Maturity Assessment

Wat is een Maturity Model in relatie tot informatiebeveiliging?

Een Maturity Model is een assessment-methodiek die het mogelijk maakt om de huidige staat van één of meerdere onderwerpen in kaart te brengen. In relatie tot informatiebeveiliging betekent dit dat er een inschatting wordt gemaakt waar de organisatie staat ten opzichte van de eisen waar de organisatie aan wil voldoen. Je kunt hier bijvoorbeeld denken aan de ISO 27001 en bijbehorende annex A (ISO 27002) maar ook aan andere normenkaders en zelfs wet- en regelgeving (denk aan: de NIS2-richtlijn).

Wanneer een Maturity Assessment?

Het in kaart brengen van de huidige staat van informatiebeveiliging laat zich goed lenen als:

• startpunt voor bijvoorbeeld een ISO 27001-implementatietraject, ook wel ‘nulmeting’ genoemd (zie ook: factsheet, stap 5).

• Wederkerende beoordeling van de volwassenheid van het ISMS (Information Security Management System) of QMS (Quality Management System).

De resultaten van de Maturity Assessment kun je gebruiken om in kaart te brengen wat het ‘gat’ is tussen de huidige staat versus de gewenste staat. Op basis hiervan kunnen er verbetermaatregelen worden geformuleerd om uiteindelijk tot de gewenste staat te komen.

Waarom een Maturity Assessment?

Wanneer je op structurele basis een Maturity Assessment laat uitvoeren, kunnen relevante trends binnen het ISMS geïdentificeerd worden.

Om deze trends te monitoren kunnen de Maturity Assessments scores als belangrijke KPI’s dienen binnen het ISMS (zie ook: factsheet, stap 7). Dit helpt om te voldoen aan relevante ISO / NEN normvereiste, te weten: hoofdstuk 9.1.

Uit welke componenten bestaat een Maturity Assessment?

Een Maturity Assessment bestaat uit de eisenlijst waar jouw organisatie aan wil voldoen (bijvoorbeeld ISO 27001, ISO 27002 en NEN 7510) en bijbehorende toetsingscriteria om compliance aan deze eisenlijst te meten.

Aanvullend is er een scoremodel gedefinieerd, waar per eis de gewenste en huidige volwassenheid van de organisatie (onderbouwd) kan worden vastgesteld.

Maturity Assessment door ICTRecht

Wij hebben veel ervaring met het uitvoeren van Maturity Assessments in het kader van de ISO 27001, ISO 27002 en NEN 7510 normering. Ook brengen wij de maturity ten aanzien van ISO 27701 (Privacy Informatiemanagement) en de NIS2-richtlijn in kaart. Daarnaast hebben wij ervaring met Maturity Assessments met betrekking tot normeringen die niet direct raakvlak hebben met informatiebeveiliging, zoals de ISO 9001 en de ISO 13485.

Op basis van interviews, documentatieonderzoek en aanvullend benodigde bewijsmateriaal brengen we per hoofdstuk (en norm-item of wetsartikel) de huidige Maturity Scores tekstueel en grafisch in kaart.

Aanbevelingen over wat er nodig is.

Aanvullend doen we aanbevelingen over wat er nodig is om tot de gewenste Maturity Score te komen. Deze aanbevelingen verwerken we vervolgens in een Roadmap. De Maturity Assessment kan ook input leveren voor een risico-inventarisatie.

Indien gewenst kunnen we aanvullend met je samenwerken om tot de gewenste Maturity Score te komen. Dit doen we door de verbeterpunten uit de Maturity Scan gezamenlijk te implementeren.