Zo start u gestructureerd met een Information Security Management System 

Publicatie NCSC

Als hulpmiddel heeft het Nationaal Cyber Security Centrum (NCSC) in samenwerking met het Digital Trust Center (DTC) een publicatie uitgebracht om verantwoordelijke voor informatiebeveiliging te ondersteunen met het opzetten, implementeren en het onderhouden van een ISMS.  

ISO27001 als ISMS

De ISO27001-norm is wereldwijd de meest gebruikte standaard voor een ISMS. Deze norm werkt volgens de Plan-Do-Check-Act-cyclus (PDCA). 

• Plan: Stel beleid op, bepaal je doelstellingen en identificeer risico’s. 
• Do: Implementeer beveiligingsmaatregelen en processen. 
• Check: Monitor en evalueer de effectiviteit van je maatregelen. 
• Act: Pas je maatregelen en processen aan naar de behoefte van je organisatie. 

De ISO 27001 normering biedt een raamwerk op informatiebeveiliging systematisch aan te pakken, maar waar te beginnen? 

Hoe te beginnen met een ISMS?

Eén van de belangrijkste vertrekpunten voor het starten met een ISMS is het hebben van draagvlak binnen de organisatie. Het draagvlak moet aanwezig zijn bij zowel het (hoger) management van de organisatie, als bij de medewerkers die dagelijks beleid en procedures uitvoeren.  

Naast draagvlak is kennis over risico’s en het management daarvan belangrijk. Zorg voor een team met voldoende kennis over risicomanagement, maar ook over de informatiebeveiligingsrisico’s binnen de organisatie. Naast draagvlak en kennis is een pragmatische blik belangrijk voor het implementeren. Het is van belang dat de organisatie goed zicht heeft op de prioriteiten zodat het ISMS in de meeste processen wordt verweven en niet naar de achtergrond verdwijnt.

Stappenplan

In de handleiding zijn enkele stappen gedefinieerd, die u kunt gebruiken om te beginnen met een ISMS. Hierbij gaat het om twee algemene stappen waarbij de organisatie verschillende onderdelen in kaart moet brengen om te kunnen starten met een ISMS. Het gaat hierbij onder andere over de volgende stappen en vragen: 

1. Verdiepen in de context van de organisatie, waarbij de volgende vragen centraal staan: 
   • Wat is het businessmodel van de organisatie? 
   • Welke klanten en leveranciers zijn afhankelijk van de organisatie of is de organisatie afhankelijk van? 
   • Wat zijn de kroonjuwelen van de organisatie?  Wat zijn de grootste kwetsbaarheden van de organisatie? 
2. Bepalen van de scope van het ISMS, waarbij de volgende vragen centraal staan: 
   • Welke primaire processen moeten als eerst op orde worden gebracht en onderdeel worden van de scope? 
   • Hoe kan de directie / managementteam worden betrokken? 
   • Wie zijn de relevantie proceseigenaren en hoe kunnen zij worden betrokken? 
   • Hoe kunnen de IT-verantwoordelijken worden betrokken? 
   • Hoe kan de security- en privacyfunctionaris worden betrokken? 
   • Welke maatregelen op het gebied van informatiebeveiliging al zijn geïmplementeerd bij de organisatie? 

Praktische tips

Tot slot geeft het NCSC nog een aantal praktische tips: 

1. Begin gewoon, sommige zaken leer je gaandeweg.
2. Begin klein, met een beperkte scope en haalbare doelen.
3. Maak gebruik van goede voorbeelden en tools.

Meer informatie

Wilt u weten of ISO 27001 past bij uw organisatie en hoe u het traject efficiënt kunt doorlopen? Neem dan contact op met één van onze specialisten via onderstaande button of per mail:  IT-Advies@vanoers.nl.