Wat is een ISMS in de ISO 27001 norm?

Een ISMS (Information Security Management System) is een managementsysteem voor informatiebeveiliging. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen tegen risico’s zoals cyberaanvallen en datalekken. In ISO 27001, de internationale standaard voor informatiebeveiliging, is een ISMS verplicht en vormt het de basis voor het beheersen, monitoren en continu verbeteren van informatiebeveiliging binnen je organisatie. Hoe richt je een ISMS effectief in? Wat leg je vast in een ISMS? Is er een ISMS voorbeeld? Op deze vragen wordt in dit artikel antwoord gegeven.

Samengevat lees je in dit artikel meer over:

De ISMS betekenis is een Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging. Met een dergelijk systeem wordt niet gedoeld op een systeem in de vorm van een softwaretool, maar juist op een continu verbeterproces. Een ISMS is namelijk een ‘manier van werken’ waarbij een systematische aanpak wordt gehanteerd om (vertrouwelijke) informatie te managen met als doel de veiligheid ervan borgen, zodat gegevens beschermd zijn tegen risico’s zoals cyberaanvallen en datalekken.

Vanuit een norm, zoals ISO 27001, wordt gevraagd om het optuigen van een Information Security Management System voor ISO 27001. Een ISMS sluit aan bij het beleid en de strategie van je organisatie en dient geïntegreerd te worden in je huidige processen. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen.

Een ISMS kan naar eigen inzicht ingericht en bestuurd worden. Dat neemt echter niet weg dat er vanuit de ISO 27001 norm wel degelijk een aantal specifieke eisen worden gesteld waaraan een ISO 27001 ISMS dient te voldoen. Vanuit de norm wordt namelijk gevraagd om een managementsysteem in te richten, te implementeren, te onderhouden en continu te verbeteren. Dat laatste kan bijvoorbeeld met behulp van de Plan-Do-Check-Act (PDCA) verbetercyclus.

Een vast onderdeel van die verbetercyclus, en in feite de basis van je ISO 27001 ISMS, is de uitvoering van een ISO 27001 risicoanalyse. Daarmee worden specifieke interne en externe organisatierisico’s rondom informatiebeveiliging in kaart gebracht en vervolgens verlaagd door passende beveiligingsmaatregelen.

Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt.

Zoals eerder in dit artikel al genoemd is, is een ISMS voor ISO 27001 dus geen statisch systeem, maar een continu verbeterproces voor je organisatie. Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je ISMS up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.

Iedere organisatie kan een Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging opzetten en implementeren om ervoor te zorgen dat bedrijfsgevoelige informatie geborgd wordt. Wanneer je vervolgens op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je het ISMS laten toetsen en certificeren door een onafhankelijke partij. Je laat je klanten en andere stakeholders zo zien dat zij met een gerust hart zaken met je kunnen doen.

Een dergelijke ISO 27001 certificering wordt uitgegeven door een zogenaamde Certificerende Instantie. Wanneer je dat certificaat wilt behalen, dan moet je kunnen aantonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISO 27001 ISMS hebben gewerkt. Een externe auditor kan vanaf dat moment beoordelen of het ISMS in de praktijk functioneert.

De scope van een Information Security Management System (ISMS) wordt normaliter beschreven als ‘de informatiebeveiliging van’, ofwel informatie die relevant is voor, te leveren producten en diensten. Voor een lezer van de scope moet duidelijk zijn waar hij/zij de informatiebeveiliging mag verwachten: er moet voldaan worden aan stakeholdereisen.

‘Relevant’ kan daarbij worden gedefinieerd als:

Daarbij is het mogelijk en verstandig dat interne (informatiebeveiligings-)regels binnen een organisatie breder gelden dan de gecertificeerde scope.

Een subset kan op verschillende wijzen gespecificeerd worden, maar wordt meestal bepaald door:

Daarbij dient de subset zo bepaald te worden dat voldaan kan worden aan de verwachtingen van stakeholders die ontstaan door de scope.

Daarbij is het realistisch dat de beheersmaatregelen van die tien applicaties kunnen verschillen. Een in-house beheerde applicatie op een server in het pand zal anders veilig worden gehouden dan de SaaS-applicatie van een ISO 27001 (en meer) gecertificeerde wereldwijde aanbieder.

