PDCA cyclus
25.06.2020

PDCA-cyclus voor informatiebeveiliging en privacy

De PDCA-cyclus (Plan-Do-Check-Act) is een methode waarmee je stap voor stap je werk, prestaties en organisatie beter kunt maken om zo continu te verbeteren. Plannen worden opgesteld, acties worden uitgevoerd, maar soms wordt de cyclus wordt afgerond, omdat er niet wordt geëvalueerd. Het is belangrijk dat resultaten worden geëvalueerd zodat ze eventueel kunnen worden bijgestuurd om vervolgens weer te starten met de eerste stap. Zo waarborg je de kwaliteit continu.

Informatiebeveiliging is een continu proces

Er komt bij complexe zaken zoals de Baseline Informatie Beveiliging Overheid (BIO) en de AVG geen moment dat alle vinkjes gezet zijn en de organisatie ‘klaar’ is. Je blijft continu plannen, analyseren, evalueren en aanpassen. Een goed beleid voor informatieveiligheid en privacy gaat daarom uit van de PDCA-cyclus. Welke tooling je ook kiest, het moet die PDCA-aanpak ondersteunen, vereenvoudigen én versterken. Natuurlijk kun je allerlei zaken bijhouden in een spreadsheet of documenten, maar goede tools zorgen dat je alles in samenhang bijhoudt en op tijd bijstuurt.

ISMS-tool volgens de PDCA-cyclus

De term ISMS staat niet voor een tool, maar voor de systematische aanpak van privacy- en informatievraagstukken binnen jouw organisatie. Een ISMS is dus geen softwareoplossing. De kern is de kwaliteitscirkel volgens het principe Plan-Do-Check-Act, ofwel de PDCA-cyclus. Hoe richt je deze cyclus eenvoudig in? Dit zorgt ervoor dat je in staat bent om de scope te bepalen, processen te verbeteren en dat je je gereed bent voor audits. Het gebruik van de juiste tool maakt dit mogelijk. De ISMS tool van SafeHarbour: IC Content ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw Informatieveiligheidshandboek en zorgt ervoor dat jouw ISMS gaat leven én werken.

Lees: Informatiebeveiliging het stappenplan voor een goed ingerichte PDCA-cyclus 

In de praktijk: hoe maak je een keuze en wat heb je nodig in welke fase van de PDCA?

De PDCA cyclus bestaat uit vier stappen. In het onderstaande figuur worden de vier stappen afgebeeld en toegelicht.

PDCA cyclus

Plan Do Check Act (PDCA) cyclus

Plan

In deze eerst stap wordt een plan opgesteld waarin de beoogde resultaten duidelijk zijn omschreven. Doelstellingen moeten SMART zijn geformuleerd (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden) en in overeenstemming zijn met het belang van de verschillende betrokkenen. Daarnaast moeten de randvoorwaarden en de beschikbare middelen zijn omschreven.

Tooling die je in de Plan-fase echt ondersteunt, kent een planmatige aanpak en biedt actuele content en praktische voorbeelden voor jouw ISMS of PMS. Ook helpt het je om beleid uit te werken en processen in te richten. Wij zelf maken sjablonen vanuit best practices. Je kunt alles aanpassen voor jouw organisatie. Daarbij kun je gebruik maken van de meest recente en relevante informatie, binnen de juiste normenkaders. Zo helpt een tool je om processen te versnellen en om alle documentatie actueel te houden.

Do

Hier gaat het om de uitvoering en realisatie van het goedgekeurde plan. Tijdens de uitvoering worden de activiteiten en prestaties continu geregistreerd en beoordeeld. De factor mens is misschien wel de belangrijkste bij privacy en informatieveiligheid. Voelen jij én jouw collega’s de urgentie om het beleid uit te voeren en is het ook helder wat je te doen staat? Goede tooling is gericht op doen, doen, doen. Bijvoorbeeld door een heldere interface, inzicht gevende dashboards en task management. Juist dit soort inzicht helpt de CISO en de FG bij het kweken van draagvlak bij het bestuur en het management. Een goede tool helpt bij het monitoren van de voortgang en geeft inzicht via heldere rapportages. Doordat acties kunnen worden uitgezet en gemonitord, houd je inzicht in openstaande activiteiten en de uren die besteed zijn. En: in wat nog gedaan moet worden om in control te komen. De overzichten geven inzicht in de voortgang van activiteiten.

