Dit niveau geeft aan dat er standaardisatie is, dat dit aantoonbaar en beheerst is en dat er bewustzijn is over het proces, waarbij er continue verbetering plaats vindt.

Tips voor de Gap-analyse van jouw organisatie

  • Wees eerlijk en breng alles ter tafel, zo krijg je echt inzicht hoe jouw organisatie ervoor staat. Bedenk dat het nu nog geen audit is en dit betekent dat je nog nergens op wordt beoordeeld.
  • De Gap-analyse kan echt leuk zijn, omdat je in een korte tijd het managementsysteem van jouw organisatie doorneemt. Het resultaat geeft direct inzicht in de status van jouw organisatie.
  • Beschouw de Gap-analyse als onderdeel van het certificeringsproject.

Interne audit

Wanneer je als organisatie het certificeringsproces start, zal de interne audit plaats vinden, dit maakt geen onderdeel meer uit van de Gap-analyse. In dit onderdeel wordt beoordeeld op welke wijze de organisatie de prestaties van het managementsysteem periodiek beoordeeld. Vinden er periodieke evaluaties en beoordelingen plaats? Worden er audits uitgevoerd en wordt er door de directie jaarlijks gereflecteerd op de prestaties van het managementsysteem. Hoe wordt de output van deze evaluaties en beoordelingen geborgd, zodat deze bijdragen aan de continue verbetering van het managementsysteem?

Gap-analyse als onderdeel certificeringsproject voor jouw organisatie?

Wil je graag inzicht hebben in de stand van zaken van jouw organisatie? Wil jouw organisatie graag de ISO 27001 norm implementeren? Neem contact met ons op.

Avatar foto

Tim Kemper

Als klantgerichte consultant vertaalt Tim wet- en regelgeving naar toepasbare oplossingen die aansluiten bij de processen van de organisatie. Hij analyseert bedrijfsprocessen, stelt risico’s vast en geeft helder en pragmatisch advies.

Andere artikelen op onze website

Implementatie ISMS in eigen ERP-systeem bij Voclarion

MPL implementeert geïntegreerd managementsysteem