Informatiebeveiliging

ISMS

Een ISMS (Information Security Management System) is een systematische werkwijze waarmee een organisatie informatiebeveiliging borgt via beleid, processen, maatregelen en continue verbetering volgens de PDCA-cyclus. Een ISMS is dus geen softwarepakket — het is een managementsysteem. Software zoals Normity ondersteunt het. ISO 27001 stelt de internationale eisen aan een ISMS.

De term ISMS leidt nogal eens tot verwarring. Is het een systeem, een werkwijze, een set documenten? Kortgezegd is een ISMS een reeks beleidsregels en procedures voor het systematisch beheren van gevoelige gegevens van een organisatie. De afkorting ISMS staat voor Information Security Management System. Ofwel een managementsystemen voor informatiebeveiliging. Het doel van een ISMS is om informatie beter te beveiligen, risico's te minimaliseren en de bedrijfscontinuïteit te waarborgen.

Een ISMS richt zich over het algemeen op het gedrag en de processen van werknemers, op de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en op de toepassing van technologie. Het kan gericht zijn op een bepaald type gegevens, zoals klantgegevens, maar het kan ook op de organisatie als geheel zijn toegepast. In dat laatste geval is het echt onderdeel van de bedrijfscultuur geworden.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Normity levert een kwaliteitsmanagementsysteem, geschikt voor iedere organisatie die kwaliteit meer aandacht wilt geven. Of het nu voor een certificering is of niet, Normity voelt zich thuis in iedere sector. Wij richten ons primair op de sectoren zorg & welzijn, overheden, industrie en zakelijke dienstverlening.

ISMS

Hoe werkt een ISMS?

Een ISMS biedt een systematische aanpak voor het managen van de informatiebeveiliging binnen een organisatie. Zoals gezegd is een ISMS een systeem, en geen software (hoewel handige software als Normity jou natuurlijk wel kan ondersteunen). Het is in de eerste plaats een management instrument om de informatiebeveiliging te waarborgen en besturen. Integraal onderdeel van de informatiebeveiliging zijn beleidsrichtlijnen die iedereen kent en toepast. Deze richtlijnen zijn erop gericht de beveiligingsrisiconiveaus binnen een organisatie te controleren en beheren.

ISO/IEC 27001 is de internationale standaard voor informatiebeveiliging en voor het opstellen en beheren van een ISMS binnen jouw organisatie. De norm is gepubliceerd door de Internationale Organisatie voor Standaardisatie en de Internationale Elektrotechnische Commissie. De norm zelf schrijft geen specifieke acties voor. De norm bevat een reeks van suggesties op verschillende gebieden, zoals documentatie, interne audits, voortdurende verbetering en corrigerende en preventieve maatregelen.

Wil je als organisatie gecertificeerd worden tegen de ISO 27001 norm, dan moet je een ISMS opzetten en beheren. Dit ISMS moet tenminste het volgende bereiken:

  • de risico's op het gebied van informatiebeveiliging zijn geïdentificeerd
  • de maatregelen om deze informatie te beschermen zijn vastgesteld
  • de maatregelen worden op gestructureerde wijze uitgevoerd en beoordeeld
  • er ligt een plan van aanpak wanneer een inbreuk op de beveiliging plaatsvindt
  • personen zijn verantwoordelijk gemaakt voor iedere stap in het proces

Het gaat hierbij niet per se over het maximaliseren van de informatiebeveiliging. Dat is ook een utopie. Het gaat erom dat je het gewenste niveau van informatiebeveiliging bereikt. Dit kan per markt, per sector, per organisatie, zelfs per regio verschillen. Zo kan het zomaar zijn dat de eisen voor een leverancier van een Electronisch Cliëntdossier (ECD) behoorlijk hoger liggen dan die van een lokale kapper.