“De factor mens is misschien wel de belangrijkste in de PDCA-cyclus. Een tool kan je niet uitleggen waarom iets zo belangrijk is, maar een goede tool neemt die factor natuurlijk mee door niet alleen een ‘control’ te presenteren maar ook de uitleg daarbij. Alleen een Excel-document vertelt je namelijk niet wat je nog moet doen. De dashboards, reminders en cloudoplossingen dragen bij aan het commitment. Ook zijn er bijvoorbeeld functionaliteiten waarmee je zaken als ‘deniability’ regelt. Denk aan afvinkbare, verplichte leestaken. ‘Oh, ik wist niet dat ik er wat mee moest’, is dan geen optie meer.  Daarnaast zijn er ook andere manieren om de echte commitment te vergroten. Laatst sprak ik een klant die als werkt bij een gemeente. Hij organiseert in zijn organisatie inspiratiesessies over privacy om het bewustzijn te vergroten. Ze deden onder andere een soort ‘petje op, petje af’-quiz deden met allerlei prikkelende vragen. Toen viel het kwartje bij veel van zijn collega’s. Zo werd privacy werd ineens wél een interessant thema. Creatief bezig zijn met collega’s is de moeite waard.”

Check

In deze stap worden de behaalde resultaten vergeleken met de resultaten die jouw organisatie voor ogen heeft. De verschillen worden geëvalueerd en de oorzaken van mogelijke verschillen worden opgespoord. Evaluaties en privacy assessments zijn geïntegreerd in goede tooling. Sluiten de processen nog aan bij de inrichting van de organisatie en het functiehuis? En is het beleid effectief? Bereik je het gewenste resultaat? En hoe speelt je in op wijzigingen binnen de organisatie, invloeden van buitenaf of veranderende doelstellingen? Het is belangrijk dat tooling de interne controle ondersteunt, bijvoorbeeld met functionaliteit om activiteiten te plannen en monitoren. Een tool maakt het gemakkelijker om inzicht te krijgen in wat en hoe er moet worden gecontroleerd.

Act

In deze stap wordt na de evaluatie, indien nodig, bijgestuurd. Vervolgens  worden er maatregelen getroffen om de geplande resultaten alsnog te behalen. Een tool is dynamisch en brengt verbeterpunten en kwetsbaarheden in kaart. Uit een evaluatie of risicoanalyse kan blijken dat het anders moet. Een tool maakt dit in acties concreet: welke maatregelen zijn nodig en hoe doe je het? Zo helpt goede tooling om de PDCA-cyclus steeds weer te doorlopen en zo te zorgen voor continue verbetering.

ISMS tool IC Content

Met IC Content richt je de PDCA-cyclus eenvoudig in. Daardoor ben je in staat om de scope te bepalen, processen te verbeteren en je gereed te maken voor audits. Met IC Content kun je de Baseline Informatiebeveiliging Overheid (BIO) implementeren. De vertaling van de maatregelen die voortkomen uit de GAP- en risicoanalyse vind je in IC Content terug. IC Content ondersteunt je bij het organiseren, opzetten, beheren en optimaliseren van jouw informatieveiligheidshandboek en zorgt ervoor dat jouw ISMS gaat leven én werken. Maak nu een afspraak voor een vrijblijvende demo. Wij doen je zo snel als mogelijk een vrijblijvende offerte toekomen. Ook voor andere vragen staan wij graag voor je klaar! Je kunt ons bereiken via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl