Heb je al eens gehoord van ISMS? Of misschien ben je er zelfs bekend mee? ISMS is de wereldwijde standaard voor het beveiligen van informatie. De afkorting is afkomstig van de Engelse term “Information Security Management System”. Dit is een managementsysteem dat voor informatiebeveiliging wordt gebruikt. ISMS is verbonden met ISO 2170001 en sluit daarbij naadloos aan je bedrijfsstrategie en het unieke beleidsplan van je organisatie. ISMS maakt het mogelijk om de informatiebeveiliging in je organisatie moeiteloos op te schroeven naar een hoger niveau. Hou er rekening mee dat ISMS een proces is en geen tool, of te wel: gereedschap.

Het proces ISMS
De misvatting bestaat dat ISMS, of te wel: Information Security Management System een softwarepakket is, maar dit is dus niet waar. Wat ISMS wel is, is een doorlopend proces binnen een onderneming of organisatie. Het biedt verschillende handvatten om informatie beter te kunnen beveiligen. ISMS is een systematische werkmanier waarbij vertrouwelijke informatie op een correcte – en dus vertrouwelijke – manier gemanaged wordt. Er bestaat grote individuele vrijheid bij het besturen en inrichten van een ISMS. Die vrijheid kan enkel worden beperkt door de eisen die vanuit de ISO 27001 worden opgelegd. Hierin staat onder meer vastgelegd dat onderhoud en opties tot het continue verbeteren van het systeem gewaarborgd moeten blijven. ISMS laat ruimte vrij voor verbetering en het uitvoeren van risicoanalyse.

Intern blijven verbeteren
Het uitgangspunt van ISMS is dat er zoveel mogelijk informatie gedocumenteerd wordt. Een ISMS bestaat uit een complex van processen, maatregelen en procedures. Op die manier wordt de informatie binnen het systeem beschikbaar gehouden, maart ook gewaarborgd. ISMS biedt controlemogelijkheden voor het verkleinen van risico’s die risicoanalyse heeft opgespoord.

ISO 27001 en risicoanalyse
Risicoanalyse maakt een belangrijk onderdeel uit van de ISO 27001 norm. Dit hulpmiddel is essentieel voor het in beeld brengen van een organisaties beveiligingsniveau. Analyse helpt om risico’s te identificeren en hier passende maatregelen voor te bedenken en vervolgens te implementeren. Een PDCA (Plan-Do-Check-Act) helpt om alle risico’s controleerbaar te maken. ISMS staat niet los van ISO 27001, maar maakt er onderdeel van uit. Het is in feite dé manier om het beveiligingsniveau van je organisatie in stand te houden en tegelijkertijd te verbeteren.

Een ISO 27001 certificaat op zak
Als je een ISO 27001 certificaat in je bezit hebt, is dit het fysieke bewijs dat je beveiliging van informatie op orde is. Het wordt aangeraden het ISMD te laten certificeren door een partij die onafhankelijk is. Alleen een certificerende instantie mag de ISO 27001 certificering uitvoeren