De management review: wat moet erin en wie doet mee?
Eén van de sectie-9-eisen van ISO 27001. Jaarlijks, met de directie, 2 uur. Hier de agenda die een auditor accepteert én die voor jou als oefening bruikbaar is.
De management review is geen ceremonie — het is de enige verplichte moment per jaar waar de directie zich expliciet committeert aan het ISMS. 2 uur, één keer per jaar.
Wie is erbij?
- Directie (eindverantwoordelijk voor ISMS)
- CISO / security-verantwoordelijke (die kan ook de directeur zelf zijn in een MKB)
- Data protection officer (indien relevant voor AVG)
- Compliance-officer (indien van toepassing)
Agenda (vast)
- Terugblik op vorige review — wat was besloten, wat is uitgevoerd?
- Wijzigingen in externe context (wetgeving, klantvereisten, dreigingslandschap).
- Wijzigingen in interne context (reorganisatie, nieuwe systemen, groei).
- Risk management — status risk register, top-5 restrisico's.
- Resultaten interne audits en externe audits (Stage-audits, surveillance).
- Incidenten-overzicht — aantal, categorieën, lessen.
- Status controls en access reviews.
- Beoordeling objective — zijn security-doelen gehaald?
- Resources — is het ISMS voldoende bemenst en gefinancierd?
- Verbeteringsinitiatieven voor komend jaar.
- Actie- en besluitenlijst.
Bewijs
Notulen met duidelijke besluiten, namen, data en acties. Getekend of digitaal bevestigd door de directie. Dit is de kernvindplaats die elke auditor opvraagt.
Zie ook: PDCA-cyclus, pre-audit checklist.
Volledige gids: ISO 27001 voor het MKB zonder €50k aan consultants
Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →