Wat is een ISMS?

TrustBound GRC als vliegwiel voor jouw ISMS

Geplaatst 25-03-22

Wat is een ISMS voor informatiebeveiliging?

ISMS staat voor Information Security Management System en het is een systeem dat eigenlijk geen systeem is. Bij het woord “systeem” denk je misschien aan software (een applicatie of online tool), maar zo is het niet bedoeld. Een ISMS is een systeem van op elkaar afgestemde processen en regels. Het is in die zin vergelijkbaar met termen als “ecosysteem” en “het financiële systeem”.

Het doel van een ISMS is om (vertrouwelijke) informatie beter te beveiligen. Aan de basis van het ISMS ligt het idee dat informatiebeveiliging een continu proces is, dat steeds wordt herzien. Het ISMS is dynamisch, net als de rest van je organisatie. Een goed voorbeeld is het onderwerp “bewustwording”.

Je kunt alle medewerkers in je organisatie een training geven over het veilig omgaan met wachtwoorden, zodat iedereen weet wat een sterk wachtwoord is en zodat er geen post-its met wachtwoorden meer op beeldschermen worden geplakt. Maar als er nieuwe medewerkers worden aangenomen, dan hebben die de training gemist. Bovendien zijn de mensen die de training wel hebben gehad, geneigd om na verloop van tijd te vervallen in oude gewoontes.

Voor een goed werkend ISMS is het zaak om beleidsregels vast te leggen en ervoor te zorgen dat nieuwe medewerkers dit beleid als onderdeel van hun inwerkperiode uitgelegd krijgen. Bovendien is het raadzaam om ook het beleid zélf periodiek te evalueren en tijdens reguliere overleggen onder de aandacht te brengen bij het voltallige personeel.

Hoe moet je beginnen met een ISMS?

Als je hebt besloten om een managementsysteem voor informatiebeveiliging te gaan opzetten, raak je makkelijk overdonderd door de gebruikte terminologie. Zoals voor veel vakgebieden geldt, heeft ook de wereld van kwaliteitssystemen een eigen “lingo”. Laat dat je niet weerhouden: het went snel. Bovendien bevat de ISO 27001 voor informatiebeveiliging zelf handvatten voor de eerste stappen van je ISMS.

Doelstellingen voor informatiebeveiliging

De eerste vraag die je jezelf moet stellen, is: “Waarom willen we een ISMS?”
Misschien vanwege klanten die steeds hogere eisen stellen aan informatiebeveiliging. Of omdat jouw organisatie reputatieschade door een datalek wil voorkomen. Wat de reden(en) ook zijn, het formuleren van heldere doelstellingen is de eerste stap om tot een ISMS te komen. Vanaf dat moment weet je: daar doen we het voor!

Contextanalyse van de ISO27001 en NEN7510

Voordat je aan de slag kan met de implementatie van een ISMS, is het zinnig om een situatieschets te maken. Hoofdstuk 4 van de ISO 27001 en NEN 7510 noemt dit de “contextanalyse”.

Bij het uitvoeren van de contextanalyse stel je jezelf de volgende vragen:

  • Welke factoren (binnen en buiten de organisatie) hebben invloed op het behalen van de geformuleerde doelstellingen?
  • Voor wie doen we het? Welke belanghebbenden (“stakeholders”) kunnen we onderscheiden en welke behoeften en verwachtingen hebben deze partijen ten aanzien van ons ISMS?
  • Wat is het toepassingsgebied (“scope”) van het ISMS? Gaat het om de hele organisatie, of alleen een specifieke afdeling of specifiek proces?

Het resultaat van de contextanalyse vormt het uitgangspunt voor de planning en implementatie van je ISMS.

Wil je snel verbeteren?

Download onze whitepaper over het eenvoudig opzetten van een beheersysteem voor informatiebeveiliging en privacy met gebruiksvriendelijke GRC-Software.

Wil je snel verbeteren?

Een ISMS voor ISO 27001 NEN 7510 of de BIO - informatiebeveiliging goed geregeld

Als jouw organisatie zich wil laten certificeren volgens de ISO 27001 of NEN 7510, dan moet je een ISMS opzetten dat aan die eisen voldoet. Maar ook als je zonder formele certificering wilt werken aan verbetering van informatiebeveiliging of AVG-compliance, is het raadzaam om genoemde normen te gebruiken als leidraad. Maar wat is een ISMS?

Het opzetten van een managementsysteem voor informatiebeveiliging (ook wel: ISMS) is de eerste stap voor een organisatie om de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van gegevens te waarborgen. De ISO 27001 norm voor informatiebeveiliging stelt bepaalde eisen aan zo’n managementsysteem. Dat geldt ook voor vergelijkbare normen, zoals de NEN 7510 voor de Zorg en de BIO voor de overheidsinstellingen.

Maar wat is dat eigenlijk, een ISMS? En waar moet je beginnen als je een ISO27001 of vergelijkbare certificering wilt behalen? Hieronder lees je alles over het management systeem voor informatiebeveiliging en krijg je tips voor een snelle implementatie.

