Wat is een ISMS in de ISO 27001 norm?
Een ISMS vormt de basis van ISO 27001. Maar wat is het? En hoe richt je zoiets in voor jouw organisatie?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlWat is een ISMS? Het begrip ISMS staat voor Information Security Management System. Wanneer je dat vertaalt naar het Nederlands dan staat de ISMS betekenis dus voor ‘een managementsysteem voor informatiebeveiliging’. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen. Wanneer je bijvoorbeeld aan de slag gaat met een norm voor informatiebeveiliging, zoals ISO 27001, de wereldwijde standaard voor informatiebeveiliging, dan dien je voor die ISO 27001 een ISMS in te richten. Maar hoe doe je dat? In dit artikel geven we uitgebreid antwoord op vragen als ‘wat is een ISMS?’ en ‘wat leg je vast in een ISMS?’. Daarnaast geven we een ISMS voorbeeld waarbij we ons niet beperken tot één systeem, maar allerlei manieren laten zien waarop je een ISMS in kan richten. Tot slot zoomen we wat dieper in op een Jira ISMS dat is opgezet in de ISMS tool Atlassian.
Samengevat lees je in dit artikel meer over:
Vanuit een norm, zoals ISO 27001, wordt gevraagd om het optuigen van een Information Security Management System (ISMS). Een ISMS sluit aan bij het beleid en de strategie van je organisatie en dient geïntegreerd te worden in je huidige processen. Het doel van een ISMS is (vertrouwelijke) informatie beter te beveiligen.
Een ISMS is geen tool, maar een proces
Met een Information Security Management System wordt niet gedoeld op een systeem in de vorm van een softwaretool, maar op een continu verbeterproces. Een ISMS is dan ook geen op zichzelf staand systeem, maar juist een manier van werken. Een manier van werken waarbij een systematische aanpak wordt gehanteerd om (vertrouwelijke) informatie te managen, zodat de veiligheid ervan wordt gewaarborgd.
ISMS software
Uiteraard kan bij de inrichting van een ISO 27001 ISMS gebruik worden gemaakt van ISMS tooling of ISMS software zoals een Jira ISMS in Atlassian, een ISMS in Sharepoint, maar ook een ISMS template in of ISMS document dat bijvoorbeeld is opgebouwd in Microsoft Word. Meer daarover lees je verderop in dit artikel.
Wat zijn de ISO 27001 ISMS eisen?
Een ISMS kan naar eigen inzicht ingericht en bestuurd worden. Dat neemt echter niet weg dat er vanuit de ISO 27001 norm wel degelijk een aantal specifieke eisen worden gesteld waaraan een ISO 27001 ISMS dient te voldoen. Vanuit de norm wordt namelijk gevraagd om een managementsysteem in te richten, te implementeren, te onderhouden en continu te verbeteren. Dat laatste kan bijvoorbeeld met behulp van de Plan-Do-Check-Act (PDCA) verbetercyclus.
Een vast onderdeel van die verbetercyclus, en in feite de basis van je ISO 27001 ISMS, is de uitvoering van een ISO 27001 risicoanalyse. Daarmee worden specifieke interne en externe organisatierisico’s rondom informatiebeveiliging in kaart gebracht en vervolgens verlaagd door passende beveiligingsmaatregelen.
Gedocumenteerd ISMS: continu verbeteren
Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt.
De risicoanalyse vormt een belangrijk onderdeel van de ISO 27001 norm. Middels deze analyse beoordeel je in hoeverre de informatiebeveiliging van je organisatie op een acceptabel niveau is. De risico’s worden in kaart gebracht en daarvoor worden passende beheersmaatregelen opgesteld. Vervolgens ga je aan de slag met verbeteringen om de risico’s beter beheersbaar te maken. Dit kan door middel van een procesgerichte benadering in de vorm van een Plan-Do-Check-Act (PDCA) verbetercyclus. Meer informatie? Lees ook het artikel: ‘De ISO 27001 risicoanalyse uitgelicht’.
