De management review is voor ISO 27001 een formele eis met name in clause 9.3. In de praktijk is het de enige plek waar uw bestuur structureel met informatiebeveiliging in aanraking komt. Een goed ingerichte management review is dus zowel een audit eis als een echt sturingsinstrument.
Wat een effectieve management review bevat
Updates over interne en externe ontwikkelingen die het ISMS raken. Resultaten van uitgevoerde audits met de belangrijkste bevindingen. Status van actiepunten uit vorige reviews. Performance van security maatregelen: incidenten, near misses, awareness training. Risico evolutie sinds laatste review. Vereiste besluiten met onderbouwing. Vaststelling actiepunten met eigenaars en deadlines.
Hoe vaak en op welk niveau
Doorgaans één tot twee keer per jaar op directie niveau. Voor grotere organisaties aanvullend een operationele review op CISO of equivalent niveau. Voor mkb is één jaarlijkse review met een operationeel ritme tussendoor doorgaans afdoende.
Hoe wij werken
Een ISO 27001 specialist richt de review structuur in en begeleidt de eerste cyclus. Sjablonen voor agenda, notulen en actiepunten zodat opeenvolgende reviews vergelijkbaar en herleidbaar zijn.
Plan een eerste gesprek via het formulier hieronder. Verwant: interne audit uitvoeren.
Verwant: Freelance ISO 27001 consultant, ISO 27001 voor mkb: realistisch en proportioneel.