Informatiebeveiliging

ISMS

De term ISMS leidt nogal eens tot verwarring. Is het een systeem, een werkwijze, een set documenten? Kortgezegd is een ISMS een reeks beleidsregels en procedures voor het systematisch beheren van gevoelige gegevens van een organisatie. De afkorting ISMS staat voor Information Security Management System. Ofwel een managementsystemen voor informatiebeveiliging. Het doel van een ISMS is om informatie beter te beveiligen, risico's te minimaliseren en de bedrijfscontinuïteit te waarborgen.

Een ISMS richt zich over het algemeen op het gedrag en de processen van werknemers, op de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en op de toepassing van technologie. Het kan gericht zijn op een bepaald type gegevens, zoals klantgegevens, maar het kan ook op de organisatie als geheel zijn toegepast. In dat laatste geval is het echt onderdeel van de bedrijfscultuur geworden.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Normity

Normity levert een kwaliteitsmanagementsysteem, geschikt voor iedere organisatie die kwaliteit meer aandacht wilt geven. Of het nu voor een certificering is of niet, Normity voelt zich thuis in iedere sector. Wij richten ons primair op de sectoren zorg & welzijn, overheden, industrie en zakelijke dienstverlening.

ISMS

Hoe werkt een ISMS?

Een ISMS biedt een systematische aanpak voor het managen van de informatiebeveiliging binnen een organisatie. Zoals gezegd is een ISMS een systeem, en geen software (hoewel handige software als Normity jou natuurlijk wel kan ondersteunen). Het is in de eerste plaats een management instrument om de informatiebeveiliging te waarborgen en besturen. Integraal onderdeel van de informatiebeveiliging zijn beleidsrichtlijnen die iedereen kent en toepast. Deze richtlijnen zijn erop gericht de beveiligingsrisiconiveaus binnen een organisatie te controleren en beheren.

ISO/IEC 27001 is de internationale standaard voor informatiebeveiliging en voor het opstellen en beheren van een ISMS binnen jouw organisatie. De norm is gepubliceerd door de Internationale Organisatie voor Standaardisatie en de Internationale Elektrotechnische Commissie. De norm zelf schrijft geen specifieke acties voor. De norm bevat een reeks van suggesties op verschillende gebieden, zoals documentatie, interne audits, voortdurende verbetering en corrigerende en preventieve maatregelen.

Wil je als organisatie gecertificeerd worden tegen de ISO 27001 norm, dan moet je een ISMS opzetten en beheren. Dit ISMS moet tenminste het volgende bereiken:

  • de risico's op het gebied van informatiebeveiliging zijn geïdentificeerd
  • de maatregelen om deze informatie te beschermen zijn vastgesteld
  • de maatregelen worden op gestructureerde wijze uitgevoerd en beoordeeld
  • er ligt een plan van aanpak wanneer een inbreuk op de beveiliging plaatsvindt
  • personen zijn verantwoordelijk gemaakt voor iedere stap in het proces

Het gaat hierbij niet per se over het maximaliseren van de informatiebeveiliging. Dat is ook een utopie. Het gaat erom dat je het gewenste niveau van informatiebeveiliging bereikt. Dit kan per markt, per sector, per organisatie, zelfs per regio verschillen. Zo kan het zomaar zijn dat de eisen voor een leverancier van een Electronisch Cliëntdossier (ECD) behoorlijk hoger liggen dan die van een lokale kapper.

Voordelen van een ISMS

De voordelen van het opzetten en beheren van een ISMS zijn legio. Voorwaarde is natuurlijk wel dat de noodzaak van informatiebeveiliging binnen een organisatie echt gevoeld wordt. Het opzetten van een ISMS alleen voor het behalen van een ISO 27001 of NEN 7510 certificaat is zeker mogelijk, maar dan pluk je niet de vruchten van een goed opzet ISMS. Deze voordelen zijn onder andere:

