Het traject ISMS
Het opzetten van een Information Security Management System (ISMS) wordt uitgevoerd langs de volgende stappen:
Stap 1: De organisatie
Het is belangrijk dat het ISMS gedragen wordt door alle medewerkers en alle disciplines binnen een organisatie. Zo moet personeelszaken (HRM) zorgen dat nieuwe medewerkers gescreend worden en dat een goede administratie wordt bijgehouden van opleiding en diploma's. Werkruimtes moeten goed beveiligd zijn tegen inbraak en ' binnenlopers' en hiervoor hebben we de medewerker nodig die verantwoordelijk is voor gebouwenbeheer. Natuurlijk speelt ook de afdeling ICT een belangrijke rol. Voordat het opzetten van een ISMS echt van start kan gaan, is het belangrijk dat voor rollen en taken binnen het ISMS verantwoordelijke personen zijn aangewezen.
Stap 2: Overzicht
We kunnen informatie alleen beveiligen, als we weten waar deze is opgeslagen en hoe belangrijk deze is voor de organisatie. Dus, na het inrichten van de organisatie, gaan we zorgen dat we een volledig overzicht krijgen van alle applicaties, alle hardware, alle informatie en ook hoe deze informatie wordt gebruikt in de organisatie. Natuurlijk is het fijn dat we stap 1 al hebben uitgevoerd, zodat meer mensen in de organisatie een bijdrage kunnen leveren.
Stap 3: Risico's
Beveiliging draait om het nemen van maatregelen ter verkleining van de risico's. In deze stap gaan we de risico's in kaart brengen, ofwel we kijken naar 'wat kan misgaan?' en 'hoe erg is dat?'. Als we hier een overzicht van hebben, kunnen we verder.
Stap 4: Het beleid
Op basis van de resultaten van stappen 2 en 3, kunnen we de doelen, uitgangspunten, de kaders en de richtlijnen opstellen. Dit alles bij elkaar schrijven we netjes op in beleidsdocumenten. Ook leggen we vast, op welke manier we controleren of alles nog werkt zoals we hadden bedacht.
Stap 5: De praktijk
We zijn nu aangekomen bij de moeilijkste deel van het traject, namelijk we moeten alles wat we hebben bedacht, in de praktijk uitvoeren. We zijn blij dat we in stap 1, de organisatie goed hebben ingericht, want we hebben voor deze stap alle medewerkers nodig om het ISMS echt te laten werken.
Stap 6: Controles
Het probleem is, dat je beveiligingsmaatregelen niet direct mist, als ze er opeens niet meer zijn of niet goed werken. Dat merk je pas, als er iets mis is gegaan. Vandaar dat een ISMS vereist dat regelmatig gecontroleerd wordt, of maatregelen nog effectief zijn. Ook hier is het belangrijk dat iedereen zijn/haar taken uitvoert. Dat is de manier om het ISMS goed te laten draaien.
Stap 7: Audits
Aanvullend op de controles, moet de organisatie door middel audits zeker stellen dat het ISMS functioneert. Tijdens een audit wordt het ISMS getoetst tegen de norm, bijvoorbeeld de ISO 27001 of de NEN 7510. We onderscheiden interne audits, die worden uitgevoerd door een collega, externe audits, die worden uitgevoerd door een auditor van buiten de organisatie en certificeringsaudits, deze worden uitgevoerd oor een Certificerende Instelling. Na een succesvolle certificeringsaudit, ontvangt de organisatie een certificaat.