Leiderschap en strategie
De eerste stap in het geïntegreerde managementsysteem
PLAN fase van de PDCA-cyclus
Het PCT framework is opgebouwd als een geïntegreerd managementsysteem en bestaat uit vijf onderdelen. Deze vijf stappen maken deel uit van het Integrated Management System (IMS) in de PCT, het streven naar continue verbetering is een rode draad in deze tool.
Leiderschap en strategie richt zich op de PLAN fase van de Plan Do Check Act (PDCA)-cyclus. Je gaat in dit onderdeel in op wat je als organisatie aan dienstverlening levert, welke doelstellingen je nastreeft voor het aankomende jaar en je bepaalt met wie je deze doelstellingen gaat behalen en hoe je hierop gaat sturen. Zo weet je waar de focus ligt voor jouw organisatie.
De stappen van Leiderschap en Strategie
Leiderschap en strategie richt zich op de volgende zaken:
- Toepassingsgebied van jouw certificering: welke afdelingen en processen wil en dien jij te laten certificeren?
- Wie ben jij als organisatie en welke onderdelen komen daarin terug?
- Wat doe jij als organisatie? Wat voor dienstverlening of producten lever je?
De PCT heeft de volgende onderverdeling binnen Leiderschap en Strategie:
- Context
- Missie, visie, strategie
- Beleid
- Organisatie- en communicatiestructuur
- Relevante wet- en regelgeving
- Stakeholdermanagement
- Doelstellingen en KPI’s
Toepassingsgebied certificering
Het toepassingsgebied van jouw certificering richt zich op de primaire processen, die plaats vinden in jouw organisatie, op welke locatie(s) en door wie. Wat binnen het toepassingsgebied valt, hangt af van het type bedrijf, goed te weten dat je een keuze hebt wat je laat certificeren.
We geven je tips hoe je het toepassingsgebied van de certificering van jouw organisatie bepaalt op het gebied van:
- Locaties
- Dataopslaglocaties
- Uitbestede softwareontwikkeling
Tip: Zijn er meerdere locaties binnen jouw organisatie? Geef aan in het toepassingsgebied welke processen op welke locatie plaats vinden. Naast locatie zijn ook de mensen relevant, dus welke medewerkers of contractors vallen hieronder?
Tip: Op het gebied van informatiebeveiliging gaat het specifiek om de dataopslaglocaties. Waar staan de data opgeslagen en valt dit ook binnen je certificering?
Tip: Stel je bent een softwareleverancier, dan dien je het maken van de software en de het leveren van de licenties certificeren. Als je slechts licenties levert van software die een andere partij op jouw verzoek ontwikkelt, dan spreek je over uitbestede softwareontwikkeling.
Stakeholdermanagement
Stakeholdermanagement kijkt wie er invloed heeft op jouw dienstverlening. Certificering stelt dat je bewust moet zijn wie jouw stakeholders zijn. Oftewel wie heeft er invloed op jouw dienstverlening en wat verwachten zij van jou en hoe geef je daar invulling aan? Stakeholders bepalen niet wat jij aan dienstverlening levert, maar kunnen wel invloed hebben op jouw dienstverlening, evenals veranderingen door ontwikkelingen in de markt of techniek. We geven een paar voorbeelden om jou op weg te helpen.
De eisen van de stakeholders bepalen waar jij als organisatie mee aan de slag moet gaan en wat je doelstellingen zijn.
- Stakeholders en continuïteit: Het belang continuïteit is vanuit verschillende stakeholders relevant. Medewerkers zijn ook stakeholders, zij willen tijdig worden geïnformeerd over veranderingen in het bedrijf en continuïteit. Dit geldt ook voor een klant die wenst continuïteit van een bedrijf waar zij zaken meedoen.
- Corona en dienstverlening: Tijdens Corona zijn veel bedrijven vanuit huis gaan werken. De behoefte was ineens om thuis toegang je data te hebben. Daarom zorgden IT-dienstverleners dat iedereen thuis kon veilig kon werken en hier toegang kreeg tot de bedrijfsdata. Zij hebben hun dienstverlening aangepast op de eisen en behoeften van stakeholders.
- Dataopslag: Data stonden vroeger lokaal en worden nu steeds meer in de cloud opgeslagen. Hierbij is de verwachting van de klant dat zij 24/7 bij hun data kunnen. Om te zorgen voor een continu bedrijfsproces, kun je slechts een paar uur per jaar downtime hebben. Dit kunt je als doelstelling contractueel vastleggen in een Service Level Agreement (SLA), bijvoorbeeld garandeer 99,8% uptime.
Als je kijkt naar je managementsysteem dan zijn de behoeften vanuit de klant uiteindelijk de input om je operationele doelstellingen voor je managementsysteem voor je bedrijf vast te stellen.
