Laptop%20Writing_edited.jpg
Basis-strip-blok.png
  • Protify

Wat is een gap analyse voor ISO 27001 certificering?

Je hebt als organisatie de keuze gemaakt om je te laten certificeren. Je wil graag inzicht of jouw organisatie klaar is om een certificeringsproject te starten. Dan is de gap analyse een goede start, of je nu hebt gekozen voor de ISO 27001 de norm voor informatiebeveiliging, EN 50518 of andere managementsysteemcertificering. Een gap analyse wordt vaak uitgevoerd, voordat je als organisatie begint met een certificeringsproject om inzicht te krijgen waar je als organisatie zelf, en ten aanzien van de certificering, staat. Zo weet je waar je als organisatie al voldoet aan de eisen van een certificeringen en waar de (grootste) gaten zitten. Door de stappen van de gap analyse te doorlopen, maak je alvast kennis met de norm en krijg je inzicht wat de norm nu eigenlijk van jouw organisatie vraagt. We nemen je in dit blog mee in het uitvoeren van een gap analyse gericht op ISO 27001.


Doel gap analyse

Het doel van de uitvoering van een gap analyse is om te bepalen in hoeverre jouw organisatie reeds voldoet aan de gestelde eisen uit de gekozen ISO certificering. Daarbij is eveneens vastgesteld wat de nog te nemen stappen zijn om te komen tot een volwaardig, bij de organisatie passend managementsysteem en de certificering te behalen. De gap analyse is tevens het startpunt (de kick-off) van het certificeringsproject om te komen tot een passend managementsysteem en de certificering hiervan te gaan behalen.

Waar bestaat een gap analyse uit? De gap analyse maakt inzichtelijk wat je als organisatie al hebt en w waar je nog naartoe moet groeien. Dit wordt gedaan door de huidige documentatie te beoordelen, de huidige situatie te observeren en medewerkers te interviewen. Je weet zo welke stappen je nog moet nemen om het gat tussen de huidige en de gewenste situatie te overbruggen.


De gap analyse voor ISO 27001 behandelt de volgende onderdelen:

  • Algemeen: beoordeelt op welke wijze de structuur van de gedocumenteerde informatie van het managementsysteem is opgesteld. Er wordt gekeken of er een duidelijke toelichting is op de wijze hoe de PDCA-cyclus is geïmplementeerd binnen het managementsysteem en hoe continue verbetering wordt bevorderd. Er wordt beoordeeld of de organisatie een verklaring van toepasselijkheid (VVT) volgens de eisen uit de norm heeft opgesteld, waarin is vastgesteld welke controls expliciet van toepassing zijn verklaard.

  • Leiderschap en strategie: maakt inzichtelijk wat je doet als organisatie, waar sta je als organisatie voor en met welke stakeholders en je kijkt welke wet- en regelgeving van toepassing is op de bedrijfsvoering. Er wordt bepaald op welke wijze jouw organisatie invulling geeft aan de belangen die gesteld worden door deze stakeholders. Binnen leiderschap en strategie zijn de grenzen van het toepassingsgebied van het managementsysteem vastgesteld.

  • Procesmanagement: stelt vast welke processen er binnen het managementsysteem vallen, ofwel op welke wijze worden de werkzaamheden binnen de organisatie uitgevoerd. maak de processen inzichtelijk. Er wordt eveneens op welke wijze de operationele planning van het managementsysteem plaatsvindt. Welke activiteiten zijn er gepland om het managementsysteem te monitoren. Kortom wat doe je als organisatie?

  • Medewerkers en leveranciers: beoordeelt of de onderdelen die nodig zijn voor de uitvoering van de dienstverlening voldoen aan vastgestelde eisen. Zo wordt beoordeeld welk beleid er is opgesteld ten aanzien van de medewerkers, leveranciers en middelen die nodig zijn voor het uitvoeren van de dienstverlening, ofwel het primair proces. Wat is er vastgesteld ten aanzien van werving, selectie en screening van medewerkers die verantwoordelijk zijn voor de uitvoering van de dienstverlening.

  • IT infrastructuur: welke hard- en software, netwerk en faciliteiten worden er gebruikt in de organisatie.

