Check iconAlles op 1 plek
Check iconOverzichtelijk
Check iconEenvoudig
Check iconStructuur

Mensen en middelen

De tweede stap in het geïntegreerde managementsysteem

Wat en wie heb je nodig voor je bedrijfsvoering?

Het PCT framework is opgebouwd uit vijf onderdelen. Deze vijf stappen maken deel uit van het Integrated Management System (IMS) in de PCT, het streven naar continue verbetering is een rode draad in dit systeem.
Het onderdeel mensen en middelen richt zich op wat en wie je nodig hebt om je bedrijfsvoering uit te oefenen. Dit richt zich zowel op het verlenen van diensten als het produceren van producten vanuit jouw organisatie. In deze stap richten wij ons specifiek op de mensen, partners en leveranciers en het asset management.

De stappen van Mensen en Middelen

  • Kennis, competenties, vakbekwaamheid en bewustzijn
  • Partners en leveranciers
  • Benodigde bedrijfsmiddelen
  • Werkomgeving en ICT-infrastructuur
  • Monitoren, meten, testen en onderhouden

Kennis, competenties, vakbekwaamheid en bewustzijn

Kennis, competenties, vakbewaamheid en bewustzijn als onderdeel van mensen en middelen.

Mensen zijn van groot belang voor je bedrijfsvoering, zeker wanneer je een dienstverlener bent. Je neemt mensen aan, aan de hand van opgesteld functieprofiel. Hierin stel je eisen aan de functie, zodat je de juiste kennis en competenties in huis haalt. Daarnaast worden er contractuele afspraken gemaakt met de medewerker.
Een managementsysteem verwacht bepaalde zaken van mensen. Afhankelijk van de norm(en) waarvoor jouw organisatie is gecertificeerd, zijn de volgende zaken relevant:

  • ISO 9001: stelt dat de output altijd hetzelfde kwaliteitsniveau dient te zijn. Om dit kwaliteitsniveau te behalen en behouden, is het van belang dat de uitvoerende mensen altijd dezelfde kwaliteit leveren. Wil je dit als organisatie te waarborgen? Dan dienen mensen aan bepaald opleidings- of kennisniveau te voldoen, anders kan de output en daarmee de kwaliteit in het gedrang komen.
  • ISO 27001: richt zich op bewustwording en betrouwbaarheid, omdat je binnen informatiebeveiliging met data werkt. Daarom is het belangrijk in processen vast te leggen, wat je nodig hebt om te waarborgen dat de informatie in jouw bedrijf op de juiste manier behandeld wordt. Aan de hand daarvan bepaal je welk type mensen nodig is om de primaire dienstverlening uit te voeren. Als de medewerker eenmaal in dienst is, dient de bewustwording te blijven gehandhaafd, dit kan door training en opleiding.

Kerncompetenties vaststellen

Je stelt als organisatie de benodigde kerncompetenties vast voor de medewerkers die je in dienst wil nemen. Zodat je als organisatie weet welke kennis en vaardigheden nodig zijn om een bepaalde functie uit te oefenen. Deze kerncompetenties worden meegenomen in het functieprofiel van de medewerker evenals het kennisniveau.Voorbeelden van kerncompetenties zijn organiseren, plannen, betrouwbaar, integer, flexibel, etc..
De betrouwbaarheid van mensen kun je screenen. Dit kan bijvoorbeeld door een VOG (Verklaring Omtrent Gedrag) van de medewerker aan te vragen bij Justis.

Voor sommige rollen in jouw organisatie moet aantoonbaar worden gemaakt dat de medewerker voldoet aan de gestelde competenties. Dit kan worden gemeten door Perfomance Management of de HR-cyclus. De ISO 27001 norm stelt dat een organisatie moet vaststellen aan welke competenties bepaalde rollen moeten voldoen en dat dit beoordeeld dient te worden.

Aannamebeleid en HR

Het aannamebeleid van nieuwe medewerkers maakt deel uit van het HR-proces. In dit proces worden ook zaken als geheimhouding meegenomen en contractueel vastgelegd. Aan de ene kant stel je eisen aan je medewerkers, aan de andere leg je contractuele afspraken met hen vast. In deze stap van je managementinformatie, ga je op een andere manier nadenken welke afspraken je met je mensen moet maken.

Als voorbeeld: heeft een medewerker toegang tot vertrouwelijke data (klantinformatie of gezondheidsdata), dan is geheimhouding zeer relevant. Je wil weten of iemand betrouwbaar is en borgen dat deze persoon de informatie niet met een ander deelt.

Niet alleen wanneer een medewerker in dienst komt, dienen er zaken te worden geborgd. Dit geldt ook voor uitdiensttreding. Je moet zorgen dat de medewerker geen toegang meer heeft tot data en informatie.

Trainen en opleiden

Awareness tools zijn er om het bewustzijn van medewerkers te toetsen, dit kan onder andere door integratie in een Learning Management Systemen (LMS). Deze tools beschikken over online tests, die meetbare resultaten opleveren. Het is van belang hoe je de output van deze toetsen doorvoert in jouw managementsysteem en informatiebeveiliging. De norm wil continue verbetering, daarom is het van belang meet- en aantoonbare resultaten te hebben. Bewustzijn kan ook via training en presentaties op kantoor of via posters. Wees je er van bewust dat de meetbaarheid hiervan beperkt is.

