Wat is een ISMS in de ISO 27001 norm?
Een ISMS volgens de ISO 27001 norm is dé sleutel tot gestructureerde informatiebeveiliging en risicobeheersing. Ontdek hoe een ISMS werkt, waarom het essentieel is en hoe je het succesvol implementeert.
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlEen ISMS (Information Security Management System) is een managementsysteem voor informatiebeveiliging. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen tegen risico’s zoals cyberaanvallen en datalekken. In ISO 27001, de internationale standaard voor informatiebeveiliging, is een ISMS verplicht en vormt het de basis voor het beheersen, monitoren en continu verbeteren van informatiebeveiliging binnen je organisatie. Hoe richt je een ISMS effectief in? Wat leg je vast in een ISMS? Is er een ISMS voorbeeld? Op deze vragen wordt in dit artikel antwoord gegeven.
Samengevat lees je in dit artikel meer over:
- Wat is een ISMS in ISO 27001?
- Een ISMS voorbeeld: 3 manieren waarop je een ISMS kunt inrichten
- ISMS scope: wat valt binnen en buiten de scope?
Wat is een ISMS?
De ISMS betekenis is een Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging. Met een dergelijk systeem wordt niet gedoeld op een systeem in de vorm van een softwaretool, maar juist op een continu verbeterproces. Een ISMS is namelijk een ‘manier van werken’ waarbij een systematische aanpak wordt gehanteerd om (vertrouwelijke) informatie te managen met als doel de veiligheid ervan borgen, zodat gegevens beschermd zijn tegen risico’s zoals cyberaanvallen en datalekken.
Vanuit een norm, zoals ISO 27001, wordt gevraagd om het optuigen van een Information Security Management System voor ISO 27001. Een ISMS sluit aan bij het beleid en de strategie van je organisatie en dient geïntegreerd te worden in je huidige processen. Het doel van een ISMS is (vertrouwelijke) informatie beter beveiligen.
Wat zijn de ISO 27001 ISMS eisen?
Een ISMS kan naar eigen inzicht ingericht en bestuurd worden. Dat neemt echter niet weg dat er vanuit de ISO 27001 norm wel degelijk een aantal specifieke eisen worden gesteld waaraan een ISO 27001 ISMS dient te voldoen. Vanuit de norm wordt namelijk gevraagd om een managementsysteem in te richten, te implementeren, te onderhouden en continu te verbeteren. Dat laatste kan bijvoorbeeld met behulp van de Plan-Do-Check-Act (PDCA) verbetercyclus.
Een vast onderdeel van die verbetercyclus, en in feite de basis van je ISO 27001 ISMS, is de uitvoering van een ISO 27001 risicoanalyse. Daarmee worden specifieke interne en externe organisatierisico’s rondom informatiebeveiliging in kaart gebracht en vervolgens verlaagd door passende beveiligingsmaatregelen.
Basis van een ISMS: de risicoanalyse 27001
De risicoanalyse vormt een belangrijk onderdeel van de ISO 27001 norm. Middels deze analyse beoordeel je in hoeverre de informatiebeveiliging van je organisatie op een acceptabel niveau is. De risico’s worden in kaart gebracht en daarvoor worden passende beheersmaatregelen opgesteld. Vervolgens ga je aan de slag met verbeteringen om de risico’s beter beheersbaar te maken. Dit kan door middel van een procesgerichte benadering in de vorm van een Plan-Do-Check-Act (PDCA) verbetercyclus. Meer informatie? Lees ook het artikel: ‘De ISO 27001 risicoanalyse uitgelicht’.
Gedocumenteerd ISMS 27001: continu verbeteren
Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt.
Zoals eerder in dit artikel al genoemd is, is een ISMS voor ISO 27001 dus geen statisch systeem, maar een continu verbeterproces voor je organisatie. Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je ISMS up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.