Zoals eerder in dit artikel al genoemd is, is een ISMS voor ISO 27001 dus geen statisch systeem, maar een continu verbeterproces voor je organisatie. Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je ISMS up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.
Als organisatie ben je verplicht om te voldoen aan bepaalde wet- en regelgeving rondom informatiebeveiliging. Benieuwd? Lees dan: Wet- en regelgeving informatiebeveiliging en ISO 27001
Een gecertificeerd ISO 27001 ISMS: je informatiebeveiliging aantoonbaar op orde
Iedere organisatie kan een Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging opzetten om ervoor te zorgen dat bedrijfsgevoelige informatie geborgd wordt. Wanneer je vervolgens op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je het ISMS laten toetsen en certificeren door een onafhankelijke partij. Je laat je klanten zo zien dat zij met een gerust hart zaken met je kunnen doen.
Een dergelijke ISO 27001 certificering wordt uitgegeven door een zogenaamde Certificerende Instantie. Wanneer je dat certificaat wilt behalen, dan moet je kunnen aantonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISO 27001 ISMS hebben gewerkt. Een externe auditor kan vanaf dat moment beoordelen of het ISMS in de praktijk functioneert.
Martijn Stuart: “Na een selectieproces hebben we gekozen voor CertificeringsAdvies Nederland (CAN) als partner. De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan. Bovendien zijn we bij Infield ICT erg pragmatisch ingesteld. Het is heel makkelijk om je bij ISO te verliezen in regels, richtlijnen en ‘pakken papier’. Dat is precies wat we niet wilden. We wilden het juist toepasbaar maken. Bij dat alles sloot de aanpak van CAN heel goed aan. Zo zijn we met elkaar aan de slag gegaan.” De hele klantcase van Infield ICT lezen? Bekijk klantcase.
Een ISMS voorbeeld
Met regelmaat krijgen we van organisaties die met informatiebeveiliging aan de slag willen vragen over het Information Security Management System (ISMS) waarbij specifiek wordt gevraagd naar een concreet ISMS voorbeeld in de vorm van of gecombineerd met een ISMS document, ISMS template, ISMS model, ISMS tooling of ISMS software. Vooropgesteld: er zijn meerdere wegen die naar Rome leiden. Hieronder daarom niet één ISMS voorbeeld, maar meerdere manieren om te laten zien dat er allerlei mogelijkheden zijn om het ISMS voor ISO 27001 in te richten. Een ISMS helpt de organisatie namelijk met het managen van informatiebeveiliging. Hoe een organisatie dit managet, is de organisatie haar keuze.
ISMS voorbeeld 1: Een ISMS handboek
Een bekende en nog steeds veelgebruikte manier: Een ISMS uitgeschreven in een handboek. Ofwel, alle normelementen verwerken in Word- en Exceldocumenten en dit samenvoegen in één groot ISMS document, ook wel handboek genoemd. Op die manier is alles verzameld in één handboek wat ook weer gebruikt kan worden tijdens de externe audit.
Voordelen:
- Makkelijk alles bij elkaar in één handboek;
- Eenvoudig in gebruik;
- Kan dienen als een spiekbriefje tijdens de externe audit;
- Fijn om alles uit te kunnen printen en fysiek te kunnen gebruiken;
- Kan helpen bij de uitleg van het managementsysteem richting collega’s.
Nadelen:
- Het handboek wordt opgesteld met als doel voldoen aan de norm en de normelementen;
- De gedachtegang gaat conform de normenstructuur, terwijl de norm juist aan dient te sluiten op de organisatie;
- Versiebeheer moet goed in de gaten gehouden worden; alles wat uitgeprint wordt is de dag erna mogelijk alweer verouderd;
- Ouderwets, papierentijger en veel onderhoud aan het handboek;
- Het is complex om iets dat in een handboek staat beschreven levendig te maken in een organisatie.
