De afkorting ‘ISMS’ staat voor Information Security Management System. Het is geen computersysteem maar een geheel van beleid, afspraken en procedures waarmee informatiebeveiliging en -maatregelen worden geborgd in een organisatie. In deze procesmatige aanpak staat de plan-do-check-act-cyclus centraal. Op basis van geïnventariseerde risico’s wordt een plan gemaakt, waarna het plan wordt uitgevoerd. Vervolgens worden naleving en effectiviteit van het plan en de maatregelen geëvalueerd, zodat bijsturing kan plaatsvinden, waarna de cyclus weer opnieuw begint.
Waar te beginnen bij de inrichting van een ISMS? Vele organisaties hebben hier al eerder mee geworsteld. Voor andere organisaties wordt de behoefte nu actueel. Onderstaand stappenplan kan een degelijk leidraad vormen.
Een managementsysteem valt of staat met het handhaven van bestaand beleid en ondersteunen bij verbeteracties door de hoogste managementlaag: de directie. Begin daarom met één of enkele bewustwording sessies op dit niveau:
Note: Het is belangrijk dat de rollen en bijbehorende taken later in het stappenplan (stap 6) ook vastgelegd worden.
Het is essentieel om de unieke context van de organisatie te begrijpen en in kaart te brengen voordat men verder start met de implementatie van het managementsysteem (hoofdstuk 4.1 en 4.2 van de norm): Waar dient de organisatie namelijk allemaal rekening mee te houden?
Het helder hebben van de context van de organisatie draagt bij aan het kiezen van de juiste scope, het definiëren van de juiste risico’s en kansen en zorgdragen dat het managementsysteem zich kan aanpassen aan een veranderende omgeving. Concreet: Belangrijk om in deze stap in kaart te brengen:
De context van de organisatie, welke relevant is voor het managementsysteem legt men vast in het managementsysteem handboek of soortgelijk document.
Let wel: De context van de organisatie zal periodiek aangepast moeten worden als gevolg van de management review, waarin de context gereviewed dient te worden (hoofdstuk 9.3 van de norm).
Hoofdstuk 4.3 van de norm bepaalt dat de scope (of: het toepassingsgebied) van het managementsysteem vastgelegd dient te worden en hier rekening dient te worden gehouden met de context van de organisatie. Dit wil zeggen dat er bepaald dient te worden op welke activiteiten (producten/diensten) of welk deel van de organisatie (bijv. vestiging) het managementsysteem betrekking heeft.
Het kan bijvoorbeeld zijn dat op basis van de context-analyse (stap 2) het beter is om in eerste instantie de scope beperkt te houden (bijv. vestiging A: wel, vestiging B: nog niet). Keuzes kunnen eventueel nog leiden tot nuanceringen mbt de gedefinieerde context-analyse.
De scope van het managementsysteem legt men vast in het managementsysteem handboek of soortgelijk document. Daarnaast zal de scope van het managementsysteem uiteindelijk ook terecht moeten komen op een extern uitgegeven certificaat als gevolg van het succesvol doorlopen van een externe audit.
Op basis van de contextanalyse zijn reeds de interne en externe issues in kaart gebracht (stap 2). Nu is het zaak in kaart te brengen tot welke risico’s/kansen deze kunnen leiden welke invloed kunnen hebben op het managementsysteem (hoofdstuk 6).
Risico’s (kans maal impact) hebben betrekking op het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie (binnen de scope van het managementsysteem).
Laat meerdere interne key-functionarissen (bijv. middenmanagement, senior engineers) aansluiten om input te leveren om een zo volledig mogelijk beeld te krijgen. De directie heeft de eindverantwoordelijkheid om de risicolijst en eigenaren vast te stellen.
Een risicobeoordelingsproces dient vastgesteld en daarmee reproduceerbaar te zijn.
Waar staan we nu en waar willen we naartoe? Oftewel: Voor welke risico’s dienen aanvullende maatregelen genomen te worden om deze tot een acceptabel (of tolerabel) niveau te brengen?
Een 0-meting kan relevante input leveren om de juiste maatregelen te selecteren voor betreffende risico’s. Daarnaast kan ook eenvoudig vastgesteld worden voor welke maatregelen de organisatie geen behoefte heeft in-scope te plaatsen van het managementsysteem. Let wel: Het vereist een deugdelijke beargumentering om maatregelen out-of-scope te plaatsen.
De verdere concretisering van de benodigde maatregelen tbv risicobehandeling wordt het plan om het managementsysteem in te richten. Kansen kunnen gezien worden als verbetermogelijkheden: vanuit risico-oogpunt geen verplichting om door te voeren, maar het kan de organisatie wel helpen.
