Zo helpt Axxes klanten op weg naar NIS2-compliance

ISO 27001 en 27701

‘Omdat het bedrijf zo’n cruciale rol speelt, is veiligheid extreem belangrijk. Daar komt de nodige regulering bij kijken, zeker nu de NIS2-richtlijn is uitgerold. Die focust op informatiebeveiliging in een aantal kritieke sectoren, en is ook van toepassing op hen’, vertelt Anthony. 

De klant stelde vast dat de ISO-27001 certificering grotendeels overeenkomt met de NIS2-regelgeving. ‘Daarom hebben ze het plan opgevat om eerst deze certificering te behalen, zodat ze probleemloos aan de NIS2-eisen kunnen voldoen. Aangezien de ISO 27701 normering die op privacy focust hierop voortbouwt, hebben ze besloten om ook deze certificering mee te nemen.’

Om de nodige ISO-certificeringen 27001 en 27701 te behalen, klopte het bedrijf bij Axxes aan. ‘Als Business Analist heb ik al hun kernprocessen in kaart gebracht. In een doorlichting verwacht men dat alle processen neergeschreven zijn, wat hier nog niet overal het geval was. Door dat wel te doen, werd al snel duidelijk welke processen niet conform de ISO-standaard waren en waar de bottlenecks zaten’, zegt Anthony.

In eerste instantie ging Anthony in gesprek met de afdelingshoofden, om zo samen met hen de belangrijkste processen te bepalen. ‘Door het as-is scenario te bepalen, konden we nagaan welke processen nog moeten verbeteren om te slagen voor de audit. Dat hele proces, inclusief de ISO audits, heeft een jaar geduurd.’

De kernprocessen uitgetekend

‘Om te beginnen hebben we een oefening gemaakt om de ‘core’ van het bedrijf te bepalen. Hieruit is het kernproces ‘Weekverloning van de arbeider’ naar boven gekomen.’ Het eerste kernproces waarmee Anthony van start ging, was dus de wekelijkse uitbetaling van de lonen van de arbeiders. ‘Als dit niet gebeurt, valt het hele bedrijfsleven op die locatie stil. Samen met de afdeling die daarvoor verantwoordelijk is, heb ik alle stappen in dat proces in kaart gebracht. In Draw.io tekende ik die schema’s uit in BPMN-formaat en voegde ik deze samen in een document waarin ik de verschillende stappen toelichtte. Daarnaast heb ik een RACI-matrix toegevoegd, om ze daarna terug voor te leggen aan de afdelingshoofden. Deze RACI-matrix was een goed instrument om duidelijk te maken wie welke verantwoordelijkheden had. Hoewel sommige afdelingshoofden zich ervan bewust waren dat hun afdeling bepaalde stappen moest uitvoeren, dwong het formeel ondertekenen van deze verantwoordelijkheden hen om nog eens grondig na te denken over mogelijke verbeteringen in het proces.’

Vervolgens focuste Anthony op de instroom van arbeiders, een volgend kernproces. ‘Het is niet altijd eenvoudig om informatie uit mensen te halen. Wanneer iemand al jaar en dag hetzelfde doet, stelt men er zich geen vragen meer bij. Soms is iets voor die persoon logisch, maar voor mij niet. Daarom bleef ik telkens doorvragen totdat ik een antwoord kreeg waar ik tevreden mee was. Deze techniek, The 5 why’s, had ik geleerd in een opleiding Lean Six Sigma - Yellow Belt. Ze verplicht je om vijf keer door te vragen, wat vaak leidde tot de informatie die ik nodig had. In die gesprekken kwamen ook heel wat verbeterpunten naar voren, die ik heb opgelijst. Sommige zaken kon men direct implementeren. Hier en daar stuurde men bijvoorbeeld nog data via mail door, maar het is veel veiliger om dat via een centraal platform te laten verlopen.

De next steps

De klant heeft voor zichzelf een traject van drie jaar uitgestippeld om deze ISO certificering aan te pakken. In het eerste jaar wordt de organisatie grondig geëvalueerd om te bepalen of ze de certificering behalen. Er kunnen aspecten zijn die verbetering behoeven, maar die niet ernstig genoeg zijn om de certificering te blokkeren. Het is dan de bedoeling om in de volgende jaren deze zaken te verbeteren. Het bedrijf besloot om in het eerste jaar te starten met enkel het hoofdkantoor en de daar gevestigde afdelingen te evalueren. De andere locaties en afdelingen zijn buiten scope gehouden. Deze zouden in het tweede jaar ook doorgelicht worden zodat ze hun certificering voor het hele bedrijf halen.