Binnen veel organisaties beginnen de onderwerpen kwaliteit, informatiebeveiliging of compliance zelden met een uitgewerkt plan, maar met een praktische vraag die ergens in een overleg op tafel komt te liggen: we moeten iets met ISO, maar wie gaat dat oppakken? En al snel valt dan een term die steeds vaker terugkomt in gesprekken én zoekopdrachten: ISO-manager.
Maar wat bedoelen we daar eigenlijk mee?
Gaat het om een functie binnen de organisatie, een systeem dat alles bijhoudt, of een combinatie van beide? In de praktijk blijkt dat die betekenissen door elkaar heen lopen, en juist dat zorgt ervoor dat organisaties grip verliezen op hun ISO-traject.
Volgens Floris van Miert, algemeen directeur van DataRely, zit daar precies de kern. ‘De één bedoelt een persoon, de ander denkt aan tooling. Maar uiteindelijk zoekt iedereen hetzelfde: grip. Termen als compliance manager, ISMS-manager, kwaliteitsmanager zijn bovendien bekender dan ISO-manager.’
ISO-manager als rol binnen ISO 27001 en het ISMS
Wanneer organisaties spreken over een ISO-manager, bedoelen ze in eerste instantie vaak een persoon die verantwoordelijk is voor het beheer van ISO-normen zoals ISO 27001. Een Security Officer dus. In dat geval draait het om het opzetten en onderhouden van een Information Security Management System, oftewel een ISMS. Dit is geen losstaand systeem in de vorm van een tool, maar een gestructureerde manier van werken waarin processen, mensen en technologie samenkomen om informatiebeveiliging te beheersen en continu te verbeteren. Die rol gaat daarmee verder dan alleen documentatie. Het omvat het uitvoeren van risicoanalyses, het opstellen van beleid, het begeleiden van audits en het bewaken van compliance richting management en organisatie. ‘In theorie is het heel logisch,’ zegt Floris. ‘Je wijst iemand aan en die zorgt dat alles rondom ISO klopt.’ Maar in de praktijk blijkt het zelden zo overzichtelijk, omdat ISO geen eiland is maar verweven moet zijn met hoe een organisatie daadwerkelijk werkt.
Wanneer de ISO-manager verandert in documentbeheerder
Wat je in veel organisaties ziet, is dat de rol van ISO-manager langzaam verschuift van regie naar administratie. Beleidsdocumenten worden opgesteld, risicoanalyses worden een keer uitgevoerd en ergens ontstaat een mapstructuur die steeds verder groeit. Zolang er geen audit is, lijkt alles onder controle, maar zodra die audit dichterbij komt verandert dat beeld snel. Dan begint het zoeken naar de laatste versies, naar bewijs van uitgevoerde maatregelen en naar acties die ooit zijn opgepakt maar nergens meer zichtbaar zijn. ‘Dan zie je dat organisaties ineens terug moeten reconstrueren wat ze hebben gedaan,’ zegt Floris. ‘En dat is precies wat je wilt voorkomen.’ Het probleem zit daarbij niet in de mensen, maar in het ontbreken van structuur. ISO vraagt namelijk niet om losse documenten, maar om een systeem dat continu wordt ingericht, beheerd en verbeterd.
ISO-manager is geen verplichte functie binnen ISO
Wat belangrijk is om te begrijpen, is dat ISO niet voorschrijft dat je een ISO-manager móét hebben. ISO 27001 en NEN 7510 schrijven voor dat het plicht is om een Security Officer te hebben. ISO 9001 verplicht een kwaliteitsmanager.
De norm stelt: verantwoordelijkheden rondom informatiebeveiliging moeten duidelijk zijn toegewezen en gedragen worden door de organisatie. Dat betekent dat het minder gaat om de functietitel en meer om de inrichting. Wie is verantwoordelijk voor risicoanalyses, wie bewaakt de voortgang van maatregelen en wie rapporteert richting management? ‘ISO gaat niet over functietitels,’ zegt Floris. ‘Het gaat over verantwoordelijkheid.’ In kleinere organisaties zie je daarom vaak dat deze rol wordt gecombineerd met andere functies, zoals IT-manager, totdat de complexiteit toeneemt en het niet meer houdbaar is om het erbij te doen Als de complexiteit toeneemt, wordt vaak een Security Officer aangesteld om hier verantwoordelijk voor te zijn.
