De PDCA-cyclus uitgelegd voor bestuurders

Plan-Do-Check-Act klinkt bureaucratisch. In de praktijk is het: schrijf op wat je doet, doe het, kijk of het werkt, pas het aan. Hier de kortste bruikbare uitleg.

PDCA is de rode draad door elk ISMS. ISO 27001 verwacht dat je deze cyclus hanteert. In de praktijk gebeurt dit op drie niveaus: strategisch (jaar), tactisch (kwartaal), operationeel (continu).

Strategisch: jaarlijks

• Plan: jaarplan met 2-5 security-doelen.
• Do: uitvoering in het jaar.
• Check: interne audit + management review.
• Act: volgend jaarplan neemt bevindingen mee.

Tactisch: kwartaalritme

• Planning: welke controls vragen deze periode aandacht?
• Uitvoering: access reviews, backups-test, policy-updates.
• Check: bevindingen verzamelen, risk-register bijwerken.
• Act: corrigerende maatregelen plannen.

Operationeel: continu

Incidenten loggen, phishing-tests uitvoeren, vulnerability-scans, patches. Elke week is er wel iets.

Eén gemeenschappelijke regel

Leg alle cycli (jaar, kwartaal, week) vast in dezelfde kalender/tool. Een ISMS dat in hoofden leeft is een ISMS dat door de eerste auditor-drukte sneuvelt.

Zie ook wat is een ISMS.