Wat is een ISMS?

Wat is een ISMS?

Wat is een ISMS?

ISMS staat voor information security management system en wordt bijvoorbeeld gebruikt als ISO27001 toegepast wordt.

Maar wat is nu eigenlijk een ISMS?

Een ISMS is de manier waarop je, in het geval van ISO27001, de informatiebeveiliging kunt besturen. Deze besturing kun je naar eigen inzicht inrichten. Wel zijn er aan aantal ISMS activiteiten die verplicht zijn. Denk daarbij aan het uitvoeren van bijvoorbeeld een interne audit of een risico analyse. Belangrijk is dat je het aantoonbaar kunt maken (bewijs kunt leveren) tijdens een audit. Het ISMS is dus feitelijk een manier van werken die aantoonbaar te maken is.

Het ISMS gaat uit van de PDCA cirkel, wat betekent dat je constant moet verbeteren. Dit doe je doordat je het ISMS aan de ene kant input geeft, wat uiteindelijk resulteert in output. In de ISO27001:2013 norm wordt niet meer gesproken over de PDCA cirkel, maar over constant verbeteren.

Bij input voor het ISMS moet je denken aan zaken als:

–        De controles die de onderneming gaat uitvoeren en de bevindingen die hier uit voorkomen.

–        De bevindingen vanuit interne audits en externe audits.

–        Security incidenten die door medewerkers, externen etc. worden gemeld.

–        Input vanuit de risico analyse.

–        Input vanuit het bespreken van management rapportages.

–        Etc.

Dit levert bijvoorbeeld de volgende output op van het ISMS:

–        Implementatie van nieuwe maatregelen of aanpassing daarvan om bevindingen te adresseren of risico’s te verlagen tot een      acceptabel niveau.

–        Het doorvoeren van verbeteringen.

–        Rapportages aan het management over het functioneren van de informatiebeveiliging.


Comments are closed.