Migratie ISO naar 2015

Migratie ISO 9001 (kwaliteit), 14001 (milieu) en 27001/2 (code voor informatiebeveiliging) naar ‘2015’.

Status vanaf 2015

Om over te gaan van de oude SCGM normen naar de (in 2015 te publiceren nieuwe) SCGM normen dient u uw systeem aan te passen naar de zogenaamde ‘High Level Structure’ (HLS). De HLS is vanaf 2015 de ‘kern’ van alle ISO systemen – de onderwerpen kwaliteit, milieu en informatiebeveiliging zijn vanaf nu kleinere toevoegingen (modules) aan die kern.

Deze nieuwe kern kent 7 eisen:

Kern eis 1 (hoofdstuk 4): Het vaststellen van de scope van het managementsysteem

Kern eis 2 (hoofdstuk 5): Leiderschap

Kern eis 3 (hoofdstuk 6): Planning

Kern eis 4 (hoofdstuk 7): Ondersteunende processen

Kern eis 5 (hoofdstuk 8): Beheersing van de operationeel processen

Kern eis 6 (hoofdstuk 9): Prestatiebeoordeling

Kern eis 7 (hoofdstuk 10): Verbetermechanisme

 

Als u voor het eerst start met ISO systemen, dan merkt u weinig van de overgang: wellicht alleen dat het u meevalt met wat u verwachtte (de nieuwe ISO is praktischer en meer gericht op het ondernemen). Als u al een ISO systeem heeft dan zullen de kern eisen u niet vreemd voorkomen, maar u zult onder andere merken dat:

  • de nieuwe normen minder gericht zijn op (verplichte) procedures en meer op gedocumenteerde informatie
  • er meer aandacht gevraagd wordt voor de omgeving van uw bedrijf (de belanghebbenden oftewel stakeholders)
  • er meer aandacht gevraagd wordt voor (beheersing van) de risico’s die uw bedrijf loopt, maar dat u dus ook minder relevante risico’s niet in detail hoeft af te dekken én aandacht kan besteden aan kansen
  • er duidelijker aandacht is voor leiderschap binnen de norm.

Hoe dan over te gaan naar deze nieuwe norm?

Migratie

Een succesvol managementsysteem is en blijft gebouwd op drie pijlers:

  • de kennis en kunde van uw mensen
  • het handboek (met daarin uw eigen relevante formulieren, kwaliteitsnormen en werkinstructies)
  • het ‘werkende systeem in uitvoering’ – de levende registraties en overleggen die een duidelijk beeld geven van het actuele bedrijf.

Die drie pijlers veranderen niet met de nieuwe norm. Wat in eerste instantie verandert is uw handboek (omdat u enkele nieuwe verplichte zaken moet opnemen en de formele indeling van hoofdstukken is veranderd). Nadat u uw eigen interne afspraken daar heeft vastgelegd, verandert uw ‘levende systeem’ omdat u nu regelmatig (vooral jaarlijks) enkele nieuwe acties uitvoert (stakeholderanalyse, risicoanalyse). En nadat u dat een jaar heeft gedaan begint u te merken dat de kennis en kunde van uw mensen (waaronder de perceptie van kwaliteit en haar rol in uw bedrijfscultuur) langzaam verandert en verbetert.

Maar u begint met de verandering van uw handboek. Voor elke SCGM Grafimedia norm bevat uw systeem een tabel die uw systeem koppelt aan de norm. Het maakt daarbij niet uit of uw systeem sterk lijkt op de Dienstencentrum blauwdruk, of dat u het specifiek heeft gemaakt naar uw organisatie. Ergens in uw systeem zit deze tabel.

Bezien vanuit deze tabel heeft u een paar opties:

  • U wilt zo snel mogelijk ‘2015’ werken en gecertificeerd zijn. In dat geval past u deze koppelingstabel aan en voert u de nieuwe onderdelen van de HLS in binnen uw systemen (deze worden later in dit stuk opgesomd). Daarna begint voor u een proces van ‘afslanken’ en praktischer maken van uw systeem. Deze keuze is een goede voor bedrijven met een sterk aangepast managementsysteem, met bijvoorbeeld vergaande integratie met IT-systemen. En voor bedrijven die hun vooruitstrevende karakter duidelijk willen laten blijken aan hun relaties.

 

  • U wilt winst halen uit de gestroomlijnde en meer effectieve aanpak van de HLS systematiek. In dat geval begint u vanuit de (blauwdruk) paragraafstructuur van de HLS en de 2015 modules voor kwaliteit, milieu en/of informatiebeveiliging. In deze structuur (her)plaatst u alleen die relevante delen van uw oude handboek die nog noodzakelijk zijn in de nieuwe structuur. Deze keuze wordt automatisch voor u uitgevoerd indien u gebruik maakt van groepscertificering via het Dienstencentrum. Deze keuze is vooral nuttig voor bedrijven waarvan het managementsysteem vooral is opgebouwd op basis van de indeling van de norm (minder procesgericht); bedrijven die vinden dat hun managementsysteem verouderd is; bedrijven die meerdere ISO certificaten hebben; en bedrijven die niet meer jaarlijks de noodzakelijke verbetering behalen.

