Evalueren effectiviteit maatregelen
In deze module wordt stilgestaan bij de effectiviteit van de reeds geïmplementeerde maatregelen. Deze module bestaat op dit moment uit twee sessies die je samen met (een van) onze teamleden doorloopt (Doe het samen).
Doe het samen
Effectiviteitstoets
- Duur: Tijdsduur afhankelijk van het aantal maatregelen.
- Wat: We bepalen gezamenlijk hoe de organisatie de effectiviteit van de maatregelen kan monitoren. Voor zover maatregelen al geïmplementeerd zijn ondersteunen we bij de uitvoering hiervan. Dit kan bijvoorbeeld door een collegiale review, eventueel in regioverband. Zo krijgt de organisatie scherp of de getroffen maatregelen effectief zijn en het risico daadwerkelijk kleiner is geworden.
- Wie: FG, CISO, risico-eigenaren en wanneer aanwezig in de organisatie ook de kwaliteitsfunctionaris en/of interne auditor.
- Resultaat: Een plan voor evaluatie van de prestaties (monitoren, meten, interne audit), waar mogelijk met resultaten van uitgevoerde evaluaties.
- Voorbeeld:
Test van geprogrammeerde maatregel: softwaretest op de functionaliteit. Is die aanwezig, dan zal deze maatregel het altijd doen.
Test effectiviteit: voert de medewerker controle daadwerkelijk uit m.b.v. de pop-up (of wordt deze direct weggeklikt).
Periodieke deelwaarneming, op basis van interview of observatie vaststellen hoe medewerkers omgaan met de pop-up. Aanvullend analyse van incident- en datalekmeldingen op meldingen dat informatie naar de onjuiste persoon is verzonden.
Opstellen auditplan/collegiale review
- Duur: 1 uur
- Wat: Voor een veilige organisatie zijn periodieke controles nodig op de effectiviteit van je maatregelen, onder andere door het uitvoeren van een interne audit. Dit is ook onderdeel van de werking van het ISMS volgens NEN 7510. Het uitvoeren van het auditplan kun je intern beleggen bij interne auditors of kwaliteitsmedewerkers. Maar het is bijvoorbeeld ook mogelijk om een externe auditor in te huren, of de inzet van collega's van andere organisaties die een check uitvoeren. In deze sessie leer je hoe je een plan voor deze audits maakt.
- Resultaat: Een auditplan, zowel inhoudelijk (wanneer gaan we wat auditen) als qua uitvoering (wie gaat de audit uitvoeren).
- Voorbeeld opzet collegiale review:
Een collega van organisatie A duikt in de beveiligingsplannen en –maatregelen die zijn opgesteld en geïmplementeerd door organisatie B, en schrijft hier een rapport over. Op een ander moment voert een collega van organisatie B dezelfde werkzaamheden uit bij organisatie A.
Meer weten?
Heb je interesse in de Kickstart IB&P? Vul dan het formulier in op de overzichtspagina.
Neem ook eens een kijkje op de websites van onze partners in het zorgveld
Ga direct naar de pagina met een overzicht van alle handige links