Waar te beginnen bij de inrichting van een ISMS? Vele organisaties hebben hier al eerder mee geworsteld. Voor andere organisaties wordt de behoefte nu actueel. Onderstaand stappenplan kan een degelijk leidraad vormen.

1. Verkrijg Directie/Management Commitment

Een managementsysteem valt of staat met het handhaven van bestaand beleid en ondersteunen bij verbeteracties door de hoogste managementlaag: de directie. Begin daarom met één of enkele bewustwording sessies op dit niveau:

 

  • het wat, hoe en waarom van een managementsysteem, benadruk de vereisten inspanningen, maar ook de voordelen voor de organisatie.
  • de rol van de directie (en middenmanagement) mbt een managementsysteem. Deze vereisten staan in hoofdstuk 5 van de norm, enkele voorbeelden:
    • Zorgdragen voor een eenduidige visie omtrent de scope van het managementsysteem
    • Zorgdragen voor het definiëren van heldere doelstellingen, welke aansluiting vinden op de organisatie brede doelstellingen.
    • Zorgdragen voor een duidelijke vastlegging van de eindverantwoordelijkheid en ondersteunende rollen
    • Primaire rol in het definiëren van de context van de organisatie (bijv. SWOT analyse), uitvoeren van de risicobeoordeling- en definiëren van het risicobehandelplan.
    • Zorgdragen voor benodigde middelen om het managementsysteem succesvol te laten worden (tooling, mensen, tijd).
    • Regelmatig beoordelen van het managementsysteem (zie stap 8)
  • de rol van de directievertegenwoordiger (medewerker/afdeling) en de benodigde interactie met middenmanagement en directie om succesvol te kunnen functioneren (voorbeelden helpen).

Note: Het is belangrijk dat de rollen en bijbehorende taken later in het stappenplan (stap 6) ook vastgelegd worden.

Lees meerLees minder

2. Definieer de context van de organisatie

Het is essentieel om de unieke context van de organisatie te begrijpen en in kaart te brengen voordat men verder start met de implementatie van het managementsysteem (hoofdstuk 4.1 en 4.2 van de norm): Waar dient de organisatie namelijk allemaal rekening mee te houden?

Het helder hebben van de context van de organisatie draagt bij aan het kiezen van de juiste scope, het definiëren van de juiste risico’s en kansen en zorgdragen dat het managementsysteem zich kan aanpassen aan een veranderende omgeving. Concreet: Belangrijk om in deze stap in kaart te brengen:

  • Interne en externe issues welke van invloed kunnen zijn op het managementsysteem. Een (onderbouwde) SWOT-analyse laat zich hiervoor goed lenen (maar er zijn ook andere mogelijkheden als: DESTEP, vijfkrachtenmodel).
  • Geïnteresseerde partijen zijn personen of organisatie welke invloed hebben, beïnvloed worden (of de indruk hebben beïnvloed te worden) door activiteiten van de organisatie. Iedere persoon/partij kan uiteenlopende behoeften/verwachtingen/vereisten hebben welke relevantie hebben ten opzichte van het managementsysteem (denk aan: leveranciers, klanten, overheid, medewerkers, toezichthouders, partners, etc.). Denk hierbij aan een typische stakeholderanalyse.

De context van de organisatie, welke relevant is voor het managementsysteem legt men vast in het managementsysteem handboek of soortgelijk document.

Let wel: De context van de organisatie zal periodiek aangepast moeten worden als gevolg van de management review, waarin de context gereviewed dient te worden (hoofdstuk 9.3 van de norm).

Lees meerLees minder

3. Definieer de scope van het managementsysteem

Hoofdstuk 4.3 van de norm bepaalt dat de scope (of: het toepassingsgebied) van het managementsysteem vastgelegd dient te worden en hier rekening dient te worden gehouden met de context van de organisatie. Dit wil zeggen dat er bepaald dient te worden op welke activiteiten (producten/diensten) of welk deel van de organisatie (bijv. vestiging) het managementsysteem betrekking heeft.

