Er bestaat de nodige verwarring over het begrip ISMS. Wat is een ISMS nu eigenlijk precies? En waarom zou je dit moeten inzetten? Veel mensen denken dat een ISMS een softwareoplossing is. En dat is ook wel begrijpelijk. In vrijwel alle gevallen wordt software (zoals Normity) ingezet om te voldoen aan de eisen die een ISMS aan een organisatie stelt. Maar toch ligt het genuanceerder. Tijd voor een verhelderend artikel!
Allereerst de afkorting ISMS zelf: deze staat voor Information Security Management System, ofwel in Nederlands een managementsysteem voor informatiebeveiliging. Het woord 'systeem' daarin moet je niet zien als informatiesysteem of computerprogramma, maar meer als een systematische manier waarmee een organisatie met iets omgaat, in dit geval informatiebeveiliging. Door een ISMS op te tuigen en te gebruiken, borg je informatiebeveiliging in je organisatie.
Het ISMS stelt eisen aan je organisatie op het gebied van informatiebeveiliging (en privacy). Zo vraagt het om:
De ISO 27001 norm is een wereldwijd erkende standaard die gaat over informatiebeveiliging. Met ISO 27001 certificering laat je zien dat je een managementsysteem hebt geïmplementeerd - een ISMS dus - dat voldoet aan alle eisen rondom informatiebeveiliging. De norm laat zien hoe je procesmatig om moet gaan met het beveiligen van informatie. Het uiteindelijke doel? De vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker stellen. Dit wordt in de basis bereikt door het beheersen van risico's.
Verder bevat ISO 27001 een zogenaamde Annex A waarin een groot aantal beheermaatregelen (controls) wordt beschreven. Deze hebben een variatie aan onderwerpen, zoals beveiliging personeel, toegangscontrole, cryptografie, fysieke beveiliging en leveranciersrelaties. Deze kun je naar keuze van toepassing laten zijn op je organisatie.
Als je als organisatie informatiebeveiliging serieus wilt nemen, zul je merken dat dit een uitgebreid, complex onderwerp is waarin het speelveld steeds blijft veranderen. Echt een bewegend doel, draaiend om mensen, organisatie, techniek en fysiek. Hierdoor heb je behoefte aan houvast en structuur. Een ISMS biedt deze structuur door de eerdergenoemde eisen te stellen aan je organisatie, o.a. op het gebied van leiderschap, documentatie, betrokkenheid, bewustwording en continue verbetering.
En omdat veel draait om zaken als vastlegging, verantwoordelijkheden, reguliere cycli en daarbij horende repeterende taken en eenmalige acties, zul je niet verbaasd zijn dat software daarbij efficiënt en effectief kan helpen. Zozeer zelfs, dat ondersteunende software zelf ISMS wordt genoemd, wat strikt gezien niet klopt.
Ps: Mensen, organisatie, techniek en fysiek zijn ook de bouwstenen in de ISO 27002:2022 norm (en de komende update van de ISO 27001 norm).
In de dynamische wereld van informatiebeveiliging is het raadzaam dat je je organisatie blijft wapenen tegen de steeds veranderende dreigingen van buitenaf. Je ontkomt dus niet aan continue verbetering die geborgd moet worden in je organisatie. Een van de meest gebruikte modellen is hiervoor PDCA: Plan, Do, Check en Act.
In het PDCA-model kijk je bij Plan naar je huidige situatie en maak je een plan voor de verbetering van deze situatie. Dit kan bijvoorbeeld door GAP-analyses of risico-analyses. Is dat duidelijk, dan worden bij Do maatregelen getroffen. Bijvoorbeeld om risico's te mitigeren of communicatie te verbeteren. Bij Check kijk je of de verbetering het gewenste resultaat brengt. Bij Act stel je eventueel je je verbetering bij n.a.v. de gevonden resultaten bij Check. Daarna begin je opnieuw met nieuwe verbeteringen. Het is essentieel om alle stappen van de cyclus te doorlopen. Deze cyclus sluit vaak goed aan bij bestaande cycli binnen organisaties, bijvoorbeeld de P&C cyclus van gemeenten.Je kunt een ISMS schematisch als volgt weergeven:
Normity is ontstaan vanwege de uitdaging om een complex ISMS, een beheersysteem op zich, zelf te beheren. Want al snel zie je door de veelheid aan vaak onderling gerelateerde informatie, vastgelegd in diverse systemen, onderhouden door diverse personen over verschillende disciplines door de bomen het bos niet meer. En je auditor ook niet.
Wij hebben deze puzzel opgelost. Organisaties krijgen met Normity een veilig, efficiënt, betaalbaar en effectief systeem waarmee een ISMS succesvol kan worden opgezet, geïmplementeerd en onderhouden. Voor jezelf of om daarmee cpompliant te zijn aan ISO 27001 en/of NEN 7510. Normity biedt alle functionaliteit die je hiervoor nodig hebt. Denk aan zaken als het vastleggen, inschatten en beheersen van risico's, het beheren van competenties, documentbeheer, het vastleggen, monitoren... en natuurlijk het voorbereiden op de audit! En nog veel meer...
Geïnteresseerd in Normity? Vraag een gratis demo aan of geef ons een belletje op 085 - 00 46 605. Wij horen graag van je!