Relevante wet- en regelgeving
De PCT werkt met een hoofdstukindeling en helpteksten per Het wettelijk kader geeft aan welke wetgeving je moet voldoen binnen jouw organisatie. Je dient als organisatie je bewust te zijn aan welke wetgeving je je dient te houden op het moment dat je diensten levert. Certificering spreekt over ‘toetsen op wettelijk kader’, waarbij de overheid de grootste stakeholder is. De AVG en de Telecomwet zijn voorbeelden van wetten die op elke organisatie van toepassing zijn.
KPI’s en doelstellingen
Uit alle stakeholders volgt een hele lijst met belangen die je hebt als organisatie. Die belangen zorgen ervoor dat je acties formuleert om deze belangen te behalen. Die acties leiden tot doelstellingen en Key Performance Idicators (KPI’s) en hoe je deze meetbaar maakt. Goed te weten dat bepaalde belangen goed meetbaar zijn zoals beschikbaarheid van een persoon, maar deskundigheid abstracter en daardoor minder meetbaar.
Tip: Herzie je doelstellingen één keer per jaar. Lever je andere diensten, door verandering in de markt of techniek, dan zullen de doelstellingen wijzigen.
Organisatiestructuur
In de organisatiestructuur geef je aan hoe je bedrijf is opgebouwd en wie je als organisatie bent. De volgende onderdelen neem je mee:
- Wie ben ik als organisatie?
- Hoe is mijn bedrijf opgebouwd?
- Welke afdelingen zijn er in jouw organisatie?
- Welke functies, rollen en verantwoordelijkheden zijn er nodig om je bedrijfsvoering te doen?
- Wat heb je nodig aan functies met bijbehorende competenties binnen je bedrijf om je dienstverlening te leveren? De functies volgen uit hoe je organisatie is ingericht en kunnen ook verantwoordelijk zijn voor bepaalde doelstellingen
- Welke rollen zijn er nodig om je managementsysteem op orde te houden?
- Welke verantwoordelijkheden zijn erbij wie belegd en wat verwachten we van bepaalde mensen?
ISO normen en rollen
De ISO norm geeft aan dat je bepaalde rollen nodig hebt om je managementsysteem op te zetten te onderhouden en continu te verbeteren. Een rol betekent dat iemand naast een bepaalde functie ook een extra verantwoordelijkheid erbij krijgt. In het MKB hebben medewerkers vaak verschillende petten op. Grotere bedrijven hebben vaak rollen als kwaliteitsmanager of security officer als aparte functies.
Voorbeeld: functionaris gegevensbescherming
De AVG stelt dat er voor sommige organisaties een functionaris gegevensbescherming (FG) als rol benoemd wordt in een organisatie. De FG dient volgens de wet onafhankelijk te zijn. Dat is lastig als je werkzaam bent in een bedrijf, omdat je situaties moet beoordelen, waarbij je ook het belang hebt bij continuïteit van het bedrijf. Een extra persoon voor deze rol aan te nemen, kan te kostbaar zijn. Dan moet je zorgen dat je het ‘vier ogen principe’ hanteert. En zorgt dat er een tweede persoon meekijkt.
Communicatiestructuur
De communicatiestructuur is gekoppeld aan de organisatiestructuur en richt zich op het volgende:
- Welke overleggen vinden er plaats?
- Bedenk welke overleggen nodig zijn en met welk doel. Houd het efficiënt.
- Hoe zorg je dat je met de input uit een overleg aan de slag gaat? Tip: zorg voor vastlegging.
- Kijk in dit kader naar jouw doelstellingen en monitor deze. Bespreek bijvoorbeeld periodiek of doelen zijn behaald en zet deze op de agenda.
Hoeveel tijd kost het?
Het hangt af van het type organisatie hoelang het duurt om invulling te geven aan deze stap in jouw ISMS. Start-ups hebben meestal meer tijd nodig voor deze stap, omdat je in deze fase goed moet nadenken over jouw stakeholders en een stap terug moet doen van de dagelijkse gang van zaken. Dit kan leiden tot nieuwe inzichten en een herijking van de dienstverlening van jouw organisatie.
Wanneer de missie en visie van je organisatie zijn bepaald, blijven deze over het algemeen langere tijd gelijk.
Tips en inzichten
- Gebruik het als revisie en ijkmoment voor je input. Is hetgeen er staat ook dat wat je wil gaan doen?
- Denk na of je je richt op de juiste zaken en ziet de klant dat ook zo? Dit helpt je bij het kijken naar de belangen en doelstellingen van jouw organisatie en zorgt dat je geen kansen laat liggen.
- Denk na over effecten op jouw bedrijfsvoering als doelstellingen niet worden behaald.
- Bekijk de zaken vanuit een ander perspectief en krijg inzicht in mogelijke groeikansen en dingen waarin je makkelijk kunt verbeteren!