Veranderstrategie ISO/NEN implementatietrajecten

De implementatie van de NEN7510 is een traject waarbij verschillende stappen gedaan worden om te komen tot compliance op het gebied van informatiebeveiliging binnen de Zorg. Deze stappen zijn op hoofdlijnen vastgelegd in de ISO27003. Vanuit onze organisatie hebben we deze 6 stappen tot in detail uitgewerkt en hebben we deze gekoppeld aan deliverables en aan rollen (https://www.samoerai.nl/normeringen/nen7510-certificering/ ). Een perfect plan dus om succesvol een implementatie te doen zou je zeggen…
Toch hebben we gemerkt dat niet al deze projecten even succesvol zijn geweest in termen van doorlooptijden en soms ook budget. Blijkbaar zijn er meer factoren van invloed op het succes van zo’n project. In deze verhandeling wordt ingegaan op deze extra succesfactoren.

Toen we een analyse maakten van de lijst met implementatie projecten zagen we al snel een aantal succesfactoren die van belang geweest zijn, naast de meer reguliere projectmatige randvoorwaarden. De projecten waar bijvoorbeeld de bestuurder er ‘bovenop’ zat en waar de IT-afdeling de nodige kennis had van de te nemen beveiligingsmaatregelen waren duidelijk succesvoller.

Vervolgens hebben we gekeken naar de algemeen aanvaarde methoden van verandermanagement (Model van Kotter en model van Kostner). Deze modellen hebben we op een pragmatische manier vertaald naar Security gerichte acties binnen onze bestaande projectaanpak. Op deze manier wordt het detail plan van aanpak aangevuld met een aantal specifieke onderdelen vanuit Security Verander Management perspectief. En de hoeveelheid geraamde tijd wordt nauwelijks meer.

Adviezen
Om een succesvolle implementatie te doen van de NEN7510 heeft het veel toegevoegde waarde om de volgende punten onderdeel te maken van de aanpak. Deze punten worden met behulp van een vragenlijst en interviews met de organisatie geïnventariseerd. Waar nodig kunnen mitigerende acties gekoppeld worden aan de bestaande detail aanpak.

  1. Zorg voor een voldoende mate van duidelijkheid in de Visie op Security vanuit het bestuur en/of directie. Een kort statement (en commitment) waarin het doel van het traject wordt geschetst en het belang voor de organisatie is vaak voldoende. Wij nemen dit meestal op in de zogenaamde ‘Directie verklaring’ welke onderdeel is van de NEN7510 en onze aanpak.
  2. Zorg voor een voldoende mate van urgentie. Een workshop ‘Hackers world’ met het bestuur/directie en betrokkenen en (een afspiegeling) van de medewerkers helpt de urgentie duidelijk te krijgen. Deze workshop is onderdeel van onze aanpak.
  3. Zorg voor een duidelijk helder detail plan van aanpak inclusief taken, deliverables én een ondersteunend ISMS (of GRC) tool. Dit is de ruggengraat van het traject. Het beschrijft en borgt wat de acties zijn voor zowel de adviseur als voor de klant medewerkers. Wij gebruiken ons 6 stappenplan waarbij we meer dan 90 zorg specifieke templates hebben die e.e.a. vergemakkelijken.
  4. Zorg voor voldoende middelen en capaciteit. Naast de inzet van de adviseur is er ook capaciteit nodig van mensen binnen de organisatie (ICT, Facilitair, HR, inkoop en continuïteit/calamiteitenmanagement etc.). De taken voor deze afdelingen zijn beschreven en vastgelegd en worden ondersteund door een template gedreven aanpak, waardoor de gevraagde tijd bescheiden kan blijven. Voor aanvang van het traject worden de uit te voeren acties besproken met de betreffende afdelingen. Indien nodig kunnen mitigerende maatregelen genomen worden.
  5. Zorg dat de betrokken medewerkers voldoende security en privacy gerelateerde competenties hebben. Zijn deze niet aanwezig zorg dan voor extra ondersteuning en training (on-the-job).

Conclusie
Om succesvol een implementatie te doen van de NEN7510 is het in de eerste plaats belangrijk dat er een helder duidelijk detail plan van aanpak is. Het heeft veel toegevoegde waarde indien dit plan ondersteunt wordt door NEN7510 templates. Hierdoor hoeven er alleen organisatie specifieke aanpassingen gemaakt te worden. Templates zijn o.a. beleidsdocumenten, normonderdelen, richtlijnen voor maatregelen en controls, maar ook vragenlijsten voor BIA en DPIA, overzichten van dreigingen, onderdelen voor security en privacy awareness, een Risicomanagement methodiek en een security incident management aanpak etc. Het gaat in totaal om meer dan 90 NEN7510 specifieke templates. Ten tweede helpt het enorm om een handzaam ISMS-tool te gebruiken om de opzet, bestaan en werking van de NEN7510 aan te kunnen tonen. Hiermee worden ook alle acties en verantwoordelijkheden geborgd binnen de organisatie.

Begrijpend dat informatiebeveiliging (en privacy) een verandertraject is, is het als laatste van belang een aantal acties toe te voegen aan de inhoudelijke aanpak. Deze acties, voortkomend uit een pragmatische invulling van security verandermanagement, zorgen voor het juiste klimaat (strategisch, tactisch en operationeel), voldoende betrokkenheid op alle niveaus en een borging van de NEN7510 binnen de organisatie.  

Onze klanten die NEN7510 compliant of gecertificeerd zijn, zijn allemaal beter beveiligd én voldoen aan de wettelijke eisen die gesteld worden aan zorgorganisaties (ook AVG). Bijkomend voordeel is dat de volwassenheid van deze organisaties is toegenomen en dat er veel meer duidelijkheid is wie er verantwoordelijk is voor wat.
Mocht dit nog niet voldoende aanleiding zijn is het goed te beseffen dat niet compliant zijn aan de NEN7510 kan leiden tot hoge boetes.

Scroll naar boven