Actuele wet- en regelgeving in je ISMS
Als organisatie ben je verplicht om te voldoen aan bepaalde wet- en regelgeving rondom informatiebeveiliging. Benieuwd? Lees dan: Wet- en regelgeving informatiebeveiliging en ISO 27001
Een ISMS opzetten en implementeren
Iedere organisatie kan een Information Security Management System, ofwel een managementsysteem voor informatiebeveiliging opzetten en implementeren om ervoor te zorgen dat bedrijfsgevoelige informatie geborgd wordt. Wanneer je vervolgens op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je het ISMS laten toetsen en certificeren door een onafhankelijke partij. Je laat je klanten en andere stakeholders zo zien dat zij met een gerust hart zaken met je kunnen doen.
Een dergelijke ISO 27001 certificering wordt uitgegeven door een zogenaamde Certificerende Instantie. Wanneer je dat certificaat wilt behalen, dan moet je kunnen aantonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISO 27001 ISMS hebben gewerkt. Een externe auditor kan vanaf dat moment beoordelen of het ISMS in de praktijk functioneert.
NIS2 wet eist evaluatieproces van cybersecurity maatregelen (ISMS)
Eén van de eisen in de Cyberbeveiligingswet (NIS2) is een ‘evaluatieproces van cyberbeveiligings-maatregelen’.
Het ISMS omvat het evalueren van de beveiligingsmaatregelen op basis van de laatste ontwikkelingen m.b.t. cybersecurity, het testen van de maatregelen en het nemen van maatregelen om zwakke plekken te verhelpen.
Lees het artikel: De NIS2-richtlijn: wat is NIS2 en wat betekent het voor (mkb-)bedrijven?
Wat is de scope van een ISMS?
De scope van een Information Security Management System (ISMS) wordt normaliter beschreven als ‘de informatiebeveiliging van’, ofwel informatie die relevant is voor, te leveren producten en diensten. Voor een lezer van de scope moet duidelijk zijn waar hij/zij de informatiebeveiliging mag verwachten: er moet voldaan worden aan stakeholdereisen.
‘Relevant’ kan daarbij worden gedefinieerd als:
- Alle informatie in een organisatie, en haar te beheersen productieketen, waaronder ook alle interne ondersteunende processen.
- Een subset van bovenstaande (en de beheersing van daarbij relevante uitbestede processen).
Daarbij is het mogelijk en verstandig dat interne (informatiebeveiligings-)regels binnen een organisatie breder gelden dan de gecertificeerde scope.
Een subset kan op verschillende wijzen gespecificeerd worden, maar wordt meestal bepaald door:
- Relevante processen (inclusief uitbestede processen)
- Relevante locaties
- Relevante typen informatie
- Relevante informatiesystemen
- Relevante personen
Daarbij dient de subset zo bepaald te worden dat voldaan kan worden aan de verwachtingen van stakeholders die ontstaan door de scope.
- Voorbeeld: Het uitsluiten van het interne HRM-systeem van een organisatie, wanneer haar scope alleen expliciet (de processen van) het leveren van datacenterdiensten betreft.
- Voorbeeld: Bij de scope worden expliciet tien relevante applicaties benoemd en alle medewerkers die hier toegang tot hebben (of anderszins beïnvloeden/gebruiken):
Daarbij is het realistisch dat de beheersmaatregelen van die tien applicaties kunnen verschillen. Een in-house beheerde applicatie op een server in het pand zal anders veilig worden gehouden dan de SaaS-applicatie van een ISO 27001 (en meer) gecertificeerde wereldwijde aanbieder.
“CAN geeft ons houvast, structuur en een plan van aanpak. Ze zijn onze sparringpartner.”
René Beks – Connectworks
Wat valt buiten de ISMS scope?
Wel is noodzakelijk dat systemen, medewerkers, leveranciers of andere aspecten die buiten de scope worden gelaten, geen onbeheerst risico vormen voor de gedefinieerde scope. Iets buiten de scope verklaren betekent dus dat daar redelijkerwijs een ‘grens’ of beveiligingsmaatregel kan worden toegepast.
- Voorbeeld: Een externe IT-beheerder van een ‘geïsoleerd’ informatiesysteem dat buiten de scope valt, zou geen mogelijkheid moeten hebben tot beïnvloeden van informatie in een systeem binnen de scope.
