De keuze om uw ISO 27001 traject intern op te bouwen of extern in te kopen is geen alles of niets keuze. De meeste organisaties kiezen voor een hybride model met externe expertise voor specifieke fases en interne capaciteit voor het lange termijn werk.
Wat doorgaans extern wordt gedaan
De initiele gap analyse en risico analyse. De Statement of Applicability opzet. De eerste cyclus interne audit indien u nog geen interne lead auditor heeft. De audit voorbereiding voor Stage 1 en Stage 2. Werk dat eenmalig is of waarvoor zware specialistische ervaring nodig is.
Wat doorgaans intern wordt opgebouwd
Jaarlijkse onderhoud cyclus en surveillance audit voorbereiding. Operationele uitvoering van controls. Awareness training en periodieke reviews. Documentatie onderhoud. Communicatie naar bestuur en uw certificerende instantie. Werk dat structureel terugkomt en waar bedrijfsspecifieke kennis essentieel is.
Hoe u de juiste mix kiest
Een ISO 27001 specialist met implementatie ervaring kijkt naar uw schaal, ambitie en bestaande capaciteit. Daarna een advies welke rollen u intern opbouwt en waar u extern blijft inkopen. Met als doel dat u na twee tot drie jaar zelfstandig kunt zonder permanente externe ondersteuning.
Plan een eerste gesprek via het formulier hieronder. Verwant: officer of fractional CISO.
Verwant: Senior ISO 27001 consultant, ISO 27001 voor industrie en OT omgevingen.