Bij een verzekeraar deden we onlangs een volledig ISO 27001 traject van risicoanalyse tot succesvolle audit. Een jaar werk, met een team dat in het begin sceptisch was over alle papierwinkel.
De grootste les: maak je beleid praktisch. Een document van vijftig pagina's wordt niet gelezen. Een korte werkinstructie met heldere checklists wel. We werken daarom met templates die je team echt gebruikt, niet documenten voor de auditor.
Wat helpt: begin met de risicoanalyse, kies dan de scope, en bouw beleid op vanuit dagelijks werk. Geen abstracte ISO-taal, maar verwijzingen naar systemen die jullie al hebben.
Een ISMS opzetten is geen eenmalig project, het is een ritme. Wij draaien het ritme een tijd mee en dragen het daarna over aan jullie security officer. Inclusief audit-voorbereiding en het meestrijden bij de eerste echte audit.