- Voorbeeld: Een organisatie maakt gebruik van meerdere drukwerkleveranciers. Intern is bepaald dat marketingmateriaal laag geclassificeerd is. Marketingmedewerkers zijn (of het marketingproces is) daarmee de interne grens die ervoor zorgt dat niet elke drukwerkleverancier tot in detail beheerst moet worden. Mogelijk resteert één enkele drukker van hoog geclassificeerde documenten.
Bij organisaties met een IT-landschap met meerdere applicaties (lokaal, datacenter of cloud) en interne en externe beheerders is het daarom nuttig op basis van een informatie- of applicatielijst duidelijk zichtbaar te maken welke (informatie)systemen in scope zijn en waar onder andere de beheerverantwoordelijkheid (een uitbesteed proces) ligt. Het is gebruikelijk ook in een dergelijke lijst een verdere classificatie van belang (BIV) te doen om op basis daarvan ook de ‘zwaarte’ van beheersing vast te stellen. Voorbeelden zijn de omvang van toe te passen change management en teststappen bij wijzigingen aan een dergelijk systeem of de mate van controle van en eisen aan een leverancier.
Bij sterk geïntegreerde of gecombineerde clusters van informatie/systemen, met een duidelijke ‘buitengrens’, is het vaak eenvoudiger deze integraal binnen scope te nemen in plaats van hier scope nuances aan te brengen.
Een ISMS voorbeeld
Met regelmaat krijgen we van organisaties die met informatiebeveiliging aan de slag willen vragen over het Information Security Management System (ISMS) waarbij specifiek wordt gevraagd naar een concreet ISMS voorbeeld in de vorm van of gecombineerd met een ISMS document, ISMS template, ISMS model, ISMS tooling of ISMS software. Vooropgesteld: er zijn meerdere wegen die naar Rome leiden. Hieronder daarom niet één ISMS voorbeeld, maar meerdere manieren om te laten zien dat er allerlei mogelijkheden zijn om het ISMS voor ISO 27001 in te richten. Een ISMS helpt de organisatie namelijk met het managen van informatiebeveiliging. Hoe een organisatie dit managet, is de organisatie haar keuze.
“Een toepasbaar ISMS”
Martijn Stuart (Infield ICT): “Na een selectieproces hebben we gekozen voor CertificeringsAdvies Nederland (CAN) als partner. De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan. Bovendien zijn we bij Infield ICT erg pragmatisch ingesteld. Het is heel makkelijk om je bij ISO te verliezen in regels, richtlijnen en ‘pakken papier’. Dat is precies wat we niet wilden. We wilden het juist toepasbaar maken. Bij dat alles sloot de aanpak van CAN heel goed aan. Zo zijn we met elkaar aan de slag gegaan.”
De hele klantcase van Infield ICT over implementatie van ISO 27001 lezen? Bekijk klantcase.
ISMS voorbeeld 1: Een ISMS handboek
Een bekende en nog steeds veelgebruikte manier: Een ISMS uitgeschreven in een handboek. Ofwel, alle normelementen verwerken in Word- en Exceldocumenten en dit samenvoegen in één groot ISMS document, ook wel handboek genoemd. Op die manier is alles verzameld in één handboek wat ook weer gebruikt kan worden tijdens de externe audit.
Voordelen:
- Makkelijk alles bij elkaar in één handboek;
- Eenvoudig in gebruik;
- Kan dienen als een spiekbriefje tijdens de externe audit;
- Fijn om alles uit te kunnen printen en fysiek te kunnen gebruiken;
- Kan helpen bij de uitleg van het managementsysteem richting collega’s.
Nadelen:
- Het handboek wordt opgesteld met als doel voldoen aan de norm en de normelementen;
- De gedachtegang gaat conform de normenstructuur, terwijl de norm juist aan dient te sluiten op de organisatie;
- Versiebeheer moet goed in de gaten gehouden worden; alles wat uitgeprint wordt is de dag erna mogelijk alweer verouderd;
- Ouderwets, papierentijger en veel onderhoud aan het handboek;
- Het is complex om iets dat in een handboek staat beschreven levendig te maken in een organisatie.