Leveranciers en partners

Leveranciers en partners onderdeel van mensen en middelen.

Leveranciers zijn een belangrijk en kritisch onderdeel van je bedrijfsvoering, denk hierbij bijvoorbeeld aan het leveren van applicaties in de IT en machines in een productiebedrijf. Je stelt eisen aan je leveranciers aan de hand van selectiecriteria. Zo kun je als organisatie zorgen dat jouw dienstverlening of product hetzelfde kwaliteitsniveau heeft en behoudt.

Het leveranciersbeleid bestaat uit twee soorten eisen:

  • Technische eisen: hebben betrekking op de kwaliteit en beschikbaarheid van data en het borgen van continuïteit.
  • Niet-technische eisen: hebben betrekking op o.a. betalingstermijnen, beschikbaarheid en reactietijd (bijv. helpdesk).

De norm voor informatiebeveiliging stelt dat je een beleid moet opstellen waar je leveranciers aan moeten voldoen.  Denk hierbij aan beschikbaarheid van je leveranciers of omgang met vertrouwelijke informatie.
Zo stelt de norm wanneer jij leveranciers hebt voor dataopslag, je hier minimaal over na gedacht hebben. Dus wees je bewust van het veiligheidsrisico en stel vast waar jouw leverancier aan moet voldoen. Belangrijk is ook dat je jaarlijks reflecteert op de prestaties van leveranciers; de leveranciersbeoordeling.

De leveranciersbeoordeling aan de hand van de eisen voer je uit in stap vijf van het geïntegreerde managementsysteem.

Partners
Partners zijn personen of organisaties waarmee je samen optrekt om business te genereren. Je hebt dus een gemeenschappelijk verdienmodel. Net als voor leveranciers dien je beleid te hebben met betrekking tot je partners. Het is van belang dat je hierover nagedacht hebt.

Benodigde bedrijfsmiddelen

Benodigde bedrijfsmiddelen als onderdeel van mensen en middelen.

Bedrijfsmiddelen zijn die middelen die je als organisatie nodig hebt om je kernprocessen uit te kunnen oefenen, zodat je jouw producten en diensten kunt leveren. Je spreekt hier over kritische bedrijfsmiddelen wanneer deze nodig zijn voor jouw primaire bedrijfsproces. Of een bedrijfsmiddel wel of niet kritisch is hangt af van de dienstverlening die je levert. Bij niet kritische bedrijfsmiddelen betekent het dat je dienstverlening doorgang kan vinden zonder dit bedrijfsmiddel.

Voorbeelden van bedrijfsmiddelen en waar je over na moet denken per bedrijfsmiddel en wat je dient vast te leggen in het beleid van jouw organisatie:

  • Netwerk
  • Bedrijfspand(en): bedenk of alle locaties relevant zijn voor je primaire bedrijfsproces. Welke eisen stel je aan je bedrijfspand(en) en heb je beveiliging toegepast? Het kan ook zijn dat je beveiligde zones toepast waar je andere maatregelen treft, zoals in de norm wordt gesteld.
  • Data: bedenk om welk type data het gaat. Hoe regel je de fysieke beveiliging en toegang op data? Hoe regel je de logische toegang, vaak functie afhankelijk?
  • Serverruimte: hier wordt vaak toegang verleend op basis van het Need to know principe. Dit kan bijvoorbeeld met tags.
  • Hardware: bijvoorbeeld laptops en welk type relevant is hang af van het werk van de medewerker.
  • Software: denk na wat er gebeurt als het systeem niet werkt, zo is het hebben van Office365 vaak een kritische applicatie.

Wanneer je bedrijfsmiddelen uitreikt aan je medewerkers dien je na te denken over het beleid voor het gebruikt hiervan. Dit beleid wordt vaak contractueel vastgelegd.
Voorbeeld: Een laptop is in bruikleen voor de medewerker. Zo kun je als organisatie vastleggen dat er geen privézaken op de laptop uitgevoerd mogen worden en activiteiten monitort. Je bent als organisatie namelijk verantwoordelijk dat het device veilig is en up to date. Let wel op regelgeving wanneer je het laptopgebruik monitort.

Monitoren, meten, testen en onderhouden

Monitoren, meten, testen en onderhouden als onderdeel van mensen en middelen.

Continue verbetering is de rode draad in een managementsysteem, daarom is het van belang continu te monitoren, meten, testen en onderhouden.
Hoe ga je de zaken monitoren? En wanneer blijkt dat iets niet veilig is, hoe ga je hier als organisatie mee om. Het is belangrijk dat afwijkingen van de standaard worden geanalyseerd, dit geeft je informatie over de veiligheid van jouw organisatie. Mensen worden meestal gemonitord middels gesprekken, overige zaken aan de hand van logfiles.
Meten is weten, wanneer je inzicht hebt op jouw data, ben je in staat bij te sturen indien nodig of aanpassingen te doen.
Testen worden uitgevoerd om zeker te weten dat wanneer je een product of dienst levert, dit voldoet aan de eisen die jij stelt hieraan.
Onderhoud moet zowel proactief als reactief plaats vinden. In het bijzonder machines hebben regelmatig onderhoud nodig, zodat de productie niet stil komt te liggen.

Ervaar het gemak van de ProActive Compliance Tool

Demo aanvragen