Conform de regelgeving moeten organisaties een Information Security Management System (ISMS) inrichten. Wat is een ISMS en hoe ondersteunt een ISMS in de informatiebeveiliging en privacy van jouw organisatie?
Alle 342 gemeenten in Nederland maken gebruik van LIAS software en oplossingen. Onder andere:
Information Security Management System
Nederland is één van de koplopers in het verwerken van data. Als organisatie moet je kunnen aantonen in hoeverre je in control bent op de geldende wetgeving. Een goed georganiseerde informatiebeveiliging is een continu proces dat geborgd dient te worden binnen de organisatie. Niet alleen komen hier technische oplossingen aan te pas, maar ook eigen handelingen.
Conform de regelgeving moeten organisaties een Information Security Management System (ISMS) inrichten. Wat is een ISMS en hoe ondersteunt een ISMS in de informatiebeveiliging en privacy van jouw organisatie?
Wat is een ISMS?
Een ISMS ondersteunt je bij de uitvoering, het bijhouden en rapporteren van processen. Denk bijvoorbeeld aan hoe het proces verloopt bij de aanvraag voor een paspoort en hoe de gegevens veilig verwerkt en opgeslagen worden. Het helpt je daarmee om het niveau van informatiebeveiliging in een organisatie te verhogen.
Voldoe je aan de elementen uit de PDCA-cyclus? Dan heeft de organisatie een sluitend ISMS. De PDCA-cyclus bestaat uit vier stappen, namelijk Plan, Do, Check en Act. Hieronder beschrijven we de vier stappen.
Wat is de betekenis van ISMS?
ISMS staat voor Information Security Management System en is een managementsysteem voor informatiebeveiliging. De term ‘System’ betekent niet een systeem, maar een sluitende PDCA-cyclus (Plan-Do-Check-Act), een kwaliteitscirkel, Deming circle of beleidscyclus. Vaak wordt deze cyclus toegepast door de inzet van een ISMS-tool.
Plan (beleid en procedures) In deze eerst stap wordt een plan opgesteld waarin de beoogde resultaten duidelijk zijn omschreven.
Do (implementatie en uitvoeringen) Hier gaat het om de uitvoering en realisatie van het goedgekeurde plan. Tijdens de uitvoering worden de activiteiten en prestaties continu geregistreerd en beoordeeld. De factor mens is misschien wel de belangrijkste bij privacy en informatieveiligheid.
Check (analyseren op verbeteringen) In deze stap worden de behaalde resultaten vergeleken met de resultaten die jouw organisatie voor ogen heeft. De verschillen worden geëvalueerd en de oorzaken van mogelijke verschillen worden opgespoord.
Act (bijstellen van procedures, beleid of uitvoeringen) In deze stap wordt na de evaluatie, indien nodig, bijgestuurd. Vervolgens worden er maatregelen getroffen om de geplande resultaten alsnog te behalen.
✔ geen betaalgegevens nodig ✔gratis en zonder verplichtingen
“We werken aan het ‘Three Lines of Defense-model (3LoD)’ voor security en privacy.
LIAS ISMS is hier een onlosmakelijk onderdeel van.”
Freddy Dijkstra – CISO bij Gemeente Leeuwarden
Hoe ondersteunt een ISMS de informatiebeveiliging en privacy?
Een ISMS vormt de basis voor de informatiebeveiliging van de organisatie door ondersteuning te geven bij het organiseren, opzetten, beheren en optimaliseren van de informatiebeveiliging en privacy. Om de voortgang te kunnen volgen geeft een ISMS je inzicht wat nodig is om in control te komen. Daarmee helpt een ISMS met het beheersen en verbeteren van processen en beleid.
Een robuuste informatieveiligheid vereist een ISMS dat rekening houdt met drie pijlers: mensen, processen en technologie. Er is dus een behoefte om naar informatiebeveiliging te kijken vanuit een holistisch perspectief en daar kun je wel wat hulp bij gebruiken. Dit is waar de behoefte aan een ISMS ondersteunende tool om de hoek komt kijken.
Een organisatie voldoet hieraan wanneer er:
regels en uitgangspunten zijn opgesteld ten aanzien van informatieveiligheid en privacy (meestal in de vorm van een informatiebeveiligingsbeleid);
is gekeken waar de kwetsbaarheden en verbeterpunten zitten (risicoanalyse);
een verbeterplan is opgesteld;
gemonitord wordt op de kwaliteit van de voortgang van de uitvoering van het verbeterplan.
Een goed geïmplementeerd ISMS ondersteunt en zorgt ervoor dat:
er een gestructureerde manier is om informatiebeveiliging binnen een organisatie te beheren;
biedt bewijs en zekerheid dat een organisatie heeft voldaan aan de normvereisten;
verbetert de governance van informatiebeveiliging binnen de organisatie.
Welke tooling je ook kiest, het moet de PDCA-cyclus ondersteunen, vereenvoudigen én versterken. Natuurlijk zijn allerlei zaken bij te houden in een spreadsheet of documenten, maar goede tools zorgen dat de organisatie alles in samenhang bijhoudt en op tijd bijstuurt.
Een ISMS-tool faciliteert in de samenwerking door de mogelijkheid om verantwoordelijken aan te wijzen en taken toe te kennen. Het geeft inzicht in de status van normen, toelichting en de mogelijkheid om te verwijzen naar bewijslast. Daarmee ondersteunt een ISMS-tool bij het voldoen aan formele eisen zoals de documentatieplicht en audits.
Er komt bij complexe zaken in wetgeving voor informatiebeveiliging zoals de Baseline Informatie Beveiliging Overheid (BIO) geen moment dat alle vinkjes gezet zijn en de organisatie ‘klaar’ is. Het blijft continu plannen, analyseren, evalueren en aanpassen. Zo werken het hele jaar betrokken collega’s én de verantwoordelijken van een organisatie samen aan deze verbetercyclus.
Welke organisaties werken met een ISMS?
Het primaire doel van veel organisaties is de burger zo goed mogelijk van dienst te zijn. Een mooi streven! Voor de vakspecialisten is het de uitdaging om informatieveiligheid en privacy als kwaliteitsaspect in de dagelijkse praktijk mee te nemen. Een ISMS kan worden geïmplementeerd door elke organisatie – publiek of privaat, groot of klein, van gemeente tot ziekenhuis.
Zien is geloven. Vraag een gratis demo aan.
In een gesprek en demonstratie wordt alles zoveel duidelijker.