De ISO-manager als tool voor overzicht en controle
Parallel aan deze ontwikkeling ontstaat er een tweede betekenis van het begrip ISO-manager. Steeds vaker wordt daarmee het ISMS bedoeld dat helpt om het managementsysteem te beheren. Dat is logisch, want ISO-normen worden uitgebreider, audits intensiever en de hoeveelheid documentatie groeit. Handmatig beheer leidt dan al snel tot versnippering en verlies van overzicht. Een goede ISO-manager in de vorm van een systeem ondersteunt bij documentbeheer, risicoanalyses, auditvoorbereiding, actiebeheer en compliance monitoring. ‘Organisaties willen geen map met documenten meer,’ zegt Floris. ‘Ze willen weten waar ze staan.’ Daarmee verschuift de behoefte van administratie naar inzicht, en van losse acties naar een continu proces.
Waarom een ISO-manager als tool alleen niet voldoende is
Toch is het idee dat een tool het probleem oplost een veelvoorkomende misvatting. Software kan structuur brengen, maar neemt de verantwoordelijkheid niet over. Een systeem weet niet welke risico’s voor jouw organisatie het zwaarst wegen, welke keuzes gemaakt moeten worden of hoe processen in de praktijk verlopen. Daarvoor blijft menselijke expertise essentieel. ‘Een tool ondersteunt,’ zegt Floris. ‘Maar iemand moet blijven sturen.’ En dat is precies waar veel implementaties misgaan: de verwachting dat technologie het werk overneemt, terwijl het in werkelijkheid alleen ondersteunt wat er al georganiseerd moet zijn.
De ISO-manager als combinatie van mens en systeem
De organisaties die daadwerkelijk grip hebben op ISO, combineren beide vormen van de ISO-manager. Ze hebben iemand die verantwoordelijkheid neemt én een systeem dat helpt om die verantwoordelijkheid structureel uit te voeren. Daarmee verandert de manier van werken fundamenteel. Geen losse documenten meer die ergens opgeslagen staan, maar samenhang en inzicht. Geen auditstress, maar een continu beeld van waar je staat. Geen momentopname, maar een systeem dat meebeweegt met de organisatie. ‘De ISO-manager moet sturen,’ zegt Floris. ‘En de tooling moet zorgen dat je het kunt volgen.’ Die combinatie zorgt ervoor dat ISO geen verplichting blijft, maar een werkend onderdeel wordt van de organisatie.
Wat betekent de ISO-manager voor het MKB?
Juist in het MKB is dit een herkenbaar vraagstuk. Grote organisaties hebben vaak een Security Officer, een securityteam en volwassen tooling, terwijl in kleinere organisaties de verantwoordelijkheid bij één persoon ligt, vaak naast andere taken. Dat werkt zolang de complexiteit beperkt blijft, maar met ontwikkelingen zoals NIS2, strengere audits en toenemende eisen vanuit klanten verandert dat snel. ISO wordt daarmee geen bijzaak meer, maar een structureel onderdeel van bedrijfsvoering. ‘Je ziet dat organisaties tegen grenzen aanlopen,’ zegt Floris. ‘Niet omdat ze het niet willen, maar omdat het niet meer bij te houden is.’ Dan wordt de vraag niet alleen wie het doet, maar vooral hoe je het organiseert.
Tot slot: wat is een ISO-manager echt?
De vraag waarmee we begonnen krijgt daarmee een ander antwoord. Is een ISO-manager een persoon of een tool? Het antwoord ligt in de combinatie. ‘Het is nooit alleen een persoon en ook nooit alleen een tool,’ zegt Floris. ‘Je hebt iemand nodig die verantwoordelijkheid neemt en een systeem dat het mogelijk maakt om dat goed te doen.’ Pas als die twee samenkomen, ontstaat waar organisaties eigenlijk naar op zoek zijn: overzicht, controle en rust. En precies daar verandert ISO van een verplicht nummer in een manier om je organisatie structureel sterker en weerbaarder te maken.
Verder praten? Neem contact met ons op.
