ISMS als onderdeel van ISO 27001

In de wereldwijde standaard voor informatiebeveiliging, beter bekend onder de naam ISO 27001, wordt vaak gesproken over ISMS. De afkorting staat voor Information Security Management System. Het is het managementsysteem voor informatiebeveiliging. Een ISMS is onlosmakelijk verbonden met ISO 27001 en sluit naadloos aan bij het beleidsplan en de bedrijfsstrategie van uw organisatie. Met behulp van ISMS is het mogelijk om de informatiebeveiliging binnen de organisatie naar een hoger niveau te tillen.

ISMS is een proces, geen tool

In tegenstelling wat vaak wordt gedacht is het Information Security Management System geen softwarepakket, maar een doorlopend proces in een organisatie of onderneming. In die zin biedt het dus handvatten ter verbetering van de beveiliging van informatie. Het is een systematische manier van werken waarbij het correct managen van (vertrouwelijke) informatie voorop staat.

ISMS eisen vanuit ISO 27001

Bij het inrichten en besturen van een ISMS is er een grote mate van vrijheid. Die vrijheid wordt enkel beperkt door de eisen vanuit ISO 27001 waaraan de inricht van een ISMS dient te voldoen. Met name het onderhoud en de mogelijkheid om het systeem continu te verbeteren moeten zijn gewaarborgd. Om dat laatste te realiseren kan overwogen worden om gebruik te maken van de Plan-Do-Check-Act (PDCA) verbetercyclus.

iso 27001 certificaat

Een van de belangrijkste aspecten van een ISMS is de mogelijkheid tot verbetering. De uitvoering van een ISO 27001 risicoanalyse is daarom de basis van een ISMS. De onderneming of organisatie is daardoor in staat om alle risico’s inzake informatiebeveiliging in kaart te brengen. Deze risico’s worden vervolgens door het nemen van adequate beveiligingsmaatregelen tot een minimum beperkt.

Documentatie binnen ISMS: continu verbeteren

In het ISMS wordt uiteindelijk zoveel mogelijk gedocumenteerd. Zo ontstaat een overzichtelijk geheel van maatregelen, processen en procedures. Dat geheel vormt uiteindelijk een duidelijke waarborg voor de beschikbaarheid, integriteit en vertrouwelijkheid van de aanwezige informatie. In het ISMS vindt je vervolgens de controlemogelijkheden om de risico’s te verkleinen die zijn gevonden aan de hand van de risicoanalyse.

De risicoanalyse in ISO 27001

Een belangrijk onderdeel van de ISO 27001 norm is de risicoanalyse. Dit is een belangrijk hulpmiddel bij het in kaart brengen van het beveiligingsniveau van de organisatie. Door deze risico’s met behulp van de analyse te identificeren kunnen passende maatregelen worden bedacht en worden geïmplementeerd. In de volgende fase gaat het om het beheersbaar maken van de risico’s. Een Plan-Do-Check-Act (PDCA) verbetercyclus is hierbij essentieel.

Het is dus duidelijk dat ISMS geen op zichzelf staand systeem is, maar een onderdeel van ISO 27001. Het is een uitstekend middel om het beveiligingsniveau van de organisatie op peil te houden en waar nodig te verbeteren. Op die manier is het mogelijk om snel in te spelen op een veranderende situatie.

ISO 27001 certificaat: jouw informatiebeveiliging aantoonbaar op orde

Een goed functionerend kwaliteitsmanagementsysteem voor informatiebeveiliging is essentieel voor elke organisatie die de beveiliging van gevoelige informatie serieus neemt. Indien het voor de organisatie van belang is om aan te tonen dat dit gebeurt volgens de geldende (internationale) norm, kan het zinvol zijn om het ISMS door een onafhankelijke partij laten certificeren. Op die manier kun u naar uw relatie toe laten zien dat de beveiliging van de aanwezige informatie voldoet aan de geldende standaard.

De ISO 27001 certificering is voorbehouden aan een certificerende instantie. U zult in dat geval moeten aantonen dat er voldoende aandacht is gegeven aan de informatiebeveiliging. Een belangrijke voorwaarde is dat er in aanloop naar de aanvraag voor een certificering al reeds drie maanden volgens het ISMS wordt gehandeld. Een externe auditor geeft vervolgens een beoordeling over de vraag of het ISMS op de juiste manier functioneert in de organisatie.