Deze keuze is ook interessant voor bedrijven die de administratieve last van ISO willen reduceren of die deze staf-taak willen uitbesteden, bijvoorbeeld via het Dienstencentrum Stafzekerheidsplan.

 

  • U weet dat u binnen de aankomende drie jaar uw systeem moet veranderen (september 2018 zijn de huidige normen niet meer toepasbaar), maar u doet dat het liefste op basis van de nieuwe inzichten die de HLS biedt: uw stakeholders- en risicoanalyse. Bij uw eerstvolgende jaarlijkse directie-evaluatie rondom de jaarwisseling 2015-2016 (eventueel gekoppeld aan uw begroting, investeringsplan en strategische beslissingen) laat u deze stakeholders- en risicoanalyse uitvoeren. Op basis van de uitkomsten daarvan weet u waar er voor u nog kansen liggen. U bepaalt uw prioriteiten op basis van de uitkomsten van de analyses en maakt verbeteringen en veranderingen in de volgorde die voor u het meeste oplevert.

 

Om tot een keuze te komen dient u te weten welke ´nieuwe´ zaken u dient in te voeren, dit vindt u hieronder.

´Nieuwe waarde´ in de HLS

De essentiële nieuwe zaken die sinds de HLS binnen uw norm vallen, leest u hieronder. Voor de normen is dit nieuw – als ondernemer, management of directie waren dit al onderwerpen die u bezig hielden. Daarmee is de afstand tussen de norm en uw ISO systemen juist kleiner geworden: het ISO systeem is een middel waarmee u uw doelstellingen realiseert. (De veranderingen in de norm vindt u vooral terug in hoofdstukken 4 en 5.)

 

  • Stakeholder analyse: u werkt niet in een vacuüm: naast uw klanten en uw eigen medewerkers zijn er nog andere partijen die voor u van belang zijn: uw omgeving (omwonenden, overheid), uw leveranciers, de algemene opinie, enz. enz. enz. Volgens de ISO normen dient u deze, en hun behoeften, te kennen. Deze aanpak is vanuit de ISO 26000 richtlijn (en de daardoor geïnspireerde MVO Grafimedia norm) waardevol gebleken en komt daardoor nu terug als verplicht onderdeel van alle ISO systemen. Dit is dus een verdieping van de aandacht die u al had in bijvoorbeeld 9001 voor klanttevredenheid en in 14001 voor compliance t.o.v. wetgeving.
  • Risicoanalyse: uw managementsysteem probeert een aspect te borgen en verbeteren. Daarbij hoeft u niet elk risico te beheersen: risico’s waarvan de kans klein is en de impact ook zouden terecht onbeheerst gelaten kunnen worden. U kunt daarmee uw systeem voor uzelf op exact op maat maken: datgene wat voor u echt niet belangrijk is, dat doet u niet en verspilt u ook geen administratieve moeite aan. Daar staat tegenover dat u natuurlijk goed moet weten wat juist wel relevant is om te beheersen: de risicoanalyse helpt u hierbij.
  • Leiderschap: waar directie voorheen met tekenen van directiebeoordeling en directieverklaring kon voldoen wordt nu een sterk actievere rol van hen verwacht. De directie is er voor verantwoordelijk dat het ISO systeem aansluit bij de strategische richting van het bedrijf.
  • Documentatie en communicatie: deze dient explicieter te zijn: ook de beveiliging van documenten is relevanter.

Daarnaast zijn er natuurlijk een aantal details veranderd die u ook dient te veranderen. Hiervoor heeft het Dienstencentrum een migratietabel opgesteld.

ISO / IEC 27001/27002:2013 Grafimedia

Voor de ISO/IEC 27001/27002:2013 Grafimedia geldt dat bedrijven die anno 2015 het Dienstencentrum handboek gebruikt hebben voor invoeren van de 2005 norm dat zij in de praktijk al werken conform zowel 27001 als 27002 én conform de HLS. De 2013 variant van de informatiebeveiligingsnorm is namelijk al op voorhand in de – toen in ontwikkeling zijnde – HLS structuur opgesteld. Het principe risico-denken was ook al integraal aanwezig in de systemen: deze werkwijze kan met kleine aanvullingen compleet gemaakt worden.

Qua praktische invulling van de te beheersen risico’s is de 27001/2 norm ook minder zwaarwegend dan in het verleden: de risico scope is meer gericht op praktische informatiebeveiliging (hoofdstuk 17, informatiebeveiligingsaspecten van bedrijfscontinuïteit) en overige risico’s worden terecht verplaatst naar het algemene HLS deel. Met betrekking tot de stakeholdersanalyse en leiderschap verschilt de situatie voor elk bedrijf: individueel zal gekeken moeten worden in welke mate dit nog aangevuld moet worden.

Meer zal nodig zijn voor onderwerpen zoals:

  • Informatiebeveiliging in projectbeheer
  • Cryptografie (expliciet nieuw hoofdstuk)
  • De splitsing van hoofdstuk 11 (beheer van communicatie en bedieningsprocessen) naar 2 nieuwe hoofdstukken (beveiliging bedrijfsvoering en communicatiebeveiliging)