  • Gegevensbescherming
    Een ISMS beschermt alle soorten informatie binnen de organisatie, of ze nu op papier staan, digitaal worden bewaard of zich in de cloud bevinden. Ook de inhoud kan van alles zijn: van persoonlijke gegevens tot gegevens omtrent intellectueel eigendom en van financiële gegevens tot klantgegevens. Al deze informatie valt onder de paraplu van het ISMS.
  • Compliancy
    Compliancy heeft betrekking op het voldoen aan wet- en regelgeving. Een ISMS helpt organisaties te voldoen aan alle wettelijke nalevings- en contractuele vereisten. Het geeft de organisatie een goed inzicht in de wettelijke voorschriften voor informatiesystemen. Denk hierbij ook eens aan de hoge boetes voor overtredingen!
  • Bedrijfscontinuïteit
    Een investering in een ISMS betekent een investering in beveiliging. Hoewel incidenten nooit kunnen worden uitgesloten, betekent het dat je minder kwetsbaar wordt voor aanvallen en incidenten. Bovendien kun je sneller reageren, mocht zo'n incident zich toch voordoen.
  • Kostenvermindering
    Een ISMS leidt tot minder kosten voor een organisatie. Je hebt meer grip op kwaliteit, je weet beter waar risico's spelen, je hebt prioriteiten gesteld aan je activiteiten. Je bent beter op de hoogte van je assets, interne en externe communicatie verbetert. Bovendien ben je minder kwetsbaar voor downtime, onnodige uitgaven, incidenten etc.
  • Bedrijfscultuur
    Een ISMS zorgt voor een uniforme en allesomvattende aanpak op het gebied van beveiliging en asset- en informatiemanagement. En dat is zeker niet beperkt tot de IT afdeling. Medewerkers voelen zich onderdeel van de organisatie en de informatiebeveiliging, begrijpen risico's beter en passen het beleid dagelijks toe.
  • Aanpassingsvermogen
    Dreigingen ontwikkelen zich, nieuwe risico's verschijnen. Informatiebeveiliging verdient continu aandacht. Een ISMS helpt organisaties zich voor te bereiden op en zich aan te passen aan bedreigingen, risico's en kansen.

ISMS implementeren

Er zijn verschillende manieren om een ISMS op te zetten. Het loont dan ook zeker de moeite om je vooraf goed te laten informeren. Normity kan jou daar overigens prima in adviseren! Vanzelfsprekend biedt de ISO 27001 norm jou veel houvast. Ook de NEN 7510 is een zinvolle norm wanneer je in de zorgsector werkzaam bent. De ISO 27002 bevat een hele reeks best practices. De BIO norm is een toegepaste versie van de ISO 27001 voor overheden. De PDCA cyclus kan jou helpen om continue verbetering te implementeren.

Ga je aan de slag met het opzetten van een ISMS? Doorloop dan de volgende stappen:

  • Scope en doelstellingen
    Bepaal welke informatie beschermd moet worden, en leg vast waarom je deze moet beschermen. Neem daarbij de belangen van de betrokkenen mee, zoals klanten, aandeelhouders, overheden etc. Definieer duidelijke doestellingen op het gebied van informatiebeveiliging.
  • Bedrijfsmiddelen
    Maak een inventarisatie van de bedrijfsmiddelen. Denk hierbij aan zaken als hardware, software, diensten, databases etc. Stel daarbij vast welke informatie binnen die bedrijfsmiddelen stroomt.
  • Risico's
    Heb je je bedrijfsmiddelen in beeld? Leg dan vast welke risico's er spelen. Beoordeel per risico wat de kans en impact is. Ken een eigenaar toe aan alle risico's. Bepaal vervolgens hoe je om wilt gaan met de risico's. Accepteer je het risico? Of ga je ermee aan de slag?
  • Maatregelen
    Het is tijd om een strijdplan te maken (ook wel risicobehandelplan genoemd). Hoe ga je de niet-geaccepteerde risico's aanpakken? Probeer daarbij overigens niet alles zelf te bedenken: je bent echt niet de eerste organisatie die een procedure voor backup en restore moet verbeteren!
  • Verbeteringen
    Het is natuurlijk de vraag of jouw strijdplan wel zo succesvol blijkt te zijn als je vooraf had gedacht. Het is dan ook zaak om de effectiviteit regelmatig te controleren. Wellicht constateer je dat het niet zo effectief was, of je ontdekt nieuwe risico's. In dat geval stel je weer nieuwe maatregelen vast.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

De begrippen 'privacy by design' en 'privacy by default' hebben binnen de AVG een belangrijke rol. We nemen in dit artikel de term 'privacy by design' onder de loep.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

De begrippen 'privacy by design' en 'privacy by default' hebben binnen de AVG een belangrijke rol. We nemen in dit artikel de term 'privacy by default' onder de loep.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Waarom heb je een KMS nodig?

