ISMS voorbeeldMet regelmaat krijg ik van bedrijven die met informatiebeveiliging aan de slag willen vragen over het Information Security Management System (ISMS). Eerder al beschreef ik in het blogartikel ‘Wat is een ISMS in de ISO 27001 norm’ waar de afkorting ISMS voor staat, dat het geen tool is maar een proces, wat de eisen vanuit de norm zijn en wat je eigenlijk allemaal vast dient te leggen in een ISMS. Vanuit bedrijven is er echter ook regelmatig vraag naar een concreet ISMS voorbeeld. Daarom besteed ik in dit blogartikel aandacht aan een aantal ISMS voorbeelden en de daarbij behorende voor- en nadelen.

ISMS: Een korte opfrisser

De afkorting ISMS staat voor Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging. Een ISMS sluit aan bij het beleid en de strategie van je organisatie en dient geïntegreerd te worden in je huidige processen. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen.

Alles weten over ISO 27001? [Whitepaper]

Wil jij alles weten over ISO 27001? Download dan geheel vrijblijvend onze handige informatiegids ISO 27001.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

Een ISMS helpt de organisatie met het managen van informatiebeveiliging. Hoe een organisatie dit managet, is de organisatie haar keuze. Een aantal voorbeelden die veel voorkomen in de praktijk worden hieronder kort toegelicht.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

ISMS voorbeeld 1: Een ISMS-handboek

Een bekende en nog steeds veelgebruikte manier: Een ISMS uitgeschreven in een handboek. Ofwel, alle normelementen verwerken in Word- en Exceldocumenten en dit samenvoegen in één groot handboek. Op die manier is alles verzameld in één handboek wat ook weer gebruikt kan worden tijdens de externe audit.

Voordelen:

  1. Makkelijk alles bij elkaar in één handboek;
  2. Eenvoudig in gebruik;
  3. Kan dienen als een spiekbriefje tijdens de externe audit;
  4. Fijn om alles uit te kunnen printen en fysiek te kunnen gebruiken;
  5. Kan helpen bij de uitleg van het managementsysteem richting collega’s.

Nadelen:

  1. Het handboek wordt opgesteld met als doel voldoen aan de norm en de normelementen;
  2. De gedachtegang gaat conform de normenstructuur, terwijl de norm juist aan dient te sluiten op de organisatie;
  3. Versiebeheer moet goed in de gaten gehouden worden; alles wat uitgeprint wordt is de dag erna mogelijk alweer verouderd;
  4. Ouderwets, papierentijger en veel onderhoud aan het handboek;
  5. Het is complex om iets dat in een handboek staat beschreven levendig te maken in een organisatie.

Lees ook het artikel: Waarom ISO 27001 behalen? 5 redenen om ermee aan de slag te gaan

ISMS voorbeeld 2: De mappenstructuur

Veel organisaties hebben een SharePoint of een Google Drive omgeving ingericht waarin alle documenten onderling met elkaar worden gedeeld. In deze deelomgevingen wordt er vaak gewerkt met een ‘mappenstructuur’. Bijvoorbeeld ingedeeld op basis van projecten, offertes, HR en financiële gegevens. Op deze manier kan het ISMS ook worden opgebouwd. De organisatie kan kiezen om de opbouw van de ISO 27001 norm te hanteren of kan een eigen indeling hanteren en per map de juiste documenten verzamelen. Dit zou kunnen resulteren in de volgende opbouw:

  • H4 Context van de organisatie
  • H5 Leiderschap en betrokkenheid
  • H6 Planning
  • Etc.

Voordelen:

  1. Documenten worden digitaal opgeslagen en bewaard;
  2. Versiebeheer verloopt automatisch;
  3. Verzameling van de documenten in de huidige share-omgeving van de organisatie.

Nadelen:

  1. Rechten en rollen voor toegang tot deze documenten moeten ook beheerd worden;
  2. De omgeving moet geback-upt worden;
  3. Het is minder ‘tastbaar’; wijzigingen moeten wel zichtbaar worden gemaakt voor relevante gebruikers;
  4. Bepaalde documenten (bijvoorbeeld externe documenten en getekende kopieën) kunnen soms niet eenvoudig digitaal gemaakt worden. Daar moet een plek voor bepaald worden.

ISMS voorbeeld 3: Atlassian, Azure, Dynamics

Veel organisaties die met informatiebeveiliging aan de slag gaan ontwikkelen software of hebben bepaalde softwaretools in de organisatie. Atlassian Confluence, Azure (Sharepoint, TEAMS) en Dynamics zijn enkele voorbeelden van tools die ik tegenkom in de praktijk. Deze zijn gebaseerd op een gedeelde, Wiki-achtige omgeving. In deze omgevingen kan dus ook een managementsysteem gebouwd worden. Je kunt zelf alle documenten bepalen die je hierin wilt opnemen en die de organisatie helpen om de informatiebeveiliging duidelijk te managen.

Voordelen:

  1. Directe aansluiting bij de huidige manier van werken van de organisatie;
  2. Simultaan editen of werken in relevante documenten en informatie;
  3. Integratie van actielijsten (met herinneringen), dashboards en rapportages vaak mogelijk;
  4. Niet zozeer het gevoel dat je een overkill aan het creëren bent voor de organisatie.

Nadelen:

  1. Vaak een grote investering om aan te schaffen;
  2. Nieuwe technologie is soms flink ‘wennen’ voor de medewerkers;
  3. De structuur van de applicatie kan heel prettig werken, maar moeilijk over te zetten zijn naar andere systemen en werkwijzen;
  4. Praktisch zolang de onderliggende IT-technologie gebruikt wordt. Ontwikkelingen in IT-land gaan soms echter snel;
  5. Je moet iemand hebben die een systeem kan onderhouden of dit moet uitbesteed worden, wat kan leiden tot extra kosten.

Ondersteuning nodig bij het opzetten van je ISMS?

Wil je graag aan de slag met een ISMS binnen je organisatie? Maar weet je niet waar je moet beginnen? Of ben je juist benieuwd naar de oplossing die het beste past bij jouw organisatie en wil je daar graag eens over sparren? Neem dan gerust contact met mij op. Ik help je graag verder op weg met de implementatie!

NEEM CONTACT OP


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl