Veel organisaties denken dat ze “bijna klaar” zijn voor certificering. Toch zien we regelmatig dat fase 2 te vroeg wordt ingepland.
Wat is fase 1 eigenlijk?
Veel organisaties denken dat fase 1 al de “echte audit” is. Maar eigenlijk is het vooral een check of de basis goed staat voordat de praktijkaudit begint. Tijdens fase 1 kijkt de auditor naar onderwerpen zoals de scope van het ISMS, de risicoanalyse, documentatie, interne audits en de management review. Simpel gezegd: staat het fundament stevig genoeg om door te gaan naar fase 2?
Dit betekent niet dat alles perfect moet zijn. Wel dat duidelijk zichtbaar moet zijn hoe jullie organisatie met informatiebeveiliging omgaat en dat het systeem niet alleen bestaat als mapje op SharePoint.
Wanneer ben je écht klaar voor fase 2?
Fase 2 draait om de praktijk. Dus niet alleen wat er op papier staat, maar vooral of processen ook écht werken binnen de organisatie. Je bent meestal klaar voor fase 2 als maatregelen aantoonbaar gebruikt worden, interne audits zijn uitgevoerd en verbeterpunten serieus zijn opgepakt. Ook moet zichtbaar zijn dat management betrokken is en informatiebeveiliging geen los projectje van één persoon is geworden.
Veel organisaties denken dat ze nóg meer documentatie nodig hebben voordat fase 2 kan starten. Terwijl auditoren vaak juist willen zien dat het systeem leeft in de organisatie. Liever een praktisch werkend ISMS dan een perfect handboek waar niemand iets mee doet.
Veelgemaakte misvatting: “de documentatie staat, dus we kunnen door”
Een van de meest voorkomende misverstanden rondom ISO 27001 is dat een organisatie klaar is voor fase 2 zodra alle documenten zijn geschreven. Maar daar draait een certificeringsaudit niet om. Auditoren beoordelen niet of er een map vol beleid, procedures en werkinstructies aanwezig is. Ze willen zien of het managementsysteem daadwerkelijk wordt gebruikt. Begrijpen medewerkers wat er van hen verwacht wordt? Worden risico’s periodiek beoordeeld? Werken de afgesproken processen ook in de praktijk?
Een ISMS hoeft niet perfect te zijn. Het moet vooral werkbaar zijn en zichtbaar onderdeel uitmaken van de dagelijkse organisatie. Een praktisch systeem waar mensen mee werken, is vaak veel sterker dan een uitgebreid handboek dat na oplevering nooit meer wordt geopend.
Wat gebeurt er als je te vroeg aan fase 2 begint?
Een fase 2 audit te vroeg plannen levert zelden tijdwinst op. Sterker nog: vaak zorgt het juist voor extra werk. Wanneer processen nog niet voldoende hebben gedraaid of wanneer verbeterpunten uit interne audits nog openstaan, worden die tijdens de audit zichtbaar. Dat kan leiden tot extra bevindingen, aanvullende auditwerkzaamheden of vertraging in het certificeringstraject. Daarnaast zien we regelmatig dat teams teleurgesteld raken wanneer zij dachten klaar te zijn, maar tijdens de audit alsnog terug moeten naar de tekentafel. Een realistische planning voorkomt veel van die frustratie. Het doel is niet om zo snel mogelijk fase 2 te halen, maar om ervoor te zorgen dat het managementsysteem voldoende volwassen is om succesvol beoordeeld te worden.
Twijfel je of jouw organisatie klaar is voor fase 2?
Dat is heel normaal. Veel organisaties vinden het lastig om zelf te bepalen wanneer het juiste moment is aangebroken. Juist omdat je dagelijks met het systeem werkt, is het soms moeilijk om nog objectief naar de situatie te kijken.
Wij kijken daar graag praktisch naar. Geen theoretische discussies of eindeloze checklists, maar een eerlijk beeld van waar je staat en of fase 2 op dit moment een logische volgende stap is. Dat voorkomt verrassingen tijdens de audit en zorgt voor een traject dat soepel verloopt.
Benieuwd waar jouw organisatie staat? Neem dan contact met ons op.