Voordelen van een ISMS

De voordelen van het opzetten en beheren van een ISMS zijn legio. Voorwaarde is natuurlijk wel dat de noodzaak van informatiebeveiliging binnen een organisatie echt gevoeld wordt. Het opzetten van een ISMS alleen voor het behalen van een ISO 27001 of NEN 7510 certificaat is zeker mogelijk, maar dan pluk je niet de vruchten van een goed opzet ISMS. Deze voordelen zijn onder andere:

  • Gegevensbescherming
    Een ISMS beschermt alle soorten informatie binnen de organisatie, of ze nu op papier staan, digitaal worden bewaard of zich in de cloud bevinden. Ook de inhoud kan van alles zijn: van persoonlijke gegevens tot gegevens omtrent intellectueel eigendom en van financiële gegevens tot klantgegevens. Al deze informatie valt onder de paraplu van het ISMS.
  • Compliancy
    Compliancy heeft betrekking op het voldoen aan wet- en regelgeving. Een ISMS helpt organisaties te voldoen aan alle wettelijke nalevings- en contractuele vereisten. Het geeft de organisatie een goed inzicht in de wettelijke voorschriften voor informatiesystemen. Denk hierbij ook eens aan de hoge boetes voor overtredingen!
  • Bedrijfscontinuïteit
    Een investering in een ISMS betekent een investering in beveiliging. Hoewel incidenten nooit kunnen worden uitgesloten, betekent het dat je minder kwetsbaar wordt voor aanvallen en incidenten. Bovendien kun je sneller reageren, mocht zo'n incident zich toch voordoen.
  • Kostenvermindering
    Een ISMS leidt tot minder kosten voor een organisatie. Je hebt meer grip op kwaliteit, je weet beter waar risico's spelen, je hebt prioriteiten gesteld aan je activiteiten. Je bent beter op de hoogte van je assets, interne en externe communicatie verbetert. Bovendien ben je minder kwetsbaar voor downtime, onnodige uitgaven, incidenten etc.
  • Bedrijfscultuur
    Een ISMS zorgt voor een uniforme en allesomvattende aanpak op het gebied van beveiliging en asset- en informatiemanagement. En dat is zeker niet beperkt tot de IT afdeling. Medewerkers voelen zich onderdeel van de organisatie en de informatiebeveiliging, begrijpen risico's beter en passen het beleid dagelijks toe.
  • Aanpassingsvermogen
    Dreigingen ontwikkelen zich, nieuwe risico's verschijnen. Informatiebeveiliging verdient continu aandacht. Een ISMS helpt organisaties zich voor te bereiden op en zich aan te passen aan bedreigingen, risico's en kansen.

ISMS implementeren

Er zijn verschillende manieren om een ISMS op te zetten. Het loont dan ook zeker de moeite om je vooraf goed te laten informeren. Normity kan jou daar overigens prima in adviseren! Vanzelfsprekend biedt de ISO 27001 norm jou veel houvast. Ook de NEN 7510 is een zinvolle norm wanneer je in de zorgsector werkzaam bent. De ISO 27002 bevat een hele reeks best practices. De BIO norm is een toegepaste versie van de ISO 27001 voor overheden. De PDCA cyclus kan jou helpen om continue verbetering te implementeren.

Ga je aan de slag met het opzetten van een ISMS? Doorloop dan de volgende stappen:

  • Scope en doelstellingen
    Bepaal welke informatie beschermd moet worden, en leg vast waarom je deze moet beschermen. Neem daarbij de belangen van de betrokkenen mee, zoals klanten, aandeelhouders, overheden etc. Definieer duidelijke doestellingen op het gebied van informatiebeveiliging.
  • Bedrijfsmiddelen
    Maak een inventarisatie van de bedrijfsmiddelen. Denk hierbij aan zaken als hardware, software, diensten, databases etc. Stel daarbij vast welke informatie binnen die bedrijfsmiddelen stroomt.
  • Risico's
    Heb je je bedrijfsmiddelen in beeld? Leg dan vast welke risico's er spelen. Beoordeel per risico wat de kans en impact is. Ken een eigenaar toe aan alle risico's. Bepaal vervolgens hoe je om wilt gaan met de risico's. Accepteer je het risico? Of ga je ermee aan de slag?
  • Maatregelen
    Het is tijd om een strijdplan te maken (ook wel risicobehandelplan genoemd). Hoe ga je de niet-geaccepteerde risico's aanpakken? Probeer daarbij overigens niet alles zelf te bedenken: je bent echt niet de eerste organisatie die een procedure voor backup en restore moet verbeteren!
  • Verbeteringen
    Het is natuurlijk de vraag of jouw strijdplan wel zo succesvol blijkt te zijn als je vooraf had gedacht. Het is dan ook zaak om de effectiviteit regelmatig te controleren. Wellicht constateer je dat het niet zo effectief was, of je ontdekt nieuwe risico's. In dat geval stel je weer nieuwe maatregelen vast.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Waarom heb je een KMS nodig?

