Hoe maak je een communicatieplan volgens de ISO 27001:2013 en de ISO9001:2015. Deze normen zijn inmiddels beide in het high level structure (HLS) formaat. Dat betekend dat het communicatieplan in beide normen dezelfde paragraaf hebben, namelijk 7.4.
Het communicatieplan volgens de ISO
Communicatie is belangrijk om de juiste informatie bij de juiste mensen te krijgen op het juiste tijdstip. Effectieve communicatie qua inhoud, methode en uitgezet in de tijd creëert vertrouwen bij interne en externe partijen. Het laat zien dat jij voorbereidt bent een vooral proactief kan reageren op situaties.
Dit artikel beperkt zich tot het communicatieplan zoals dat vermeld staat in paragraaf 7.4 van beide normen, maar communicatie wordt op diverse andere plekken ook genoemd. Zo besteed de ISO 27001 ook aandacht aan communicatie bij o.a. A15.1.3 en A16.1. En de ISO 9001:2015 besteed er aandacht aan bij de paragrafen 8.2.1 en 7.1.3.
Wat is een communicatieplan
Paragraaf 7.4 vereist een antwoord op een serie van vragen:
- a) waarover te communiceren
- b) wanneer te communiceren
- c) met wie te communiceren
- d) wie moet communiceren
- e) hoe te communiceren, dus volgens welke processen de communicatie moet plaatsvinden.
Als we meer in detail kijken naar deze vragen zie we:
a) waarover te communiceren
De inhoud van de boodschap moet duidelijk zijn. Een organisatie moet dus helder communiceren wat voor hun belangrijk is en welk doel ze hebben met de boodschap. Je wilt met de boodschap immers iets bereiken, bijvoorbeeld gewenst gedrag.
Dus een boodschap om klanten te informeren tijdens een crisis zodat ze niet allemaal gaan bellen, moet dus zo zijn samengesteld dat de klant weet dat er gewerkt wordt aan het probleem, dat ze gerustgesteld zijn dat er alles aan gedaan wordt om het probleem op te lossen en dat ze niet de behoefte hebben om te gaan bellen.
SMART criteria kunnen helpen om de boodschap compleet te krijgen.
b) wanneer te communiceren
Communicatie kan continu zijn en gebaseerd op een gebeurtenis, zoals een incident.
Continue communicatie, bijvoorbeeld naar nieuwe medewerkers, kan herhaaldelijk verstuurd worden via verschillende kanalen zodat de boodschap niet wordt vergeten.
Je moet ook in staat zijn om de berichten te kunnen wijzigen of nieuwe berichten of formaten en kanalen in te voeren als de situatie dat vereist. Communiceren in normale omstandigheden is serieus verschillend in vergelijking met communicatie bij incidenten of speciale gebeurtenissen.
c) met wie te communiceren
Niet iedereen moet alle berichten ontvangen. Berichten moeten gericht zijn op een speciaal publiek en afhankelijk zijn van de classificaties van de organisatie. Het communicatieplan moet effectief zijn en dus zo zijn opgesteld dat alleen die personen aangesproken worden die ook daadwerkelijk iets met het bericht moet doen of de inhoud van het bericht moet weten. Denk hierbij aan o.a. gebruikers, interne en externe service providers, regelgevende instanties, aandeelhouders en belanghebbende.
d) wie moet communiceren
Een organisatie moet bepalen wie mag communiceren, of te wel, wie is geautoriseerd. Vooral als er gecommuniceerd moet worden naar externen.
Voorbeeld van geautoriseerde personen zijn vaak, top management, de CISO en de helpdesk. In grote organisaties is er een speciale PR manager die de communicatie op zich neemt.
