Naar hoofdinhoud
ISO 27001 & ISMS

ISO 27001 die werkt als de auditor weg is.

Je ISO 27001 hangt aan de muur, het beleid ligt er. Toch is de scherpste auditbevinding zelden een ontbrekende maatregel. Het is een maatregel die draait zonder dat iemand kan laten zien dát hij draait. Dat gat zit tussen papier en praktijk. Daar lopen we naar binnen.

KadersISO 27001:2022, NIS2 art. 21, NIST CSF 2.0, BIO
Voor wieCISO, security manager, bestuur
DoorlooptijdNulmeting 3-4 weken, werkende cyclus 3-6 maanden

Het probleem

Een ISMS op papier stuurt niets.

Drie patronen die elke auditcyclus terugkomen. Niet omdat het beleid fout is, maar omdat het de praktijk niet raakt.

Beleid dat niemand uitvoert

Een keurig vastgesteld beveiligingsbeleid, en een organisatie die er in de praktijk omheen werkt. Het bestaat, het is goedgekeurd, en het stuurt geen enkele beslissing.

Bewijs dat niet klopt op de datum

De maatregel werkt wel. Maar het bewijs ontbreekt, is verouderd, of komt uit een systeem dat er niet meer is. Op de auditdatum telt alleen wat je kunt laten zien.

Een ISMS als afvinklijst

Gecertificeerd is geen bewijs dat het werkt, het is een startpunt. De vraag is of de cyclus draait op een dinsdag in maart, als de auditor de deur uit is.

Hoe we het doen

Eerst meten waar papier en praktijk uit elkaar lopen.

Geen nieuw stelsel optuigen. We sluiten het gat tussen wat is vastgelegd en wat er gebeurt, in een volgorde die blijft staan.

01

Nulmeting

Waar wijkt beleid af van praktijk, waar is het bewijs onvolledig, en waar is geen eigenaar aangewezen. Geen volwassenheidsscore, maar een lijst die je morgen kunt oppakken.

02

Beleid én procedures

Het gat dicht je niet met nieuw beleid, maar met procedures: wie doet wat, in welke stap, en welk bewijs valt eruit. Beleid geeft de richting, de procedure dicht het gat.

03

Toets op werking

We toetsen of de maatregel werkt, niet of hij beschreven staat. Ontworpen en aanwezig is iets anders dan werkend onder druk.

04

De cyclus draait

Risicobeoordeling, maatregelen, bewijs, interne audit en directiebeoordeling als één lopende cyclus. Daarna draait het zelf, en bellen wij alleen nog als jij ons belt.

Wat je overhoudt

Een stelsel dat draait, niet alleen bestaat.

  • Een ISMS dat stuurt, in plaats van een map die stof vangt
  • Bewijs dat klopt op elke datum, niet alleen op de auditdatum
  • Eigenaarschap dat expliciet is belegd, per maatregel
  • Een bestuur dat je kunt laten zien dat de juiste dingen gebeuren
  • Een cyclus die je zelf voortzet, zonder afhankelijkheid van één persoon

Het onderscheid

Diagnose vóór stelsel

De markt levert een ISMS-implementatie: een set documenten, een certificaat, klaar. Wij beginnen bij de diagnose, waar papier uit de pas loopt met de praktijk en wat er nodig is om het te laten werken.

Werking boven ontwerp en aanwezigheid. Een control telt pas als hij standhoudt onder druk, niet als hij beschreven staat. En een ISMS staat niet los: het verbindt risico, maatregelen, detectie en architectuur tot één geheel dat je aan je bestuur verantwoordt.

Een operating model, geen documentenset

Geen stapel beleid voor de auditmap, maar een werkend stelsel dat dagelijks stuurt. Het document is een middel, geen doel.

Onze seniors landen het ook

Niet een rapport met aanbevelingen en de uitvoering bij jou. Dezelfde senior die de nulmeting doet, schrijft de procedures mee en toetst of ze werken.

Het blijft van jou

De cyclus is overdraagbaar en draait door als de samenstelling verandert. Geen afhankelijkheid van één persoon of één leverancier.

Aan de slag

Draait je ISMS, of bestaat het alleen?

Geen implementatietraject van maanden. Eén gesprek waarin we bepalen waar papier en praktijk uit elkaar lopen, en wat er nodig is om de cyclus te laten draaien.

Plan een gesprek

30 minuten met een senior, geen pitch.

Gesprek aanvragenBel direct088 - 163 23 25