Een kwaliteitsmanagementsysteem (KMS) is een structurele manier om kwaliteit in je organisatie te borgen, meten en verbeteren — via processen, documentatie, audits en de PDCA-cyclus. Waarom heb je er een nodig en wat levert het op? In dit artikel bespreken we het nut en de noodzaak van kwaliteitsmanagement.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Het verschil tussen ISO 27001 en ISO 27002

ISO 27001 is de certificeerbare managementnorm voor informatiebeveiliging; ISO 27002 is de bijbehorende praktijkrichtlijn met concrete beheersmaatregelen. Je certificeert tegen 27001, maar gebruikt 27002 om invulling te geven aan de maatregelen uit Annex A. In dit artikel leggen we het verschil uit en wanneer je welke norm gebruikt.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 4 - De links

De vierde en laatste rode vlag in onze phishingserie is de link: kloppen ze, verwijzen ze naar het juiste domein of verstoppen ze een kwaadaardig adres achter een vertrouwde tekst? In dit afsluitende deel leer je hoe je verdachte links herkent vóór je erop klikt — de belangrijkste verdedigingslinie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 3 - De inhoud

De derde rode vlag in onze phishingserie is de inhoud van het bericht: opvallende urgentie, dreigementen, taalfouten of vreemde verzoeken zijn klassieke signalen. In dit derde deel van vier zie je welke inhoudskenmerken je meteen alert moeten maken — en wat je vervolgens het beste kunt doen.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 2 - De aanhef

De tweede rode vlag in onze phishingserie is de aanhef: persoonlijk of generiek, juist gespeld of vreemd geformuleerd? Phishers kennen je naam vaak niet en verraden zich met vage aanhefvormen. In dit tweede deel van vier leer je hoe je aan de aanhef al kunt zien of iets niet klopt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 1 - De afzender

Phishing herken je vaak al aan de afzender: let op afwijkende domeinnamen, verdachte subdomeinen, vreemde karakters en e-mailadressen die net even niet kloppen. Dit is deel 1 van een vierdelige serie over het herkennen van phishing — we starten bij de afzender, de eerste rode vlag in elk bericht.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

4-O-systematiek

De 4-O-systematiek is een methodiek om afwijkingen structureel aan te pakken op basis van vier O's: Oorzaak, Omvang, Oplossing en Operationaliteit. Je analyseert niet alleen wat er misging, maar ook hoe breed het probleem is en of je oplossing écht werkt. In dit artikel leggen we de aanpak uit.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wat is een verwerking?

Volgens de AVG is 'verwerken' vrijwel alles wat je met persoonsgegevens kunt doen: verzamelen, opslaan, raadplegen, wijzigen, doorsturen, vernietigen — zelfs het enkel bekijken valt eronder. In dit artikel lichten we toe wat het begrip 'verwerken' precies inhoudt en waarom dit ruime begrip relevant is voor elke organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Bedieningsprocedure

Annex 12.1.1 van ISO 27001 vraagt om bedieningsprocedures: documenten die beschrijven hoe je ICT-systemen dagelijks veilig bedient, beheert en onderhoudt. Denk aan back-up-routines, toegangsbeheer of incidentafhandeling. In dit artikel leggen we uit wat een bedieningsprocedure precies is en hoe je er een opstelt die écht gebruikt wordt.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Clean desk

Clean desk is het principe dat medewerkers aan het einde van de werkdag hun bureau leeg en gedocumenteerd achterlaten — geen papieren, geen USB-sticks, geen notities. Samen met clean screen (een vergrendeld, leeg scherm) is het een eenvoudige maar effectieve informatiebeveiligingsmaatregel. In dit artikel lees je waarom het werkt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Omgevingsbewust

Thuiswerken vraagt om omgevingsbewustzijn: je werkplek is geen kantoor, dus let op wie er meekijkt of meeluistert, wie je wifi gebruikt en hoe je met vertrouwelijke documenten omgaat. In dit artikel zetten we praktische tips op een rij om ook thuis veilig en bewust met informatie om te gaan.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wachtwoorden