Concreet betekent dit dat doelstellingen en beleid gedefinieerd te zijn/worden, welke aansluiting vinden op de organisatiebehoefte. Aanvullend dienen specifieke ondersteunende technische/organisatorische geformuleerd te zijn/worden, waarbij meteen voorgesorteerd dient te worden op:
Op basis van de risico-analyse en aanvullende directiekeuzen zal een zekere prioritering gemaakt kunnen worden en relevante interne actoren geïdentificeerd kunnen worden.
Het plan staat niet in steen gebeiteld, maar is het leidraad voor de organisatie om aantoonbaar voortgang te boeken en dus risico’s te managen en kansen te benutten. Laat de stakeholders een belangrijke rol spelen in de voortgangsbewaking (directie, maar ook middenmanagement).
Essentieel onderdeel in deze fase is het creëren van awareness binnen de gehele organisatie (in scope van het managementsysteem) omtrent het wat, hoe en waarom van een managementsysteem en een ieders rol en verantwoordelijkheden hierin. Om blijvende tractie te houden valt het sterk aan te bevelen geboekte successen naar de organisatie te communiceren, bijv: nieuwe geïmplementeerde (technische) maatregelen en processen. Evenzo belangrijk om de verantwoordelijkheid voor deze ‘nieuwe’ technische en organisatorische maatregelen te beleggen bij de juiste eigenaren en begrip te creëren wat deze verantwoordelijkheid inhoudt.
Definieer een audit jarenplan waarin alle onderdelen van het managementsysteem gecontroleerd worden op werking (hoofdstuk 9.2). Het is daarnaast belangrijk om juist die gebieden frequenter/intensiever te controleren waar de grootste organisatierisico’s zitten.
Het controleren van de werking van een managementsysteem behelst echter meer dan alleen het uitvoeren van audits. Het is belangrijk om constant te monitoren en te meten in hoeverre de managementsysteem gerelateerde activiteiten de organisatie helpen om haar doelen te realiseren (hoofdstuk 9.1).
Het vaststellen, regelmatig controleren en analyseren van uiteenlopende metingen geeft een indicatie in welke mate het managementsysteem van de organisatie:
Het is een kunst om de juiste zaken te meten, belangrijk is daarom in te spelen op de informatiebehoefte van de organisatie.
Het is belangrijk om periodiek, maar ten minste eenmaal per jaar, een management review te organiseren om te waarborgen dat het managementsysteem geschikt, adequaat en doeltreffend blijft. Wanneer het managementsysteem nog nieuw en hard in ontwikkeling is valt het sterk aan te bevelen om de management review minimaal halfjaarlijks uit te voeren.
In een management review wordt teruggekeken en dient een managementoordeel gevormd te worden over de afgelopen periode en dient vooruitgeblikt te worden naar aankomende periode, wat resulteert in de benodigde acties. Let wel dat een management review een minimale agenda heeft, welke in de norm (hoofdstuk 9.3) staat vastgesteld. Afwijking op deze minimale set aan onderwerpen levert in een certificeringstraject (vrijwel) gegarandeerd een afwijking (non-conformity) op.
Het managementsysteem laten certificeren is uiteraard geen verplichting, maar vaak een commerciële overweging. Waar het 10 jaar geleden nog een voordeel zou kunnen opleveren ten opzichte van concurrenten is het op orde hebben van de juiste certificaten tegenwoordig eerder een commodity en daarmee een knock-out criteria geworden.
Bij het selecteren van een externe auditpartij is het belangrijk om vast te stellen of zij geaccrediteerd zijn om certificaten uit te geven. Een certificaat van een geaccrediteerde externe auditpartij biedt (commercieel) meer waarde.
Externe auditpartijen hebben over het algemeen geen gebrek aan werk, het valt daarom te adviseren tijdig te starten met de zoektocht naar een geschikte partij. Een half jaar voor een gewenste externe auditdatum beginnen met de selectie en het leggen van de eerste contacten zal bijdragen dat in een later stadium geen pas op de plaats gemaakt hoeft te worden. Wees ook kritisch in de selectie van een auditpartij en stel relevante vragen:
Uiteraard zijn er kosten verbonden aan het laten certificeren van het managementsysteem van de organisatie. Doorgaans worden deze kosten verspreid over 3 jaar (de looptijd van het certificaat). Het kostenplaatje is verder afhankelijk van de complexiteit (structuur en diensten) en grootte (FTE) van een organisatie.
Weet dat er een mogelijkheid bestaat om een proefaudit uit te voeren, waarbij er mogelijkheden zijn om eventuele bevindingen voor de daadwerkelijke audit op te lossen.
Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze Information security consultants neemt dan contact met je op.
Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.