30 mei, 2024

De ISO Harmonized Structure (HS): een solide basis voor een geïntegreerd managementsysteem (IMS)

30 mei, 2024
blog:'Betekenisvolle KPI's voor informatieveiligheid' geschreven door Hendrik Decroos
Hendrik Decroos
Senior Security, GRC & Privacy consultant

Wie al eens met meerdere ISO-standaarden voor managementssystemen geconfronteerd werd, ook wel bekend als Managementsystemen Type A, zal het wellicht opgevallen zijn dat de grote lijnen en hoofdstukindeling vergelijkbaar zijn. Dit is geen toeval. In 2012 introduceerde ISO voor het eerst de High Level Stucture (HLS), die sindsdien de standaard is voor alle nieuwe ISO-managementsnormen. De norm ISO 22301:2012 voor bedrijfscontinuïteitsmanagement uit 2012 was één van de eerste, en nadien hebben ook andere normen zoals ISO/IEC 27001:2013 voor informatieveiligheidsmanagement, ISO 9001:2015 voor kwaliteit, ISO 14001:2015 voor milieumanagement en ISO 45001:2018 deze structuur overgenomen. De HLS werd als Annex SL opgenomen in de ISO Directives Part 1.

Harmonized Structure

Van 2019 tot 2021 onderging de HLS een kleine revisie, wat resulteerde in de Harmonized Structure (HS). Deze update verduidelijkte en presenteerde de richtlijnen didactisch in tabelvorm naast de vereisten van de hoofdstukken. Deze aangepaste structuur, nu bekend als de “Harmonized Structure”, werd in mei 2021 gepubliceerd als Annex SL – Appendix 2 door ISO en wordt sindsdien opgenomen in alle nieuwe en herziene ISO-managementsysteemnormen. De herziene norm ISO/IEC 27001:2022 voor informatieveiligheidsmanagement was een van de eerste die deze aangepaste structuur toepaste.

De indeling van de ISO-managementsnormen volgens de Harmonized Structure omvat 10 hoofdstukken, waarbij hoofdstukken 4 tot en met 10 de kern vormen met de managementvereisten.

  • H.0 Inleiding
  • H.1 Scope
  • H.2 Normatieve referenties
  • H.3 Begrippen en definities
  • H.4 Context van de organisatie
  • H.5 Leiderschap
  • H.6 Planning
  • H.7 Ondersteuning
  • H.8 Uitvoering
  • H.9 Evaluatie van de prestaties
  • H.10 Verbetering

Eind 2023 werd een vereiste en verduidelijking toegevoegd aan hoofdstuk 4 om de impact van klimaatverandering te adresseren. In februari 2024 paste ISO dit via een amendement (Amd. 1:2024) toe op alle recente versies van de normen.

Basis voor een geïntegreerd managementsysteem (IMS)

De Harmonized Structure biedt een uitstekende basis voor een geïntegreerd managementsysteem (Integrated Management System, IMS) door de risicogebaseerde aanpak en modulaire opzet. Organisaties kunnen hiermee meerdere managementsystemen integreren, zoals voor Informatieveiligheid, Kwaliteit, Milieu, Bedrijfscontinuïteit en andere ISO-normen, waarvoor ze al dan niet gecertificeerd willen worden.

Door een uniforme structuur en vergelijkbare kerninhoud toe te passen, kunnen verschillende ISO-normen beter op elkaar worden afgestemd. De vaste indeling van hoofdstukken en paragrafen in de Harmonized Structure bevat normoverstijgende basisteksten die gelden voor alle ISO-managementsystemen, waardoor het voor organisaties eenvoudiger wordt om systemen te integreren en overlap te vermijden, terwijl de eigenheid van elke norm behouden blijft.

Een groot voordeel is dat men voor dezelfde processen in belangrijke mate maar één beschrijving nodig heeft, terwijl de organisatie toch voor elke ISO managementsnorm op een inzichtelijke manier aantoonbaar kan maken dat ze aan alle normvereisten voldoet. Het hanteren van eenzelfde risicomethodologie laat toe om breed te denken in termen van risico’s en kansen en in te spelen op onzekere, complexe en vaak volatiele omgevingsfactoren. Het hanteren van een eenduidig basistermen en overeenkomende definities, zijn absolute winstpunten.

De Nederlandse normorganisatie NEN vatte de modulaire aanpak van de HLS/HS samen in volgend schema, dat het “Plug-in model” illustreert waarbij managementsysteemnormen aansluiten op een set ‘kerneisen’ die voor al die normen hetzelfde zijn:

 

© NEN, 2021

De actuele versie (Engels en Frans) van de Harmonized Structure waarin mét de recente aanpassing met betrekking tot de vereiste om klimaatopwarming mee in rekening te brengen (hoofdstuk 4) vind je via deze link. Hoewel de rechterkolom, Guidance for MSS writers, in eerste instantie bedoeld is voor normeditors, geeft die ook voor implementatoren en auditoren nuttige inzichten in wat met de basistekst en vereisten (linkerkolom) wordt bedoeld.

Voor organisaties die moeten voldoen aan de eisen van de Europese NIS2-richtlijn en nog niet ISO/IEC 27001-gecertificeerd zijn, is het raadzaam om bij het opzetten van een Informatieveiligheidsmanagementsysteem de ISO Harmonized Structure te gebruiken. Dit vergemakkelijkt de latere overgang naar een certificeerbaar ISMS volgens ISO/IEC 27001:2022, waarbij ook andere normen kunnen worden gekoppeld. De ISO/IEC 27001:2022 standaard zelf is verkrijgbaar bij NBN (België), NEN (Nederland) of andere nationale norminstanties.

 

Infosentry heeft uitgebreide ervaring met het opzetten en intern auditen van ISO en ISO/IEC managementsnormen, zowel apart als geïntegreerd in een Integrated Management System (IMS). Voor meer informatie kun je terecht op www.infosentry.be en contact opnemen met onze specialisten.

Op zoek naar hulp of advies?
Ontdek hoe Infosentry jouw organisatie kan ondersteunen bij haar security uitdagingen.