Degene die communiceert moet wel een passende autoriteit hebben voor de boodschap die wordt verstuurd, zodat de ontvanger de juiste attentie geeft aan de boodschap en er op een gewenste manier op reageert.
e) hoe te communiceren
Hiermee wordt bedoeld het proces. Definieer kanalen en protocollen om zeker te zijn dat de boodschap de juiste personen bereikt op het juiste moment en met het beoogde resultaat van de boodschap. Voorbeelden van kanalen kunnen heel divers zijn afhankelijk van de soort boodschap en het doel van de boodschap. Denk aan email, nieuwsbrief, pop-up screens, posters, audio berichten, bijeenkomsten, folders, website, persoonlijk contact.
Het eenvoudigste voorbeeld van een protocol is een document beschrijft wat en hoe te communiceren om de doelstellingen van de boodschap te bereiken en aan te sluiten bij de doelstellingen van de organisatie. Protocollen moeten zijn voorbereidt en akkoord bevonden zodat bij incidenten of een crisis ze klaar liggen.
Intern versus een extern communicatie plan
Een communicatieplan heeft interne en externe aspecten.
Interne communicatie
Voorbeelden van interne communicatie zijn boodschappen over de doelstellingen van de organisatie en hoe de organisatie die doelstellingen wil bereiken, wat ze verwachten van medewerkers, waar informatie te vinden is zodat medewerkers dit terug kunnen lezen, hoe er geacteerd moet worden tijdens een ontruiming, het organogram, maar ook over minder zware onderwerpen zoals de jaarlijkse BBQ. En daarnaast zijn er natuurlijk de standaard communicatiemiddelen zoals mail en telefoon. Denk ook aan communicatiemethode hoe er bottom-up in de organisatie gecommuniceerd wordt, zodat management over gebeurtenissen en kwetsbaarheden op de hoogte wordt gebracht.
Externe communicatie
Denk bij communicatie met externe partijen aan regelgevende instanties, overheden, aandeelhouders, klanten en partners, leveranciers en familieleden van medewerkers. De lijst met belanghebbende, zoals genoemd in het beleid van de organisatie (zie paragraaf 4.2 van beide normen), kan als leidraad dienen om externe partijen te identificeren. Bij externe communicatie dient u wel na te denken over de inhoud van de boodschap zodat er geen gevoelige informatie wordt vermeld.
Documenteren / vastleggen van het communicatieplan
Afhankelijk van de grootte van de organisatie en haar informatiebeveiliginsdoelstellingen of kwaliteitsdoelstellingen, kan het communicatieplan meer of minder formeel zijn. Volledig gedocumenteerd als een afzonderlijk document of eenvoudig, in een paar zinnen, in overig beleid opgenomen worden. Of zelf onderdeel zijn van plannen en procedures. Dus verschillende opties, zolang de gewenste berichten maar juist worden doorgegeven aan de juiste personen op het juiste tijdstip.
Bij het documenteren is het dus belangrijk dat de gekozen oplossing past bij de behoeften en de middelen die een organisatie kan besteden aan het communicatieplan.
Relevante communicatie
Een communicatieplan is niet een papieren tijger. Het is niet de bedoeling om alle communicatie vast te leggen en de norm zit niet te wachten op een uitleg van informele communicatie bij de koffieautomaat. Wat wel de bedoeling is, is om relevante communicatie vast te leggen. En wel relevant voor het management systeem. Denk hierbij aan communicatie om doelmatigheid aan te kunnen tonen, of de communicatie die betrekking heeft op kpi rapportages, tijdens essentiële processtappen of de communicatie die gaat over risico’s.
Waarom is een communicatieplan belangrijk?
Als conclusie kunnen we zeggen dat een communicatieplan vooral het creëren en onderhouden van vertrouwen omvat in of een organisatie paraat is, de capaciteit om te reageren op gebeurtenissen en het vermogen om te herstellen van een crisis.
Het Communicatieplan is een essentieel onderdeel van een goed Informationbeveiligingsmanagementsysteem (ISMS) en/of kwaliteitsmanagementsysteem (QMS / KMS). Je laat hiermee een sterk imago zien, zowel intern als extern.