Een ISMS is een managementinstrument dat wordt ingezet om informatiebeveiliging van een bedrijf of organisatie te besturen en te waarborgen. Het wordt doorgaans ondersteund door bepaalde software. ISMS helpt je om alle veiligheidsrisico binnen de organisatie in kaart te brengen, maar je zet het ook voor het opstellen van beleid, zowel op korte als op de langere termijn. Dankzij het ISMS wordt het heel eenvoudig om verantwoordelijkheden en taken te verdelen. Er wordt een manier van werken gerealiseerd die een blijvende verbetering inhoudt. Wil een bedrijf aan de norm van de ISO 27001 voldoen, dan zal het systeem onder meer externe en interne audit bevatten. Dit om aan te tonen dat er voldoende zorg wordt besteed aan informatiebeveiliging. Benieuwd wat de expert voor je kan betekenen? Kijk dan bij iso2handle.

Opzetten en implementeren

Het opzetten en onderhouden van en ISMS-systeem kan aan de hand van de onderstaande stappen:

  • Begin met het verkrijgen van inzicht in de organisatie. Welke doelen heeft de organisatie? Hou rekening met de stakeholders en hoe zij in het systeem kunnen worden geïntegreerd.
  • Stel de doelstellingen vast van het ISMS. Is het beeld van de organisatie geschetst, leg dan de doelstellingen vast. Bepaal de doelstellingen op het vlak van privacy en security.
  • Bepaal de scope? Welke bedrijfsmiddelen, locaties en technologieën worden in het ISMS opgenomen?
  • Bepaal welke middelen beschikbaar zijn binnen de organisatie om het ISMS draaiende te krijgen en te kunnen onderhouden. Heb je steun van alle belangrijke partijen?
  • Definieer de methode waarop risicobeoordeling plaats gaat vinden. Wat is de exacte risicomethodiek? Deze methodiek dient universeel en onomstreden te zijn: er dient altijd op exact dezelfde manier gekeken en beoordeeld te worden. Hoe kun je de risicomethodiek van een DPIA (Data Protection Impact Assessment) bij het ISMS betrekken?
  • Vorm een beeld van de exacte risico’s aan de hand van een gestructureerde en diepgaande risicoanalyse
  • Stel een jaarlijks privacy- en informatiebeveiligingsplan op, waarin alle activiteiten worden beschreven die risico’s moeten indammen
  • Daarna is het tijd voor het opstellen van het aanvullend beleid en aanvullende risicoprocedures.
  • Alles in kaart gebracht? Een grondig plan opgesteld? Wijs verantwoordelijkheden en taken toe aan de hand van middelen, trainingen en opleidingen.
  • Als het ISMS eenmaal functioneel is, moet het gewaarborgd worden. Dit gebeurt aan de hand van periodieke toetsing om eventuele tekortkomingen afwijkingen in kaart te brengen.

Belang van taakverdeling

Van cruciaal belang in het onderhoud van het ISMS is dat er voldoende steun is en dat er genoeg middelen beschikbaar zijn om het systeem te kunnen handhaven en indien nodig bij te schaven, te polijsten en up te graden. Onderhoud dient altijd periodiek plaats te vinden. Hiervoor kun je het bovenstaande 10-stappenplan gebruiken, maar ook bouwen op de ISO 27001.