Wanneer u een informatiebeveiligingssysteem, zoals ISO 27001, implementeert, wilt u natuurlijk dat dit zo goed mogelijk aansluit bij uw organisatie. Wij nemen een aantal belangrijke zaken met u door, zodat u uiteindelijk een informatiebeveiligingssysteem implementeert dat uw organisatie past als een maatpak.
Wat wilt u bereiken?
Voordat u begint met het opzetten van een informatiebeveiligingssysteem, is het belangrijk eerst helder te hebben wat uw organisatie hiermee wilt bereiken. Door uw doelen helder te hebben, kunt u zich focussen op de zaken die voor uw organisatie het belangrijkste zijn.
Wat is uw beoogde doel van informatiebeveiliging? Wilt u bijvoorbeeld het vertrouwen bij uw klanten vergroten, afbreukrisico’s beperken, informatiebeveiligingsrisico’s beperken, etc.? Voor het vaststellen van doelstellingen is de betrokkenheid van directie essentieel (het is tenslotte een managementsysteem). Zonder die betrokkenheid is het onmogelijk om ook andere collega’s van andere afdelingen mee te krijgen.
Om doelstellingen vervolgens te concretiseren is inzage in de huidige situatie van belang. Wat is de huidige situatie en waar wilt u naartoe? Om u alvast aan het denken te zetten, kunt u 5 vragen stellen om erachter te komen waar uw organisatie staat. Hiermee vergaart u alvast aanknopingspunten waar u kunt verbeteren op het gebied van informatiebeveiliging.
Wat moet er beschermd worden?
Belangrijk onderdeel van ISO 27001 is het identificeren van de risico’s. Informatiebeveiliging gaat immers over het beschermen van kwetsbare (bedrijfs)informatie. Het gaat hierbij in de basis om drie componenten:
- Vertrouwelijkheid: alleen geautoriseerde personen hebben toegang tot (gevoelige) informatie.
- Integriteit: is de informatie actueel, correct en volledig. Zo niet, dan vormt het een risico.
- Beschikbaarheid: toegankelijkheid van de informatie en de bruikbaarheid van deze informatie.
Waar bevindt zich in uw organisatie de kwetsbare informatie? Oftewel waar bevinden de risico’s zich precies bevinden in uw organisatie? Welke informatie en bedrijfsonderdelen wilt u beschermen en dus deel uit laten maken van het informatiebeveiligingssysteem (ISMS)? De plek waar de informatie opgeslagen is, maakt daarbij niet uit. Of dat nu in de cloud is, in het archief op kantoor, op een lokaal netwerk of bij een externe partij. Het gaat erom dat uw organisatie verantwoordelijk is voor die informatie, waar die ook opgeslagen is.
Wanneer helder is welke informatie beschermd moet worden en dus binnen de scope valt van uw ISMS, verschaft u hiermee duidelijkheid. Zo krijgen collega’s inzicht wanneer en hoe ze moeten handelen volgens gestelde richtlijnen. Het is van groot belang dat iedereen hiervan op de hoogte is, zodat het mogelijk is om elkaar aan te spreken wanneer er niet volgens de afspraken wordt gehandeld.
Hoeveel risico wilt u lopen? Kan het bedrijf dit opvangen?
U heeft bepaald waar uw organisatie het meest kwetsbaar is op het gebied van informatiebeveiliging. Deze risico’s kunt u vervolgens specifiek inschalen. Op welk gebied loopt uw organisatie meer risico dan op een ander gebied. U kunt risico’s op verschillende manieren en in verschillende niveaus indelen. Dit is afhankelijk van de risicobeoordelingsmethode die u hiervoor gaat hanteren. Dit is een methode die u helpt bij het bepalen van welke risico’s u (eerst) gaat aanpakken. Een mogelijke methode wordt beschreven in de ISO 27005 norm. Deze norm bevat richtlijnen omtrent de risicobeoordeling en risicobehandeling. Deze norm is verkrijgbaar op de website van het NEN.
Het is gebruikelijk dat een risicobeoordelingsmethode rekening houdt met:
- informatie en de waarde van deze informatie,
- kosten indien er verlies van beschikbaarheid, integriteit of vertrouwelijkheid van beveiligde informatie is,
- imagoschade,
- wettelijke eisen, contractuele eisen en eisen van andere belanghebbenden.
Door deze aspecten voor uw organisatie te specificeren, krijgt u inzicht in de pijnpunten voor uw organisatie. U kunt hiermee ook inschatten hoeveel risico op bepaalde gebieden u kunt/wilt lopen en mogelijk achteraf moet opvangen. Kortom, u denkt hierbij na over de risico-acceptatiecriteria. Hiermee bepaalt u niet alleen welke risico’s er zijn en hoe groot de kans is dat ze zich voordoen, maar ook wanneer uw organisatie een risico acceptabel vindt. Een risico-acceptatiecriterium kan bijvoorbeeld zijn: ‘Risico’s die het imago schaden, zijn niet acceptabel’ of ‘Risico’s met een potentiële schade van lager dan 30.000 euro zijn acceptabel.’
Zo schaalt u elk risico in tegen de achtergrond van uw organisatie en focust u zich op die punten die voor uw organisatie van belang zijn. Vanuit deze uitgangspunten zet u een systeem op met beheersmaatregelen dat past bij de organisatie en bijdraagt aan het behalen van de doelen.
Handvaten voor een goed informatiebeveiligingssysteem passend bij uw organisatie
Bent u verantwoordelijk voor, of betrokken bij, het opstellen van het informatiebeveiligingssysteem? En vindt u het lastig om een managementsysteem te implementeren dat passend is bij uw organisatie? Met het ISO 27001 stappenplan dat door onze experts is ontwikkeld wordt u stap voor stap geholpen om het doel van uw organisatie te bereiken.
Download hier het ISO 27001 stappenplan
Onderwerpen:
Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging cybersecurity