Als je het op straat zou vragen, zou iedereen bij de vraag 'wat is kwaliteit?' een ander antwoord geven. Het is ook een moeilijk begrip. Kwaliteit kent vele vormen en betekenissen.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Het verschil tussen ISO 27001 en ISO 27002

De meeste mensen die zich bezighouden met informatiebeveiliging zullen weleens gehoord hebben van ISO27001. Het is immers de meest bekende standaard op dit gebied. Dat ISO27002 een soort van uitbreiding is op ISO27001, dat is minder bekend. In deze blog leggen we in het kort uit wat de twee normen inhouden, wat het verschil is en wanneer je welke norm kunt gebruiken.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 4 - De links

In 4 artikelen kijken we samen hoe je phishing berichten eenvoudiger kunt herkennen. Inmiddels zijn we aanbeland bij de vierde en laatste rode vlag: de links.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 3 - De inhoud

In 4 artikelen kijken we samen hoe je phishing berichten eenvoudiger kunt herkennen. In eerdere artikelen keken we naar de afzender en inhoud. In dit artikel kijken we naar de derde rode vlag: de inhoud.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 2 - De aanhef

In 4 artikelen kijken we samen hoe je phishing berichten eenvoudiger kunt herkennen. In het vorige artikel hebben we stilgestaan bij de eerste rode vlag, namelijk de afzender van het mailbericht. De tweede rode vlag die we in deze week bespreken: de aanhef.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 1 - De afzender

In de aankomende weken gaan we samen kijken hoe je phishing berichten kunt herkennen. Natuurlijk vertellen we je eerst even wat phishing is, maar daarna gaan we snel kijken hoe jij snel phishing mailtjes kunt herkennen. Dit doen we door in de aankomende vier weken iedere week een element te bespreken waaraan je een phishing berichtje kunt herkennen. 4 rode vlaggen om jou alert te maken en te houden!

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

4-O-systematiek

Een geconstateerde afwijking is natuurlijk vervelend. Maar hoe zorg je er nu voor dat je de afwijking afdoende hebt aangepakt? Een mooie manier om dit inzichtelijk te maken is de 4-O-systematiek (Oorzaak, Omvang, Oplossing en Operationaliteit).

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wat is een verwerking?

De Algemene verordening gegevensbescherming (AVG) spreekt over het verwerken van persoonsgegevens. Wat valt hier onder? In dit artikel lichten we dit begrip toe.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Bedieningsprocedure

In Annex 12.1.1 van ISO27001 komt de term Bedieningsprocedure voor. Benieuwd wat dit betekent? Wij leggen het uit, en vertellen je hoe je deze kunt opzetten.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Clean desk

Clean desk staat voor een schoon en georganiseerd bureau. Vaak wordt clean desk in een adem genoemd met clean screen: een zo leeg mogelijk computerscherm. Clean desk heeft voordelen. Minder afleiding, beter schoonmaken, meer controle.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Omgevingsbewust

We werken nu vaak vanuit huis. Dat betekent een heel andere omgeving dan op kantoor. Je hebt niet alleen te maken met collega's, maar ook misschien met kinderen, de schoonmaakster, je partner etc. En thuis regel je in principe zelf je netwerk.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wachtwoorden

Zijn er echt overeenkomsten tussen wachtwoorden en onderbroeken? Een interessante (en rare) vraag. Volgens Kaspersky Lab klopt deze vergelijking in ieder geval wel. Tijd om te onderzoeken wat dan precies die overeenkomsten zijn. En misschien leren we onderweg ook nog iets!

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing

Phishing is een vorm van oplichting. Het gebeurt via e-mail, WhatsApp en SMS. Vaak probeert de afzender jou naar een website te lokken. Hier tips om je te beschermen!

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wifi

Wifi is niet meer weg te denken uit de moderne wereld. Moeiteloos maak je verbinding met het internet. Om even je sociale media te checken, je mail op te halen of een film te downloaden. In dit artikel kijken we hoe je veiliger thuis kunt werken met wifi.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Microsoft Teams

Thuiswerken is het nieuwe normaal geworden. Waar we voorheen elkaar opzochten op kantoor, zitten we nu met elkaar in een Microsoft Teams meeting. Voor de meeste van ons werkt dat goed. Maar het moet ook veilig zijn. Wij hebben een paar tips voor je op een rijtje gezet.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

ISMS

Er bestaat de nodige verwarring over het begrip ISMS. Wat is een ISMS nu eigenlijk precies? En waarom zou je dit moeten inzetten? Veel mensen denken dat een ISMS een softwareoplossing is. En dat is ook wel begrijpelijk. In vrijwel alle gevallen wordt software (zoals Normity) ingezet om te voldoen aan de eisen die een ISMS aan een organisatie stelt. Maar toch ligt het genuanceerder. Tijd voor een verhelderend artikel!

Marcel van Langen

Meer weten?

Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!

Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management