ISO 9001 is de meest toegepaste managementsysteemnorm ter wereld. De standaard stelt eisen aan het kwaliteitsmanagementsysteem (KMS) van een organisatie en is gericht op het consistent leveren van producten en diensten die voldoen aan klanteisen en toepasselijke regelgeving.
Voor IT-dienstverleners is ISO 9001 vaak het fundament waarop andere certificeringen worden gebouwd. De norm deelt dezelfde High Level Structure (HLS) met ISO 27001, ISO 22301, ISO 27701 en ISO 42001. Dat betekent dat organisaties die al ISO 9001 gecertificeerd zijn, een groot deel van de structuur al op orde hebben wanneer zij een tweede of derde norm willen toevoegen.
De kern van ISO 9001:2015
ISO 9001:2015 is de huidige versie en draait om een aantal kernprincipes. Klantgerichtheid staat centraal: de organisatie moet begrijpen wat klanten nodig hebben en daar consequent aan voldoen. Procesmatig werken is een ander uitgangspunt. In plaats van ad-hoc handelen, beschrijft de organisatie haar kernprocessen, meet de resultaten en verbetert waar nodig.
Leiderschap is expliciet een eis. Het management moet betrokken zijn bij het kwaliteitsmanagementsysteem, richting geven en middelen beschikbaar stellen. Dit is vergelijkbaar met de leiderschapseisen in ISO 27001 en andere ISO-normen.
De risicogebaseerde aanpak is in de 2015-versie versterkt. Organisaties moeten risico's en kansen identificeren die van invloed zijn op de kwaliteit van hun dienstverlening. Voor IT-organisaties sluit dit goed aan bij de risicoanalyses die ook voor informatiebeveiliging worden uitgevoerd.
Hoe ISO 9001 samenwerkt met andere normen
De kracht van ISO 9001 voor IT-dienstverleners zit in de integratie met andere managementsysteemnormen. Doordat ISO 9001, ISO 27001, ISO 22301 en ISO 27701 dezelfde HLS volgen, kunnen organisaties een geintegreerd managementsysteem opzetten. De directiebeoordeling, het interne auditprogramma, het documentbeheer en de verbetercyclus worden dan eenmalig ingericht en voor alle normen gebruikt.
In de praktijk zien wij dat organisaties die starten met ISO 9001 een stevig fundament leggen. Het procesgericht denken, de PDCA-cyclus (Plan-Do-Check-Act) en de cultuur van continue verbetering vormen de basis waar andere normen op voortbouwen.
Wat betekent ISO 9001 voor IT-audits?
Bij IT-audits zien wij de invloed van ISO 9001 op meerdere gebieden. Change management, incidentbeheer, leveranciersbeoordeling en klanttevredenheidsmetingen zijn allemaal processen die vanuit ISO 9001 worden ingericht en die ook relevant zijn voor SOC 2, ISAE 3402 en andere auditstandaarden.
Organisaties met een volwassen KMS hebben doorgaans minder moeite met IT-audits. De documentatie is op orde, processen zijn beschreven, en er is een cultuur van meten en verbeteren. Dat maakt het verzamelen van auditbewijs eenvoudiger en de auditor treft een gestructureerde omgeving aan.
Secure Audit voert interne audits uit voor ISO 9001 gecertificeerde organisaties en helpt bij de integratie van ISO 9001 met informatiebeveiliging en privacy normen. Neem contact op voor een gesprek over hoe wij uw managementsysteem kunnen versterken.
Lees ook
Van gap-analyse tot certificeringsaudit: een praktische gids voor ISO 27001 implementatie en certificering.
Elke ISO-certificering vereist periodieke interne audits. Maar hoe voer je een effectieve interne audit uit, en wat verwacht de certificeringsinstelling? Een praktische gids.
Continuous auditing biedt real-time inzicht in control-effectiviteit, in plaats van traditionele jaarlijkse snapshots. Ontdek hoe dit jouw organisatie voordeel geeft.
Over de auteur
Partner | IT-auditor