ISMS voorbeeld 2: De mappenstructuur
Veel organisaties hebben een SharePoint of een Google Drive omgeving ingericht waarin alle documenten onderling met elkaar worden gedeeld. In deze deelomgevingen wordt er vaak gewerkt met een ‘mappenstructuur’. Bijvoorbeeld ingedeeld op basis van projecten, offertes, HR en financiële gegevens. Op deze manier kan het ISO 27001 ISMS ook worden opgebouwd. De organisatie kan kiezen om de opbouw van de ISO 27001 norm te hanteren of kan een eigen indeling hanteren en per map de juiste ISMS documenten verzamelen. Dit zou kunnen resulteren in de volgende opbouw:
- H4 Context van de organisatie
- H5 Leiderschap en betrokkenheid
- H6 Planning
- Etc.
Voordelen:
- Ieder ISMS document wordt digitaal opgeslagen en bewaard;
- Versiebeheer verloopt automatisch;
- Verzameling van de documenten in de huidige share-omgeving van de organisatie.
Nadelen:
- Rechten en rollen voor toegang tot deze documenten moeten ook beheerd worden;
- De omgeving moet geback-upt worden;
- Het is minder ‘tastbaar’; wijzigingen moeten wel zichtbaar worden gemaakt voor relevante gebruikers;
- Bepaalde documenten (bijvoorbeeld externe documenten en getekende kopieën) kunnen soms niet eenvoudig digitaal gemaakt worden. Daar moet een plek voor bepaald worden.
ISMS voorbeeld 3: Een ISMS tool als Atlassian, Azure, Dynamics
Veel organisaties die met informatiebeveiliging aan de slag gaan ontwikkelen software of hebben bepaalde softwaretools in de organisatie. Atlassian Confluence, Microsoft Azure (Sharepoint, TEAMS) en Microsoft Dynamics zijn enkele voorbeelden van ISMS tools die in de praktijk terugkomen. Deze zijn gebaseerd op een gedeelde, Wiki-achtige omgeving. In deze omgevingen kan dus ook een managementsysteem gebouwd worden. Zo fungeren deze reeds bestaande tools als ISMS tool of ISMS software. Je kunt zelf alle documenten bepalen die je hierin wilt opnemen en die de organisatie helpen om de informatiebeveiliging duidelijk te managen.
Voordelen:
- Directe aansluiting bij de huidige manier van werken van de organisatie;
- Simultaan editen of werken in relevante documenten en informatie;
- Integratie van actielijsten (met herinneringen), dashboards en rapportages vaak mogelijk;
- Niet zozeer het gevoel dat je een overkill aan het creëren bent voor de organisatie.
Nadelen:
- Vaak een grote investering om aan te schaffen;
- Nieuwe technologie is soms flink ‘wennen’ voor de medewerkers;
- De structuur van de applicatie kan heel prettig werken, maar moeilijk over te zetten zijn naar andere systemen en werkwijzen;
- Praktisch zolang de onderliggende IT-technologie gebruikt wordt. Ontwikkelingen in IT-land gaan soms echter snel;
- Je moet iemand hebben die een systeem kan onderhouden of dit moet uitbesteed worden, wat kan leiden tot extra kosten.
Uitgelicht: Een ISMS opzetten met Atlassian Confluence
Hierboven wordt gesproken over ISMS software of ISMS tooling in de vorm van bestaande systemen waarin een ISMS wordt gebouwd, zoals Atlassian, Azure of Dynamics. Om te laten zien hoe zoiets precies werkt pakken we de ISMS tool Atlassian en dan specifiek de Confluence omgeving als voorbeeld.
Hoe ziet Atlassian ISO 27001 managementsysteem eruit?