Het kan bijvoorbeeld zijn dat op basis van de context-analyse (stap 2) het beter is om in eerste instantie de scope beperkt te houden (bijv. vestiging A: wel, vestiging B: nog niet). Keuzes kunnen eventueel nog leiden tot nuanceringen mbt de gedefinieerde context-analyse.

De scope van het managementsysteem legt men vast in het managementsysteem handboek of soortgelijk document. Daarnaast zal de scope van het managementsysteem uiteindelijk ook terecht moeten komen op een extern uitgegeven certificaat als gevolg van het succesvol doorlopen van een externe audit.

Lees meerLees minder

4. Voer de risico-analyse uit

Op basis van de contextanalyse zijn reeds de interne en externe issues in kaart gebracht (stap 2). Nu is het zaak in kaart te brengen tot welke risico’s/kansen deze kunnen leiden welke invloed kunnen hebben op het managementsysteem (hoofdstuk 6). 

Risico’s (kans maal impact) hebben betrekking op het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van informatie (binnen de scope van het managementsysteem).

Laat meerdere interne key-functionarissen (bijv. middenmanagement, senior engineers) aansluiten om input te leveren om een zo volledig mogelijk beeld te krijgen. De directie heeft de eindverantwoordelijkheid om de risicolijst en eigenaren vast te stellen.

Een risicobeoordelingsproces dient vastgesteld en daarmee reproduceerbaar te zijn.

Lees meerLees minder

5. Definieer het Plan: bepaal de doelstellingen, beleid en maatregelen (Plan)

Waar staan we nu en waar willen we naartoe? Oftewel: Voor welke risico’s dienen aanvullende maatregelen genomen te worden om deze tot een acceptabel (of tolerabel) niveau te brengen?

Een 0-meting kan relevante input leveren om de juiste maatregelen te selecteren voor betreffende risico’s. Daarnaast kan ook eenvoudig vastgesteld worden voor welke maatregelen de organisatie geen behoefte heeft in-scope te plaatsen van het managementsysteem. Let wel: Het vereist een deugdelijke beargumentering om maatregelen out-of-scope te plaatsen.

De verdere concretisering van de benodigde maatregelen tbv risicobehandeling wordt het plan om het managementsysteem in te richten. Kansen kunnen gezien worden als verbetermogelijkheden: vanuit risico-oogpunt geen verplichting om door te voeren, maar het kan de organisatie wel helpen.

Concreet betekent dit dat doelstellingen en beleid gedefinieerd te zijn/worden, welke aansluiting vinden op de organisatiebehoefte. Aanvullend dienen specifieke ondersteunende technische/organisatorische geformuleerd te zijn/worden, waarbij meteen voorgesorteerd dient te worden op:  

  • KPI’s; om de werking van processen meetbaar te maken;
  • Controlemechanismen; om de goede werking van maatregelen vast te stellen.

Op basis van de risico-analyse en aanvullende directiekeuzen zal een zekere prioritering gemaakt kunnen worden en relevante interne actoren geïdentificeerd kunnen worden.

Lees meerLees minder

6. Voer het Plan uit (Do)

Het plan staat niet in steen gebeiteld, maar is het leidraad voor de organisatie om aantoonbaar voortgang te boeken en dus risico’s te managen en kansen te benutten. Laat de stakeholders een belangrijke rol spelen in de voortgangsbewaking (directie, maar ook middenmanagement).

Essentieel onderdeel in deze fase is het creëren van awareness binnen de gehele organisatie (in scope van het managementsysteem) omtrent het wat, hoe en waarom van een managementsysteem en een ieders rol en verantwoordelijkheden hierin. Om blijvende tractie te houden valt het sterk aan te bevelen geboekte successen naar de organisatie te communiceren, bijv: nieuwe geïmplementeerde (technische) maatregelen en processen. Evenzo belangrijk om de verantwoordelijkheid voor deze ‘nieuwe’ technische en organisatorische maatregelen te beleggen bij de juiste eigenaren en begrip te creëren wat deze verantwoordelijkheid inhoudt.

