Dit is de uitdaging bij het opzetten van een goed gedocumenteerd Information Security Management System (ISMS).
De grootste uitdaging bij het opzetten van een Information Security Management Systeem (ISMS) is zeker het uitvoeren van de risico-inventarisatie. Hoe weet je dat je dat goed hebt gedaan? Zijn de medewerkers er wel voldoende bij betrokken? Hoe schat je de omvang van de risico' s in? En als laatste: welke risico's zijn onaanvaardbaar hoog en zullen met (aanvullende) maatregelen verlaagd moeten worden. Deze inventarisatie en analyse mondt uit in jouw risico-behandelplan en vormt de basis van het ISMS.
Minder uitdagend is het opzetten van jouw informatiebeveiligingsbeleid. Het goed communiceren daarvan is daarentegen wel heel belangrijk.
Een mooi houvast voor dit alles is de verklaring van toepasselijkheid, ook wel de annex a van de ISO 27001 genoemd. Je zal deze moeten doornemen en aangeven wat er bij jou van toepassing is en wat niet (plus toelichting). Dat is wel even wat werk!
Wanneer iedereen op de hoogte is van het informatiebeveiligheidsbeleid en het risico-behandelplan is geïmplementeerd, wordt het tijd om met jouw ISMS te gaan werken. De fase van monitoren, beoordelen, verbeteren en weer controleren op effectiviteit breekt nu aan.
Wat heb je onder meer nodig?
Projectplan en een handleiding ISO 27001 (zie ons aanbod) of een adviseur die je exact vertelt wat je wanneer moet doen.
Informatiebeveiligindsbeleid, context van de organisatie.
Risico-analyse, risicobehandelplan, monitoringsmiddelen, Verklaring van toepasselijkheid
Procesbeschrijvingen, werkinstructies en vastgelegde afspraken.
Interne audits, directiebeoordeling.