De term ISMS leidt nogal eens tot verwarring. Is het een systeem, een werkwijze, een set documenten? Kortgezegd is een ISMS een reeks beleidsregels en procedures voor het systematisch beheren van gevoelige gegevens van een organisatie. De afkorting ISMS staat voor Information Security Management System. Ofwel een managementsystemen voor informatiebeveiliging. Het doel van een ISMS is om informatie beter te beveiligen, risico's te minimaliseren en de bedrijfscontinuïteit te waarborgen.
Een ISMS richt zich over het algemeen op het gedrag en de processen van werknemers, op de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en op de toepassing van technologie. Het kan gericht zijn op een bepaald type gegevens, zoals klantgegevens, maar het kan ook op de organisatie als geheel zijn toegepast. In dat laatste geval is het echt onderdeel van de bedrijfscultuur geworden.
Een ISMS biedt een systematische aanpak voor het managen van de informatiebeveiliging binnen een organisatie. Zoals gezegd is een ISMS een systeem, en geen software (hoewel handige software als Normity jou natuurlijk wel kan ondersteunen). Het is in de eerste plaats een management instrument om de informatiebeveiliging te waarborgen en besturen. Integraal onderdeel van de informatiebeveiliging zijn beleidsrichtlijnen die iedereen kent en toepast. Deze richtlijnen zijn erop gericht de beveiligingsrisiconiveaus binnen een organisatie te controleren en beheren.
ISO/IEC 27001 is de internationale standaard voor informatiebeveiliging en voor het opstellen en beheren van een ISMS binnen jouw organisatie. De norm is gepubliceerd door de Internationale Organisatie voor Standaardisatie en de Internationale Elektrotechnische Commissie. De norm zelf schrijft geen specifieke acties voor. De norm bevat een reeks van suggesties op verschillende gebieden, zoals documentatie, interne audits, voortdurende verbetering en corrigerende en preventieve maatregelen.
Wil je als organisatie gecertificeerd worden tegen de ISO 27001 norm, dan moet je een ISMS opzetten en beheren. Dit ISMS moet tenminste het volgende bereiken:
Het gaat hierbij niet per se over het maximaliseren van de informatiebeveiliging. Dat is ook een utopie. Het gaat erom dat je het gewenste niveau van informatiebeveiliging bereikt. Dit kan per markt, per sector, per organisatie, zelfs per regio verschillen. Zo kan het zomaar zijn dat de eisen voor een leverancier van een Electronisch Cliëntdossier (ECD) behoorlijk hoger liggen dan die van een lokale kapper.
De voordelen van het opzetten en beheren van een ISMS zijn legio. Voorwaarde is natuurlijk wel dat de noodzaak van informatiebeveiliging binnen een organisatie echt gevoeld wordt. Het opzetten van een ISMS alleen voor het behalen van een ISO 27001 of NEN 7510 certificaat is zeker mogelijk, maar dan pluk je niet de vruchten van een goed opzet ISMS. Deze voordelen zijn onder andere:
Er zijn verschillende manieren om een ISMS op te zetten. Het loont dan ook zeker de moeite om je vooraf goed te laten informeren. Normity kan jou daar overigens prima in adviseren! Vanzelfsprekend biedt de ISO 27001 norm jou veel houvast. Ook de NEN 7510 is een zinvolle norm wanneer je in de zorgsector werkzaam bent. De ISO 27002 bevat een hele reeks best practices. De BIO norm is een toegepaste versie van de ISO 27001 voor overheden. De PDCA cyclus kan jou helpen om continue verbetering te implementeren.
Ga je aan de slag met het opzetten van een ISMS? Doorloop dan de volgende stappen:
De meeste mensen die zich bezighouden met informatiebeveiliging zullen weleens gehoord hebben van ISO27001. Het is immers de meest bekende standaard op dit gebied. Dat ISO27002 een soort van uitbreiding is op ISO27001, dat is minder bekend. In deze blog leggen we in het kort uit wat de twee normen inhouden, wat het verschil is en wanneer je welke norm kunt gebruiken.
In 4 artikelen kijken we samen hoe je phishing berichten eenvoudiger kunt herkennen. In het vorige artikel hebben we stilgestaan bij de eerste rode vlag, namelijk de afzender van het mailbericht. De tweede rode vlag die we in deze week bespreken: de aanhef.
In de aankomende weken gaan we samen kijken hoe je phishing berichten kunt herkennen. Natuurlijk vertellen we je eerst even wat phishing is, maar daarna gaan we snel kijken hoe jij snel phishing mailtjes kunt herkennen. Dit doen we door in de aankomende vier weken iedere week een element te bespreken waaraan je een phishing berichtje kunt herkennen. 4 rode vlaggen om jou alert te maken en te houden!
Zijn er echt overeenkomsten tussen wachtwoorden en onderbroeken? Een interessante (en rare) vraag. Volgens Kaspersky Lab klopt deze vergelijking in ieder geval wel. Tijd om te onderzoeken wat dan precies die overeenkomsten zijn. En misschien leren we onderweg ook nog iets!
Thuiswerken is het nieuwe normaal geworden. Waar we voorheen elkaar opzochten op kantoor, zitten we nu met elkaar in een Microsoft Teams meeting. Voor de meeste van ons werkt dat goed. Maar het moet ook veilig zijn. Wij hebben een paar tips voor je op een rijtje gezet.
Er bestaat de nodige verwarring over het begrip ISMS. Wat is een ISMS nu eigenlijk precies? En waarom zou je dit moeten inzetten? Veel mensen denken dat een ISMS een softwareoplossing is. En dat is ook wel begrijpelijk. In vrijwel alle gevallen wordt software (zoals Normity) ingezet om te voldoen aan de eisen die een ISMS aan een organisatie stelt. Maar toch ligt het genuanceerder. Tijd voor een verhelderend artikel!
Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!
Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.