Wel is noodzakelijk dat systemen, medewerkers, leveranciers of andere aspecten die buiten de scope worden gelaten, geen onbeheerst risico vormen voor de gedefinieerde scope. Iets buiten de scope verklaren betekent dus dat daar redelijkerwijs een ‘grens’ of beveiligingsmaatregel kan worden toegepast.

Bij organisaties met een IT-landschap met meerdere applicaties (lokaal, datacenter of cloud) en interne en externe beheerders is het daarom nuttig op basis van een informatie- of applicatielijst duidelijk zichtbaar te maken welke (informatie)systemen in scope zijn en waar onder andere de beheerverantwoordelijkheid (een uitbesteed proces) ligt. Het is gebruikelijk ook in een dergelijke lijst een verdere classificatie van belang (BIV) te doen om op basis daarvan ook de ‘zwaarte’ van beheersing vast te stellen. Voorbeelden zijn de omvang van toe te passen change management en teststappen bij wijzigingen aan een dergelijk systeem of de mate van controle van en eisen aan een leverancier.

Bij sterk geïntegreerde of gecombineerde clusters van informatie/systemen, met een duidelijke ‘buitengrens’, is het vaak eenvoudiger deze integraal binnen scope te nemen in plaats van hier scope nuances aan te brengen.

Met regelmaat krijgen we van organisaties die met informatiebeveiliging aan de slag willen vragen over het Information Security Management System (ISMS) waarbij specifiek wordt gevraagd naar een concreet ISMS voorbeeld in de vorm van of gecombineerd met een ISMS document, ISMS template, ISMS model, ISMS tooling of ISMS software. Vooropgesteld: er zijn meerdere wegen die naar Rome leiden. Hieronder daarom niet één ISMS voorbeeld, maar meerdere manieren om te laten zien dat er allerlei mogelijkheden zijn om het ISMS voor ISO 27001 in te richten. Een ISMS helpt de organisatie namelijk met het managen van informatiebeveiliging. Hoe een organisatie dit managet, is de organisatie haar keuze.

Een bekende en nog steeds veelgebruikte manier: Een ISMS uitgeschreven in een handboek. Ofwel, alle normelementen verwerken in Word- en Exceldocumenten en dit samenvoegen in één groot ISMS document, ook wel handboek genoemd. Op die manier is alles verzameld in één handboek wat ook weer gebruikt kan worden tijdens de externe audit.

Voordelen:

Nadelen:

Veel organisaties hebben een SharePoint of een Google Drive omgeving ingericht waarin alle documenten onderling met elkaar worden gedeeld. In deze deelomgevingen wordt er vaak gewerkt met een ‘mappenstructuur’. Bijvoorbeeld ingedeeld op basis van projecten, offertes, HR en financiële gegevens. Op deze manier kan het ISO 27001 ISMS ook worden opgebouwd. De organisatie kan kiezen om de opbouw van de ISO 27001 norm te hanteren of kan een eigen indeling hanteren en per map de juiste ISMS documenten verzamelen. Dit zou kunnen resulteren in de volgende opbouw:

Voordelen:

Nadelen:

Veel organisaties die met informatiebeveiliging aan de slag gaan ontwikkelen software of hebben bepaalde softwaretools in de organisatie. Atlassian Confluence, Microsoft Azure (Sharepoint, TEAMS) en Microsoft Dynamics zijn enkele voorbeelden van ISMS tools die in de praktijk terugkomen. Deze zijn gebaseerd op een gedeelde, Wiki-achtige omgeving. In deze omgevingen kan dus ook een managementsysteem gebouwd worden. Zo fungeren deze reeds bestaande tools als ISMS tool of ISMS software. Je kunt zelf alle documenten bepalen die je hierin wilt opnemen en die de organisatie helpen om de informatiebeveiliging duidelijk te managen.

Voordelen:

Nadelen:

Hierboven wordt gesproken over ISMS software of ISMS tooling in de vorm van bestaande systemen waarin een ISMS wordt gebouwd, zoals Atlassian, Azure of Dynamics. Om te laten zien hoe zoiets precies werkt pakken we de ISMS tool Atlassian en dan specifiek de Confluence omgeving als voorbeeld.