ISMS voorbeeld 2: De mappenstructuur
Veel organisaties hebben een SharePoint of een Google Drive omgeving ingericht waarin alle documenten onderling met elkaar worden gedeeld. In deze deelomgevingen wordt er vaak gewerkt met een ‘mappenstructuur’. Bijvoorbeeld ingedeeld op basis van projecten, offertes, HR en financiële gegevens. Op deze manier kan het ISO 27001 ISMS ook worden opgebouwd. De organisatie kan kiezen om de opbouw van de ISO 27001 norm te hanteren of kan een eigen indeling hanteren en per map de juiste ISMS documenten verzamelen. Dit zou kunnen resulteren in de volgende opbouw:
- H4 Context van de organisatie
- H5 Leiderschap en betrokkenheid
- H6 Planning
- Etc.
Voordelen:
- Ieder ISMS document wordt digitaal opgeslagen en bewaard;
- Versiebeheer verloopt automatisch;
- Verzameling van de documenten in de huidige share-omgeving van de organisatie.
Nadelen:
- Rechten en rollen voor toegang tot deze documenten moeten ook beheerd worden;
- De omgeving moet geback-upt worden;
- Het is minder ‘tastbaar’; wijzigingen moeten wel zichtbaar worden gemaakt voor relevante gebruikers;
- Bepaalde documenten (bijvoorbeeld externe documenten en getekende kopieën) kunnen soms niet eenvoudig digitaal gemaakt worden. Daar moet een plek voor bepaald worden.
ISMS voorbeeld 3: Een ISMS tool als Atlassian, Azure, Dynamics
Veel organisaties die met informatiebeveiliging aan de slag gaan ontwikkelen software of hebben bepaalde softwaretools in de organisatie. Atlassian Confluence, Microsoft Azure (Sharepoint, TEAMS) en Microsoft Dynamics zijn enkele voorbeelden van tools die in de praktijk terugkomen. Deze zijn gebaseerd op een gedeelde, Wiki-achtige omgeving. In deze omgevingen kan dus ook een managementsysteem gebouwd worden. Zo fungeren deze reeds bestaande tools als ISMS tool of ISMS software. Je kunt zelf alle documenten bepalen die je hierin wilt opnemen en die de organisatie helpen om de informatiebeveiliging duidelijk te managen.
Voordelen:
- Directe aansluiting bij de huidige manier van werken van de organisatie;
- Simultaan editen of werken in relevante documenten en informatie;
- Integratie van actielijsten (met herinneringen), dashboards en rapportages vaak mogelijk;
- Niet zozeer het gevoel dat je een overkill aan het creëren bent voor de organisatie.
Nadelen:
- Vaak een grote investering om aan te schaffen;
- Nieuwe technologie is soms flink ‘wennen’ voor de medewerkers;
- De structuur van de applicatie kan heel prettig werken, maar moeilijk over te zetten zijn naar andere systemen en werkwijzen;
- Praktisch zolang de onderliggende IT-technologie gebruikt wordt. Ontwikkelingen in IT-land gaan soms echter snel;
- Je moet iemand hebben die een systeem kan onderhouden of dit moet uitbesteed worden, wat kan leiden tot extra kosten.
Uitgelicht: Een ISMS opzetten met Atlassian Confluence
Hierboven wordt gesproken over ISMS software of ISMS tooling in de vorm van bestaande systemen waarin een ISMS wordt gebouwd, zoals Atlassian, Azure of Dynamics. Om te laten zien hoe zoiets precies werkt pakken we de ISMS tool Atlassian en dan specifiek de Confluence omgeving als voorbeeld.
Hoe ziet Atlassian ISO 27001 managementsysteem eruit?
