De audit liep op rolletjes.
De stukken lagen klaar, de processen waren uitgelegd, de eerste bevindingen leken positief. We kenden de normen, hadden het beleid op orde en het auditplan gevolgd tot in detail.
En toen stelde de auditor één vraag:
“Hoe weten jullie zeker dat deze maatregel ook echt is uitgevoerd?“
Het bleef stil.
Niet omdat het antwoord er niet was, maar omdat het nergens aantoonbaar was. Niet in het systeem. Niet in de taakoverzichten. Niet in een evaluatieverslag. De maatregel stond er wel, maar of hij ook was opgevolgd? Geen idee.
ISO 27001 draait niet om papier. Het draait om bewijs
In veel organisaties leven processen in documenten, maar niet in de praktijk. De risicoanalyse wordt netjes vastgelegd, maatregelen keurig gepland, het beleid geüpdatet… maar er is geen sluitende opvolging. Geen vaste verantwoordelijkheden. Geen herhaaltaken. Geen controle op uitvoering.
En dan is één simpele auditvraag genoeg om het hele systeem onderuit te halen.
Niet omdat er bewust iets fout is gegaan. Maar omdat niemand echt wist of het echt was gebeurd. En niemand het kon laten zien.
Herken je dit?
- Een incident wordt besproken, maar nergens formeel vastgelegd
- Maatregelen staan in Excel, zonder eigenaar of deadline
- De risicoanalyse is van zes maanden geleden, maar je team weet dat niet
- De directiebeoordeling is gedaan… maar zonder opvolging van de actiepunten
Op papier ziet het er goed uit.
In de praktijk is het een verzameling van losse eindjes.
Wat je wilt kunnen zeggen is dit:
- “Ja, die maatregel is afgerond. Hier zie je de taak, het tijdstip en wie het heeft opgevolgd.”
- “We herzien de risicoanalyse elk kwartaal. De volgende staat al ingepland.”
- “Incidenten worden vastgelegd, geanalyseerd en opgevolgd. Hier zie je de status.”
Niet omdat je alles onthoudt.
Maar omdat het systeem dat voor je bijhoudt.
Waarom het vaak fout gaat? Omdat je denkt dat het systeem werkt.
De meeste ISMS-structuren zijn gebaseerd op documenten: Word, Excel, e-mail, SharePoint-mappen. Het ziet er goed uit tijdens de voorbereiding. Maar zodra de druk wegvalt, na de audit, na een hectische maand, bij personeelswissel, verslapt de grip.
En dan blijkt ineens dat compliance een momentopname is geweest.
Niet een werkend systeem. Niet een continue cyclus.
En dus: Niet aantoonbaar.
Hoe los je dat op?
Niet met nóg een actielijst.
Niet met strengere afspraken.
En zeker niet door het zelf weer te gaan monitoren.
Wat werkt is:
- Een systeem waarin je ziet wat er gepland staat, wat er af is, en wat er nog moet
- Een structuur waarin iedereen weet: dit is mijn verantwoordelijkheid
- Een dashboard dat je vertelt of je grip hebt, of alleen denkt dat je dat hebt
Dat is waar CompliTrack voor is gebouwd.
Niet om je nog meer regels te geven. Maar om ze werkbaar te maken.
Tot slot
Als een audit bij jou morgen dezelfde vraag stelt:
“Hoe weet je dat deze maatregel is uitgevoerd?”
… heb je dan het antwoord?
Of moet je terug naar je Excel-sheet, in de hoop dat iemand iets heeft ingevuld?
Verder lezen?
De risicoanalyse: een onmisbaar instrument voor elke ondernemer
Hulp nodig?
Wil je kunnen aantonen wat er gebeurt, zonder zoekwerk of twijfel?
We laten je graag zien hoe CompliTrack grip geeft zonder complexiteit.