Steeds meer (ICT-gerelateerde) organisaties willen een managementsysteem in hun eigen informatiesysteem, bijvoorbeeld Atlassian inrichten. De vraag hiernaar blijft stijgen. Maar wat is Atlassian precies en hoe bouw je daar een managementsysteem in? Confluence is de Wiki-omgeving van Atlassian. Hierin kun je als organisatie al je documentatie zoals beleid, procedures, werkinstructies etc. borgen voor de gehele organisatie. Dat betekent dat er niet meer wordt gewerkt met losse Word- en Exceldocumenten die in een gedeelde omgeving komen te staan, maar echt met een eigen (dagelijks) gebruikt systeem. Daarnaast kan het systeem, indien goed ingericht, bijvoorbeeld automatisch het volgende voor je genereren:

Hierdoor wordt het beheren en onderhouden van het ISMS een stuk makkelijker.

Afgelopen jaren zijn we, van CertificeringsAdvies Nederland, bij meerdere organisaties bezig geweest met het opzetten, implementeren, beheren en onderhouden van een managementsysteem in Atlassian Confluence. De betreffende organisaties en de externe auditoren die het systeem kwamen toetsen waren ontzettend enthousiast over de opzet van een dergelijk managementsysteem.

In de afbeeldingen hieronder zie je hoe een dergelijk managementsysteem eruit kan zien:

Automatisch gegenereerde Verklaring van Toepasselijkheid ISO 27001:

Voorbeeld van de risicoanalyse

Voorbeeld van de operationele planning

Zoals hierboven beschreven hebben wij, van CertificeringsAdvies Nederland, inmiddels meerdere succesvolle implementaties, en bijbehorende certificeringen, met een ISMS in Atlassian Confluence achter de rug. Wij kunnen je helpen om het systeem binnen jouw organisatie te implementeren. Daarbij:

ISO 27001 is internationaal dé norm voor informatiebeveiliging. ISO 27701 is een uitbreiding op deze norm en is specifiek gericht op de bescherming van persoonsgegevens (AVG/GDPR) en overige privacywetgeving. Het geeft richtlijnen over de wijze waarop er aan de AVG-wetgeving kan worden voldaan én geeft duidelijkheid over de vereisten die aanwezig moeten zijn binnen je organisatie. 

De basis van de ISO 27701 norm bestaat uit een Privacy Information Management System (PIMS) dat je helpt met het beheren van persoonlijke identificeerbare informatie. Omdat het aanvullende richtlijnen biedt, is het aan te bevelen om de norm in samenhang met ISO 27001 te implementeren óf toe te voegen aan een al bestaand ISMS (Information Security Management System). Certificeren voor de norm is ook alleen mogelijk in combinatie met ISO 27001 (of NEN 7510).

Door het implementeren van een PIMS leg je vast hoe persoonsgegevens binnen jouw organisatie worden verwerkt. Je registreert als het ware welke technische en organisatorische maatregelen je hebt getroffen om aan privacy-eisen (zoals bijvoorbeeld AVG) te voldoen. Let op: ISO 27701 is een privacy-certificering en geen AVG-certificering. Je kunt de certificering wél gebruiken als bewijs wanneer je opdrachtgever vraagt of je voldoet aan de AVG-wet. Toezichthouders refereren ook steeds vaker aan ISO 27001 en ISO 27701.

Door het implementeren van een ISO 27701 PIMS breng je de privacyrisico’s van jouw organisatie in kaart. Vervolgens neem je passende maatregelen die deze risico’s beperken of zelfs elimineren. Daarmee bescherm je jouw organisatie o.a. tegen datalekken en de gevolgen daarvan (zoals een rechtszaak bijvoorbeeld) én bescherm je de gegevens van betrokkenen. Het ISO 27701 PIMS dwingt daarnaast ook af om de rest van je verwerkingsketen te beheersen.

Doordat je met de implementatie van het ISO 27701 PIMS aantoonbaar maakt dat je de bescherming van persoonsgegevens serieus neemt en hier passende maatregelen voor treft, bouw je (wereldwijd) vertrouwen op bij je belanghebbenden. Je privacymaatregelen en databescherming worden structureel gecontroleerd door middel van het certificeringsproces. Hierdoor kun je eenvoudig in kaart brengen hoe het met de naleving van de wet- en regelgeving staat binnen jouw organisatie. Dit scheelt allereerst tijd voor de Privacy Officer/Functionaris Gegevensbescherming. Daarnaast kun je ook bij externe toezichthouders eenvoudig aantonen hoe jij voldoet aan de wet- en regelgeving.

Wil je meer weten over het opzetten van een (ISO 27001) ISMS en/of aan de slag met ISO 27001? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg en vertellen je graag meer over de mogelijkheden.