Steeds meer (ICT-gerelateerde) organisaties willen een managementsysteem in hun eigen informatiesysteem, bijvoorbeeld Atlassian inrichten. De vraag hiernaar blijft stijgen. Maar wat is Atlassian precies en hoe bouw je daar een managementsysteem in? Confluence is de Wiki-omgeving van Atlassian. Hierin kun je als organisatie al je documentatie zoals beleid, procedures, werkinstructies etc. borgen voor de gehele organisatie. Dat betekent dat er niet meer wordt gewerkt met losse Word- en Exceldocumenten die in een gedeelde omgeving komen te staan, maar echt met een eigen (dagelijks) gebruikt systeem. Daarnaast kan het systeem, indien goed ingericht, bijvoorbeeld automatisch het volgende voor je genereren:
- Een Verklaring van Toepasselijkheid;
- Een Risicoanalyse;
- De Operationele planning.
Hierdoor wordt het beheren en onderhouden van het ISMS een stuk makkelijker.
Atlassian Confluence inrichten als ISMS
Afgelopen jaren zijn we, van CertificeringsAdvies Nederland, bij meerdere organisaties bezig geweest met het opzetten, implementeren, beheren en onderhouden van een managementsysteem in Atlassian Confluence. De betreffende organisaties en de externe auditoren die het systeem kwamen toetsen waren ontzettend enthousiast over de opzet van een dergelijk managementsysteem.
In de afbeeldingen hieronder zie je hoe een dergelijk managementsysteem eruit kan zien:
Automatisch gegenereerde Verklaring van Toepasselijkheid ISO 27001:
Voorbeeld van de risicoanalyse
Voorbeeld van de operationele planning
ISMS in Atlassian opzetten?
Zoals hierboven beschreven hebben wij, van CertificeringsAdvies Nederland, inmiddels meerdere succesvolle implementaties, en bijbehorende certificeringen, met een ISMS in Atlassian Confluence achter de rug. Wij kunnen je helpen om het systeem binnen jouw organisatie te implementeren. Daarbij:
- Kunnen we het gehele systeem voor je inrichten;
- Leggen we je uit hoe alles werkt;
- Koppelen we alle zaken aan elkaar;
- Bereiden we je organisatie zo goed mogelijk voor op certificering.
- Om dit alles te kunnen realiseren hebben wij momenteel zowel een Nederlandse als een Engelse versie in beheer.
Wil jij binnen jouw organisatie ook aan de slag met het opzetten van een ISMS en lijkt Atlassian Confluence jou daarvoor een geschikt systeem, maar weet je niet waar je moet beginnen? Vraag dan geheel vrijblijvend een online demo ISO 27001 & Atlassian aan.
Meer informatie
Wil je meer weten over het opzetten van een ISMS en/of aan de slag met ISO 27001? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg en vertellen je graag meer over de mogelijkheden.
Transcriptie video: Wat is een ISMS? (ISO 27001)
Wat is een ISMS? Goede vraag! Een ISMS is in goed Nederlands een Information Security Management System. Of in iets beter Nederlands: een Informatiebeveiligingsmanagagmentsysteem. Maar dat gebruikt bijna niemand. ISMS is wat gangbaarder, want technisch werkveld dus Engels jargon. De soms voorkomende misvatting is dat een ISMS, omdat we het over een technisch discipline hebben wat veel IT-bedrijven hanteren, dat dat een softwaretool moet zijn. En dat is niet zo. Een Information Security Management System is een werkwijze om een thema, namelijk informatiebeveiliging, te managen. Als jij die werkwijze bij wijze van spreken kan met een aantal mooie Word- en Excel documenten, dan heb jij geen andere softwaretool nodig dan anders dan wat je bij veel organisaties ziet: SharePoint om documenten in te plaatsen.Het mooie van een digitale tool is wel dat als je een keuze hebt: beschrijf ik een bepaalde manier van werken door een A4’tje te beschrijven of het in een workflow in een tool te zetten? Beide is toegestaan. Dus als jij door middel van een tool het makkelijker uitvoerbaar maakt dan is dat een mooie bonus, maar niet verplicht.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
ISMS inrichten dat past bij jouw organisatie?
Vraag vrijblijvend een offerte op maat aan!
- Snel contact
- Direct inzicht
- Praktische tips
- I.c.m. ISO 27001