Veilige wachtwoorden zijn lang, uniek, moeilijk te raden en je deelt ze nooit — Kaspersky vergeleek ze niet voor niets met onderbroeken. Toch gebruiken veel mensen nog steeds zwakke of hergebruikte wachtwoorden. In dit artikel lees je hoe je goede wachtwoorden kiest, beheert met een wachtwoordmanager en veilig onthoudt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing

Phishing is oplichting via e-mail, WhatsApp of SMS waarin de afzender je probeert te verleiden tot klikken, inloggen of betalen op een nepsite. Het is de meest voorkomende route voor datadiefstal en ransomware. In dit artikel geven we praktische tips om phishing te herkennen en er niet in te trappen.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wifi

Wifi is handig, maar niet altijd veilig: open netwerken kunnen worden afgeluisterd, zwak versleutelde wachtwoorden gekraakt en thuisnetwerken onvoldoende ingesteld. Zeker voor thuiswerkers is dat een risico. In dit artikel geven we tips om je wifi veilig in te richten en veilig te werken op openbare netwerken.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Microsoft Teams

Microsoft Teams is het hart van thuiswerken geworden — maar handig is niet automatisch veilig. Wie kan meekijken, hoe ga je om met bestanden, en wat stel je in om persoonsgegevens te beschermen? In dit artikel delen we praktische tips om veilig samen te werken in Microsoft Teams.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over ISMS

De vragen die we het vaakst krijgen over ISMS, met korte en feitelijke antwoorden.

Een ISMS (Information Security Management System) is een systematische aanpak waarmee een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering via de PDCA-cyclus. De internationale norm voor ISMS-eisen is ISO 27001. Een ISMS is geen softwarepakket, maar een manier van werken.

Nee. Een ISMS is een managementsysteem: beleid, processen, rollen, risico's en maatregelen. Software zoals Normity ondersteunt het ISMS — denk aan documentbeheer, auditplanning, risicoregisters en dashboards — maar het ís het ISMS niet. De onderliggende manier van werken bepaalt of informatiebeveiliging daadwerkelijk is geborgd.

ISO 27001 beschrijft de eisen waaraan een ISMS moet voldoen om te kunnen certificeren. De norm zegt niet hoe je het moet doen — alleen wat er geregeld moet zijn. De concrete invulling van controls komt uit ISO 27002 of sectorvarianten zoals NEN 7510 en BIO.

Nee — een ISMS kan ook zonder certificering bestaan. Veel organisaties richten een ISMS in om grip te krijgen op informatiebeveiliging, zonder direct de certificeringsaudit in te willen. Voor contractuele eisen (bij klanten, aanbestedingen) is certificering echter vaak het meest efficiënte antwoord.

Een werkend ISMS omvat: informatiebeveiligingsbeleid, context- en stakeholderanalyse, risicobeoordeling, beheersmaatregelen (controls), verklaring van toepasselijkheid, logging en monitoring, incidentproces, interne audits, managementreview en continue verbetering. Samen dekken ze de PDCA-cyclus voor informatiebeveiliging.

Start met een nulmeting: waar staat informatiebeveiliging nu? Daarna scope bepalen (welke processen, systemen en locaties vallen eronder), risicoanalyse uitvoeren, beleid opstellen en maatregelen kiezen. Parallel: trainen van medewerkers en opzetten van incidentprocessen. Verwacht zes tot twaalf maanden voor een werkend ISMS, langer voor certificering.

Een ISMS focust op informatie (vertrouwelijkheid, integriteit, beschikbaarheid). Een KMS (kwaliteitsmanagementsysteem op basis van ISO 9001) focust op product- en dienstkwaliteit. Beide volgen de PDCA-cyclus en de HLS-structuur, waardoor ze goed te integreren zijn in één geïntegreerd managementsysteem.

Een ISMS moet continu onderhouden worden. Dat gebeurt via periodieke risicobeoordelingen, interne audits, managementreviews, incident-analyses en bijsturing op basis van externe ontwikkelingen (NIS2, nieuwe dreigingen, technologische veranderingen). Een ISMS dat niet wordt onderhouden is na een jaar of twee zijn waarde kwijt.

Meer weten?

Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!

Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management