  • Softwareontwikkeling: hoe wordt de software binnen een organisatie ontwikkeld. Dit is alleen relevant voor organisaties die een softwareontwikkeling doen. Is er een vastgesteld proces ten aanzien van het ontwikkelproces en op welke wijze wordt er omgegaan met wijzigingen tijdens softwareontwikkeling. Hoe wordt continuïteit en kwaliteit van geleverde dienstverlening/producten gegarandeerd. Is er een proces vastgesteld binnen de organisatie waarin is bepaald op welke wijze impact van wijzigingen wordt bepaald bij wijzigingen in producten en of de dienstverlening.

  • Risicoanalyse: kijkt naar de bedrijfsmiddelen die in kaart zijn gebracht en welke risico’s hier kunnen optreden. Deze risico’s worden vervolgens beoordeeld. In dit onderdeel wordt beoordeeld op welke wijze de organisatie een risico-inventarisatie uitvoert, waarbij de vastgestelde risico’s op een eenduidige manier worden beoordeeld, zodat deze bij herbeoordeling op eenzelfde wijze beoordeeld worden. Worden er risicobehandelplannen opgesteld voor risico’s die niet gemitigeerd kunnen worden en hoe wordt er gemonitord dat deze risicobehandelplannen worden uitgevoerd.

  • Continue verbetering: hoe ga je de werking van je managementsysteem, de PDCA cyclus, de maandelijkse overleggen, je wederkerende taken uitvoeren in je managementsysteem, borgen en die borging aantoonbaar maken.


Verschil nulmeting en gap analyse? Nulmeting geeft aan waar je nu staat als organisatie. Het verschil tussen een nulmeting en een gap analyse is dat ook het gewenste niveau inzichtelijk wordt gemaakt; waar sta je nu als organisatie en waar wil je naar toe.


Voor wie is een gap analyse geschikt? Wil je als organisatie graag weten waar je aan toe bent? Zodat je jouw organisatie goed kunt voorbereiden op de gekozen certificering? Dan is een gap analyse voor jouw organisatie geschikt. IT dienstverleners en softwareontwikkelaars kiezen vaak de norm ISO 27001. Elke organisatie die zich richting een managementsysteem wil certificeren, kan hiervoor bij Protify terecht. Ook wanneer je als organisatie kiest voor ISO 9001, ISO 22301, ISO 27701 of EN 50518 is het een goed startpunt, zodat je weet waar je aan toe bent. Voor de EN 50518 norm is de gap analyse uitgebreider omdat hier ook de bouw van de alarmcentrale wordt beoordeeld.

Volwassenheidsmodel De gap analyse wordt gepresenteerd in het volwassenheidsmodel, waarbij scores in vijf niveaus worden aangegeven. Het een tot en met vijf. Bij nul is er nog helemaal geen invulling aan de set van eisen gegeven, bij vijf loopt het proces perfect, is alles geborgd, er hoeft geen aandacht meer aan te worden besteed, is er continue verbetering en is de procesoptimalisatie helemaal op orde. Als baseline wordt een drie gehanteerd om klaar t zijn oor certificering. Dit niveau geeft aan dat er standaardisatie is, dat dit aantoonbaar en beheerst is en dat er bewustzijn is over het proces, waarbij er continue verbetering plaats vindt.


Tips voor de gap analyse van jouw organisatie

  • Wees eerlijk en breng alles ter tafel, zo krijg je echt inzicht hoe jouw organisatie ervoor staat. Bedenk dat het nu nog geen audit is en dit betekent dat je nog nergens op wordt beoordeeld.

  • De gap analyse kan echt leuk zijn, omdat je in een korte tijd het managementsysteem van jouw organisatie doorneemt. Het resultaat geeft direct inzicht in de status van jouw organisatie.

  • Beschouw de gap analyse als onderdeel van het certificeringsproject.

Interne audit Wanneer je als organisatie het certificeringsproces start, zal de interne audit plaats vinden, dit maakt geen onderdeel meer uit van de gap analyse. In dit onderdeel wordt beoordeeld op welke wijze de organisatie de prestaties van het managementsysteem periodiek beoordeeld. Vinden er periodieke evaluaties en beoordelingen vinden er plaats? Worden er audits uitgevoerd en wordt er door de directie jaarlijks gereflecteerd op de prestaties van het managementsysteem. Hoe wordt de output van deze evaluaties en beoordelingen geborgd, zodat deze bijdragen aan de continue verbetering van het managementsysteem?


Gap analyse als onderdeel certificeringsproject voor jouw organisatie? Wil je graag inzicht hebben in de stand van zaken van jouw organisatie? Wil jouw organisatie graag de ISO 27001 norm implementeren? Neem contact met ons op.