U kan niet kunnen zeggen of uw ISMS werkt of niet, tenzij u het evalueert.
Wij raden u aan dit ten minste jaarlijks te doen, zodat u het evoluerende risicolandschap nauwlettend in het oog kunt houden.
Het evaluatieproces omvat het identificeren van criteria die de doelstellingen weerspiegelen die u in het projectmandaat hebt vastgelegd.
Een gebruikelijke metriek is kwantitatieve analyse, waarbij u een getal toekent aan wat u meet. Dit is nuttig wanneer het gaat om financiële kosten of tijd. Het alternatief is kwalitatieve analyse, waarbij de metingen gebaseerd zijn op een oordeel. U zou kwalitatieve analyse gebruiken wanneer de beoordeling zich het best leent voor categorisering, zoals "hoog", "gemiddeld" en "laag".
Naast dit proces moet u regelmatig interne audits van uw ISMS uitvoeren. Er is geen specifieke manier om een ISO 27001-audit uit te voeren, wat betekent dat het mogelijk is om de beoordeling voor één afdeling tegelijk uit te voeren. Dit helpt aanzienlijk productiviteitsverlies te voorkomen en zorgt ervoor dat de inspanningen van uw team niet te veel worden verdeeld over verschillende taken.
U moet er echter wel naar streven het proces zo snel mogelijk af te ronden, want u moet de resultaten hebben, ze beoordelen en plannen voor de audit van het volgende jaar. De resultaten van uw interne audit vormen de input voor de managementbeoordeling, die in het proces van voortdurende verbetering zal worden opgenomen.