 

Lees meerLees minder

7. Controleer de werking (Check)

Definieer een audit jarenplan waarin alle onderdelen van het managementsysteem gecontroleerd worden op werking (hoofdstuk 9.2). Het is daarnaast belangrijk om juist die gebieden frequenter/intensiever te controleren waar de grootste organisatierisico’s zitten.

Het controleren van de werking van een managementsysteem behelst echter meer dan alleen het uitvoeren van audits. Het is belangrijk om constant te monitoren en te meten in hoeverre de managementsysteem gerelateerde activiteiten de organisatie helpen om haar doelen te realiseren (hoofdstuk 9.1).

Het vaststellen, regelmatig controleren en analyseren van uiteenlopende metingen geeft een indicatie in welke mate het managementsysteem van de organisatie:

  • presteert naar verwachting (bijv. adhv Proces KPI’s);
  • doeltreffend is ingericht en beoogde informatiebeveiligingsdoelstellingen realiseert (denk aan het functioneren van: Key controls).

Het is een kunst om de juiste zaken te meten, belangrijk is daarom in te spelen op de informatiebehoefte van de organisatie.

Lees meerLees minder

8. Management review en bijstelling Plan (Act)

Het is belangrijk om periodiek, maar ten minste eenmaal per jaar, een management review te organiseren om te waarborgen dat het managementsysteem geschikt, adequaat en doeltreffend blijft. Wanneer het managementsysteem nog nieuw en hard in ontwikkeling is valt het sterk aan te bevelen om de management review minimaal halfjaarlijks uit te voeren.

In een management review wordt teruggekeken en dient een managementoordeel gevormd te worden over de afgelopen periode en dient vooruitgeblikt te worden naar aankomende periode, wat resulteert in de benodigde acties. Let wel dat een management review een minimale agenda heeft, welke in de norm (hoofdstuk 9.3) staat vastgesteld. Afwijking op deze minimale set aan onderwerpen levert in een certificeringstraject (vrijwel) gegarandeerd een afwijking (non-conformity) op.

Lees meerLees minder

9. (Optioneel) Certificering

Het managementsysteem laten certificeren is uiteraard geen verplichting, maar vaak een commerciële overweging. Waar het 10 jaar geleden nog een voordeel zou kunnen opleveren ten opzichte van concurrenten is het op orde hebben van de juiste certificaten tegenwoordig eerder een commodity en daarmee een knock-out criteria geworden.

Bij het selecteren van een externe auditpartij is het belangrijk om vast te stellen of zij geaccrediteerd zijn om certificaten uit te geven. Een certificaat van een geaccrediteerde externe auditpartij biedt (commercieel) meer waarde.

Externe auditpartijen hebben over het algemeen geen gebrek aan werk, het valt daarom te adviseren tijdig te starten met de zoektocht naar een geschikte partij. Een half jaar voor een gewenste externe auditdatum beginnen met de selectie en het leggen van de eerste contacten zal bijdragen dat in een later stadium geen pas op de plaats gemaakt hoeft te worden. Wees ook kritisch in de selectie van een auditpartij en stel relevante vragen:

  • hoe groot is hun pool aan auditoren?
  • hoe flexibel zijn ze in hun planning?
  • wat kunnen ze naast hun audittaken bieden in aanvullend advies/oplossingen?

Uiteraard zijn er kosten verbonden aan het laten certificeren van het managementsysteem van de organisatie. Doorgaans worden deze kosten verspreid over 3 jaar (de looptijd van het certificaat). Het kostenplaatje is verder afhankelijk van de complexiteit (structuur en diensten) en grootte (FTE) van een organisatie.

Weet dat er een mogelijkheid bestaat om een proefaudit uit te voeren, waarbij er mogelijkheden zijn om eventuele bevindingen voor de daadwerkelijke audit op te lossen.

Lees meerLees minder

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze Information security consultants neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

Laat je gegevens achter