PDCA: de systematiek van continu verbeteren

Centraal in de methodiek van het ISO managementsysteem staat het concept van continue verbetering. De gedachte daarbij is dat beleid en maatregelen gemonitord en periodiek geëvalueerd moeten worden om te verzekeren dat het ISMS doeltreffend is. Daarbij wordt gewerkt met de zogenaamde PDCA-cyclus waarin vier “fasen” worden onderscheiden: Plan-Do-Check-Act.

De eerste fase (plan) omvat onder meer het opstellen van beleid, het vastleggen van rollen en verantwoordelijkheden en het uitvoeren van een risicoanalyse met bijbehorend behandelplan. In de tweede fase (do) worden de plannen uit de eerste fase uitgevoerd door het implementeren van beheersmaatregelen en beheersprocessen. De derde fase (check) is de fase waarin de werking van het ISMS wordt geëvalueerd. Is het ISMS doeltreffend in het behalen van de doelstellingen en zijn er kansen om het systeem verder te verbeteren? In de laatste fase (act) worden de uitkomsten van de evaluatie gebruikt om eventuele afwijkingen te corrigeren en verbeterpunten aan te pakken.

Hoe een GRC-tool helpt bij het onderhouden van een ISMS

Wat is een goed ISMS? Een doeltreffend ISMS brengt effectieve sturing omtrent het gebruik van informatie binnen een organisatie. Vergelijkbaar met een biologisch ecosysteem omvat het managementsysteem een stelsel van processen, taken en verantwoordelijkheden die nauw met elkaar verweven zijn, maar door de gehele organisatie gedragen moeten worden. Het is daarom niet altijd even eenvoudig om centrale regie te houden en tegelijkertijd de betrokkenheid op de werkvloer te waarborgen.

Met het TrustBound GRC Platform geef je collega's eigenaarschap over de onderwerpen die binnen hun kennisdomein en invloedsfeer liggen. Daardoor kunnen zij een zichtbare bijdrage leveren aan de informatieveiligheid en privacy. Bovendien geeft het ISMS-dashboard realtimeinzicht in de voortgang van gestelde doelen, per bedrijfsonderdeel en op centraal niveau. Zo zie je snel waar extra aandacht nodig is.

Alle kennis op één platform

TrustBound GRC brengt de kennis van verschillende afdelingen samen op één platform, zodat alle medewerkers gezamelijk werken aan de beveiliging van gegevens.

Verwerkingsregister

Een uitgebreide, maar toegankelijke tool voor het vastleggen van processen, verzoeken van betrokkenen en datalekken.

Meer informatie

Compliance Dashboard

De stand van zaken van gegevensbescherming in jouw organisatie samengevat in een begrijpelijke weergave.

Meer informatie

Risico's en maatregelen

Alle risico's vertaald in een aanpak en planning.

Meer informatie

Risicoanalyse

Het overzicht van risico's in jouw organisatie samengevat in een begrijpelijke weergave.

Meer informatie

Audit en toezicht

De module voor audit en toezicht is ontwikkeld om jouw beleid voor de korte en de lange termijn te borgen.

Meer informatie

Kennisbank

Alle in- en externe documenten op één plek verzameld. De kennisbank wordt geleverd met een set basisdocumenten, die je kunt aanvullen met interne kennis en afspraken met leveranciers.

Meer informatie

Normen en toetsingskaders

ISO 27001, NEN 71510, BC5701, Toetsingskader PO/VO, BIO en meer...

Meer informatie

Werkpakketten

Met Werkpakketten organiseer je haalbare compliance doelen.

Meer informatie

Privacy Smarthub

Dé catalogus voor privacy- en securityprofessionals met kennis over Organisaties, Bedrijfsmiddelen, Processen en verwerkingen.

Meer informatie

Persoonlijke benadering

Ben jij geïnteresseerd en wil je gericht advies over GRC-beleid binnen jouw organisatie?

In een persoonlijk webinar bespreken wij de mogelijkheden. We leggen uit hoe onze tool jouw organisatie kan helpen om alles op orde te brengen wat te maken heeft met informatiebescherming en de privacy van je klanten en medewerkers.

Onze belofte

Wat mag je van ons verwachten als je kiest voor TrustBound GRC voor het beheren van je ISMS?

  1. Meetbaar resultaat binnen enkele weken

    Ons platform werkt als een vliegwiel. Met pasklare templates heb je in korte tijd de basis op orde. Realtime rapportages geven bovendien snel zicht op de grootste risico’s.
  2. Samenwerken wordt vanzelfsprekend

    TrustBound GRC is gericht op samenwerken. Medewerkers uit verschillende teams en disciplines, zoals security én privacy én informatiemanagement worden verbonden door de eenduidige structuur en gemeenschappelijke doelen.
  3. Je staat er niet alleen voor

    We staan voor je klaar, tijdens de implementatiefase én daarna. Bovendien wordt het TrustBound GRC Platform gedragen door een netwerk van gespecialiseerde Kennispartners, waardoor altijd hoogwaardige kennis beschikbaar is voor inhoudelijke vraagstukken.
  4. Verrassend doordacht

    Wij maken al 20 jaar software om het werk van professionals effectiever en leuker te maken. Niet met een eindeloze rij knoppen en schermen, maar met doordachte functies die verrasssen door eenvoud en bijdragen aan de verbetering van je aanpak.