In de ISO 27001 norm, de wereldwijde standaard voor informatiebeveiliging, wordt gesproken over een ISMS. Maar wat is een ISMS? Wat is het doel van een ISMS en wat leg je nu eigenlijk precies vast in een ISMS? In dit artikel geven wij een antwoord op al die vragen.
Wat is een ISMS in ISO 27001?
De afkorting ISMS staat voor Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging. Een ISMS sluit aan bij het beleid en de strategie van je organisatie en dient geïntegreerd te worden in je huidige processen. Het doel van een ISMS is (vertrouwelijke) informatie beter te beveiligen.
Lees ook het artikel: Een ISMS voorbeeld nodig? 3 concrete manieren waarop je een ISMS in kunt richten
Een ISMS is geen tool, maar een proces
Met een Information Security Management System wordt niet gedoeld op een systeem in de vorm van een softwaretool, maar op een continu verbeterproces. Een ISMS is dan ook geen op zichzelf staand systeem, maar juist een manier van werken. Een manier van werken waarbij een systematische aanpak wordt gehanteerd om (vertrouwelijke) informatie te managen, zodat de veiligheid ervan wordt gewaarborgd.
Wil je meer weten over ISO 27001? [Whitepaper]
Download dan geheel vrijblijvend onze handige ‘ISO 27001 gids voor informatiebeveiliging‘ en ontdek wat er allemaal komt kijken bij een ISO 27001 certificering.
ISMS eisen vanuit ISO 27001
Een ISMS kan naar eigen inzicht ingericht en bestuurd worden. Dat neemt echter niet weg dat er vanuit de ISO 27001 norm wel degelijk een aantal specifieke eisen worden gesteld waaraan een ISMS dient te voldoen. Vanuit de norm wordt namelijk gevraagd om een managementsysteem in te richten, te implementeren, te onderhouden en continu te verbeteren. Dat laatste kan bijvoorbeeld met behulp van de Plan-Do-Check-Act (PDCA) verbetercyclus.
Een vast onderdeel van die verbetercyclus, en in feite de basis van je ISMS, is de uitvoering van een ISO 27001 risicoanalyse. Daarmee worden specifieke interne en externe organisatierisico’s rondom informatiebeveiliging in kaart gebracht en vervolgens verlaagd door passende beveiligingsmaatregelen.
Gedocumenteerd ISMS: continu verbeteren
Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt.
De risicoanalyse in ISO 27001
De risicoanalyse vormt een belangrijk onderdeel van de ISO 27001 norm. Middels deze analyse beoordeel je in hoeverre de informatiebeveiliging van je organisatie op een acceptabel niveau is. De risico’s worden in kaart gebracht en daarvoor worden passende beheersmaatregelen opgesteld. Vervolgens ga je aan de slag met verbeteringen om de risico’s beter beheersbaar te maken. Dit kan door middel van een procesgerichte benadering in de vorm van een Plan-Do-Check-Act (PDCA) verbetercyclus.
Meer informatie? Lees ook het artikel: ‘De ISO 27001 risicoanalyse uitgelicht’.
Zoals eerder in dit artikel al genoemd is, is een ISMS dus geen statisch systeem, maar een continu verbeterproces voor je organisatie. Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je ISMS up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.
ISO 27001 certificaat: je informatiebeveiliging aantoonbaar op orde
Iedere organisatie kan een managementsysteem voor informatiebeveiliging opzetten om ervoor te zorgen dat bedrijfsgevoelige informatie geborgd wordt. Wanneer je vervolgens op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je het ISMS laten toetsen en certificeren door een onafhankelijke partij. Je laat je klanten zo zien dat zij met een gerust hart zaken met je kunnen doen.
Download vrijblijvend een impressie van ons managementsysteem
Ben je benieuwd naar een impressie van ons managementsysteem? Download dan gratis de whitepaper: Impressie managementsysteem.
Een dergelijke ISO 27001 certificering wordt uitgegeven door een zogenaamde certificerende instantie. Wanneer je dat certificaat wilt behalen, dan dien je te kunnen aantonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Een externe auditor kan vanaf dat moment beoordelen of het ISMS in de praktijk functioneert.