Steeds meer (ICT-gerelateerde) organisaties willen een managementsysteem in hun eigen informatiesysteem, bijvoorbeeld Atlassian inrichten. De vraag hiernaar blijft stijgen. Maar wat is Atlassian precies en hoe bouw je daar een managementsysteem in? Confluence is de Wiki-omgeving van Atlassian. Hierin kun je als organisatie al je documentatie zoals beleid, procedures, werkinstructies etc. borgen voor de gehele organisatie. Dat betekent dat er niet meer wordt gewerkt met losse Word- en Exceldocumenten die in een gedeelde omgeving komen te staan, maar echt met een eigen (dagelijks) gebruikt systeem. Daarnaast kan het systeem, indien goed ingericht, bijvoorbeeld automatisch het volgende voor je genereren:
- Een Verklaring van Toepasselijkheid;
- Een Risicoanalyse;
- De Operationele planning.
Hierdoor wordt het beheren en onderhouden van het ISMS een stuk makkelijker.
Atlassian Confluence inrichten als ISMS
Afgelopen jaren zijn we, van CertificeringsAdvies Nederland, bij meerdere organisaties bezig geweest met het opzetten, implementeren, beheren en onderhouden van een managementsysteem in Atlassian Confluence. De betreffende organisaties en de externe auditoren die het systeem kwamen toetsen waren ontzettend enthousiast over de opzet van een dergelijk managementsysteem.
In de afbeeldingen hieronder zie je hoe een dergelijk managementsysteem eruit kan zien:
Automatisch gegenereerde Verklaring van Toepasselijkheid ISO 27001:
Voorbeeld van de risicoanalyse
Voorbeeld van de operationele planning
ISMS in Atlassian opzetten?
Zoals hierboven beschreven hebben wij, van CertificeringsAdvies Nederland, inmiddels meerdere succesvolle implementaties, en bijbehorende certificeringen, met een ISMS in Atlassian Confluence achter de rug. Wij kunnen je helpen om het systeem binnen jouw organisatie te implementeren. Daarbij:
- Kunnen we het gehele systeem voor je inrichten;
- Leggen we je uit hoe alles werkt;
- Koppelen we alle zaken aan elkaar;
- Bereiden we je organisatie zo goed mogelijk voor op certificering.
- Om dit alles te kunnen realiseren hebben wij momenteel zowel een Nederlandse als een Engelse versie in beheer.
ISMS in Atlassian? Vraag demo aan!
Wil jij binnen jouw organisatie ook aan de slag met het opzetten van een ISMS en lijkt Atlassian Confluence jou daarvoor een geschikt systeem, maar weet je niet waar je moet beginnen? Vraag dan geheel vrijblijvend een online demo ISO 27001 & Atlassian aan.
ISMS ISO 27001: hulp nodig?
Wil je meer weten over het opzetten van een (ISO 27001) ISMS en/of aan de slag met ISO 27001? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg en vertellen je graag meer over de mogelijkheden.
Transcriptie video: Wat is een ISMS? (ISO 27001)
Wat is een ISMS? Goede vraag! Een ISMS is in goed Nederlands een Information Security Management System. Of in iets beter Nederlands: een Informatiebeveiligingsmanagagmentsysteem. Maar dat gebruikt bijna niemand. ISMS is wat gangbaarder, want technisch werkveld dus Engels jargon. De soms voorkomende misvatting is dat een ISMS, omdat we het over een technisch discipline hebben wat veel IT-bedrijven hanteren, dat dat een softwaretool moet zijn. En dat is niet zo. Een Information Security Management System is een werkwijze om een thema, namelijk informatiebeveiliging, te managen. Als jij die werkwijze bij wijze van spreken kan met een aantal mooie Word- en Excel documenten, dan heb jij geen andere softwaretool nodig dan anders dan wat je bij veel organisaties ziet: SharePoint om documenten in te plaatsen.Het mooie van een digitale tool is wel dat als je een keuze hebt: beschrijf ik een bepaalde manier van werken door een A4’tje te beschrijven of het in een workflow in een tool te zetten? Beide is toegestaan. Dus als jij door middel van een tool het makkelijker uitvoerbaar maakt dan is dat een mooie bonus, maar niet verplicht.
Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Direct aan de slag met een ISMS inrichten?
Al 500+ organisaties gingen je voor!
- Direct een offerte
- Deskundige adviseur
- Gericht op jouw doelen
