Wat is een ISMS?

TrustBound GRC als vliegwiel voor jouw ISMS

Geplaatst 25-03-22

Wat is een ISMS voor informatiebeveiliging?

ISMS staat voor Information Security Management System en het is een systeem dat eigenlijk geen systeem is. Bij het woord “systeem” denk je misschien aan software (een applicatie of online tool), maar zo is het niet bedoeld. Een ISMS is een systeem van op elkaar afgestemde processen en regels. Het is in die zin vergelijkbaar met termen als “ecosysteem” en “het financiële systeem”.

Het doel van een ISMS is om (vertrouwelijke) informatie beter te beveiligen. Aan de basis van het ISMS ligt het idee dat informatiebeveiliging een continu proces is, dat steeds wordt herzien. Het ISMS is dynamisch, net als de rest van je organisatie. Een goed voorbeeld is het onderwerp “bewustwording”.

Je kunt alle medewerkers in je organisatie een training geven over het veilig omgaan met wachtwoorden, zodat iedereen weet wat een sterk wachtwoord is en zodat er geen post-its met wachtwoorden meer op beeldschermen worden geplakt. Maar als er nieuwe medewerkers worden aangenomen, dan hebben die de training gemist. Bovendien zijn de mensen die de training wel hebben gehad, geneigd om na verloop van tijd te vervallen in oude gewoontes.

Voor een goed werkend ISMS is het zaak om beleidsregels vast te leggen en ervoor te zorgen dat nieuwe medewerkers dit beleid als onderdeel van hun inwerkperiode uitgelegd krijgen. Bovendien is het raadzaam om ook het beleid zélf periodiek te evalueren en tijdens reguliere overleggen onder de aandacht te brengen bij het voltallige personeel.

Hoe moet je beginnen met een ISMS?

Als je hebt besloten om een managementsysteem voor informatiebeveiliging te gaan opzetten, raak je makkelijk overdonderd door de gebruikte terminologie. Zoals voor veel vakgebieden geldt, heeft ook de wereld van kwaliteitssystemen een eigen “lingo”. Laat dat je niet weerhouden: het went snel. Bovendien bevat de ISO 27001 voor informatiebeveiliging zelf handvatten voor de eerste stappen van je ISMS.

Doelstellingen voor informatiebeveiliging

De eerste vraag die je jezelf moet stellen, is: “Waarom willen we een ISMS?”
Misschien vanwege klanten die steeds hogere eisen stellen aan informatiebeveiliging. Of omdat jouw organisatie reputatieschade door een datalek wil voorkomen. Wat de reden(en) ook zijn, het formuleren van heldere doelstellingen is de eerste stap om tot een ISMS te komen. Vanaf dat moment weet je: daar doen we het voor!

Contextanalyse van de ISO27001 en NEN7510

Voordat je aan de slag kan met de implementatie van een ISMS, is het zinnig om een situatieschets te maken. Hoofdstuk 4 van de ISO 27001 en NEN 7510 noemt dit de “contextanalyse”.

Bij het uitvoeren van de contextanalyse stel je jezelf de volgende vragen:

  • Welke factoren (binnen en buiten de organisatie) hebben invloed op het behalen van de geformuleerde doelstellingen?
  • Voor wie doen we het? Welke belanghebbenden (“stakeholders”) kunnen we onderscheiden en welke behoeften en verwachtingen hebben deze partijen ten aanzien van ons ISMS?
  • Wat is het toepassingsgebied (“scope”) van het ISMS? Gaat het om de hele organisatie, of alleen een specifieke afdeling of specifiek proces?

Het resultaat van de contextanalyse vormt het uitgangspunt voor de planning en implementatie van je ISMS.

Een ISMS voor ISO 27001 NEN 7510 of de BIO - informatiebeveiliging goed geregeld

Als jouw organisatie zich wil laten certificeren volgens de ISO 27001 of NEN 7510, dan moet je een ISMS opzetten dat aan die eisen voldoet. Maar ook als je zonder formele certificering wilt werken aan verbetering van informatiebeveiliging of AVG-compliance, is het raadzaam om genoemde normen te gebruiken als leidraad. Maar wat is een ISMS?

Het opzetten van een managementsysteem voor informatiebeveiliging (ook wel: ISMS) is de eerste stap voor een organisatie om de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van gegevens te waarborgen. De ISO 27001 norm voor informatiebeveiliging stelt bepaalde eisen aan zo’n managementsysteem. Dat geldt ook voor vergelijkbare normen, zoals de NEN 7510 voor de Zorg en de BIO voor de overheidsinstellingen.

Maar wat is dat eigenlijk, een ISMS? En waar moet je beginnen als je een ISO27001 of vergelijkbare certificering wilt behalen? Hieronder lees je alles over het management systeem voor informatiebeveiliging en krijg je tips voor een snelle implementatie.

Wil je snel verbeteren?

Download onze whitepaper over het eenvoudig opzetten van een beheersysteem voor informatiebeveiliging en privacy met gebruiksvriendelijke GRC-Software.

Wil je snel verbeteren?

PDCA: de systematiek van continu verbeteren

Centraal in de methodiek van het ISO managementsysteem staat het concept van continue verbetering. De gedachte daarbij is dat beleid en maatregelen gemonitord en periodiek geëvalueerd moeten worden om te verzekeren dat het ISMS doeltreffend is. Daarbij wordt gewerkt met de zogenaamde PDCA-cyclus waarin vier “fasen” worden onderscheiden: Plan-Do-Check-Act.

De eerste fase (plan) omvat onder meer het opstellen van beleid, het vastleggen van rollen en verantwoordelijkheden en het uitvoeren van een risicoanalyse met bijbehorend behandelplan. In de tweede fase (do) worden de plannen uit de eerste fase uitgevoerd door het implementeren van beheersmaatregelen en beheersprocessen. De derde fase (check) is de fase waarin de werking van het ISMS wordt geëvalueerd. Is het ISMS doeltreffend in het behalen van de doelstellingen en zijn er kansen om het systeem verder te verbeteren? In de laatste fase (act) worden de uitkomsten van de evaluatie gebruikt om eventuele afwijkingen te corrigeren en verbeterpunten aan te pakken.

Hoe een GRC-tool helpt bij het onderhouden van een ISMS

Wat is een goed ISMS? Een doeltreffend ISMS brengt effectieve sturing omtrent het gebruik van informatie binnen een organisatie. Vergelijkbaar met een biologisch ecosysteem omvat het managementsysteem een stelsel van processen, taken en verantwoordelijkheden die nauw met elkaar verweven zijn, maar door de gehele organisatie gedragen moeten worden. Het is daarom niet altijd even eenvoudig om centrale regie te houden en tegelijkertijd de betrokkenheid op de werkvloer te waarborgen.

Met het TrustBound GRC Platform geef je collega's eigenaarschap over de onderwerpen die binnen hun kennisdomein en invloedsfeer liggen. Daardoor kunnen zij een zichtbare bijdrage leveren aan de informatieveiligheid en privacy. Bovendien geeft het ISMS-dashboard realtimeinzicht in de voortgang van gestelde doelen, per bedrijfsonderdeel en op centraal niveau. Zo zie je snel waar extra aandacht nodig is.

Persoonlijke benadering

Ben jij geïnteresseerd en wil je gericht advies over GRC-beleid binnen jouw organisatie?

In een persoonlijk webinar bespreken wij de mogelijkheden. We leggen uit hoe onze tool jouw organisatie kan helpen om alles op orde te brengen wat te maken heeft met informatiebescherming en de privacy van je klanten en medewerkers.