Wanneer jouw organisatie heeft gekozen voor de ISO 27001 certificering voor informatiebeveiliging, dien je te voldoen aan de eisen uit de norm. Deze norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden én verbeteren van een gedocumenteerd Information Security Management System (ISMS). Vaak verwerken bedrijven ook andere informatie in hun management systeem tool, dan is er sprake is van een geïntegreerd management systeem, ofwel een Integrated Management System (IMS). Bij een IMS is de structuur geschikt voor meerdere ISO certificeringen, niet alleen ISO 27001, maar ook voor bijvoorbeeld ISO 9001, de norm voor kwaliteitsmanagement. Dit voorkomt dat je onnodig dubbele informatie hoeft te registreren.
Wat is ISO 27001?
ISO 27001 is een internationale norm voor informatiebeveiliging en wordt ook wel aangehaald als NEN-EN-ISO/IEC 27001. Deze certificering is er om aan te kunnen dat tonen dat jouw bedrijf op een vertrouwelijke en verantwoorde manier omgaat met informatie en afdoende beveiligingsmaatregelen implementeert. Van ZZP-ers tot MKB en multinationals, alle soorten bedrijven behandelen dagelijks veel informatie, of het nu gaat om persoonsgegevens, klantgegevens of andere zaken. Het is van belang dat deze informatie goed wordt opgeslagen en beveiligd om te zorgen dat deze informatie niet op een verkeerde plek terecht komt, door hacking bijvoorbeeld. In de norm wordt beschreven hoe je juist wel op een continue wijze volgens een proces om kan gaan met informatiebeveiliging, waarbij je wil de integriteit, vertrouwelijkheid en beschikbaarheid wil waarborgen binnen jouw organisatie.
Wanneer je ISO 27001 wil invoeren in jouw organisatie, is het van belang dat je op een gestructureerde en duidelijke manier voldoet aan de eisen uit de ISO norm met betrekking tot informatiebeveiliging.
Software tool voor ISO 27001
Wanneer je ISO 27001 wil invoeren in jouw organisatie, is het van belang dat je op een gestructureerde en duidelijke manier voldoet aan de eisen uit de ISO norm met betrekking tot informatiebeveiliging. De norm specificeert ook eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden én verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor jouw organisatie. Met het implementeren van een ISMS borg je de beschikbaarheid, integriteit en vertrouwelijkheid van informatie binnen de organisatie.
Door te werken met het ISMS en daarmee te voldoen aan de norm laat jij als organisatie zien dat alle risico’s rond vertrouwelijk omgaan met informatie op de juiste manier worden beheerst.
Een ISMS is een vorm van een managementsysteem in dit geval gericht specifiek op Informatiebeveiliging. Jouw managementsysteem bevat meerdere vormen van informatie waar de ISO certificering voor informatiebeveiliging er één van is.
Wat is een managementsysteem?
Een managementsysteem stelt bedrijven in staat complexe, divisie overschrijdende leiderschapstaken te beheren. Door middel van duidelijke rollen, procedures en processen worden zaken als kwaliteit, duurzaamheid, innovatie, kennis, arbeidsveiligheid en informatiebeveiliging op een gestructureerde manier beheerd. Het omvat het beleid dat door een organisatie wordt gebruikt om te zorgen dat de bedrijfsdoelstellingen kunnen worden behaald.
Het managementsysteem bevat allerhande managementinformatie bestaande uit allerlei data, die ervoor kan zorgen dat de juiste beslissingen kunnen worden genomen om de doelstellingen te behalen.
Wat is managementinformatie?
Managementinformatie bevat alle informatie met betrekking tot besluitvorming. Het zijn de gegevens waarmee managers de bedrijfsprocessen kunnen besturen.
Je hebt verschillende soorten managementinformatie:
- Stuurinformatie: informatie voor managers om de eigen organisatie te kunnen besturen en te beheersen.
- Verantwoordingsinformatie: informatie om je te kunnen verantwoorden aan het hoger management of bijvoorbeeld de toezichthouders van de informatie.
Voorbeelden managementinformatie
Tegenwoordig zijn er steeds meer data beschikbaar die kunnen worden gebruikt als managementinformatie en indicatoren van de prestaties van een bedrijf, daarom geven we een paar voorbeelden:
- Marketing informatie: die voortkomt uit diverse systemen van Google Analytics (website data), Social Media (LinkedIn, Twitter, Facebook) tot aan digitale mailingtools.
- Medewerkers informatie: prestaties van medewerkers, persoonsgegevens, salarisinformatie etc.
- Beleidsinformatie ten aanzien van informatiebeveiliging: laptopconfiguraties, wachtwoordbeleid, logfiles, monitoringsinformatie, beveiliging van opslag van data, awareness van medewerkers op gebied phising, etc..
Om deze data vast te leggen of te registeren kun je een management systeem tool gebruiken om inzicht te krijgen in de prestaties van jouw organisatie. Deze software tool kan worden gebruikt om aanpassingen door te voeren aan bijvoorbeeld bedrijfsprocessen.
Een IMS geeft jou de gelegenheid om sneller te werken, doordat je alle informatie op een online plek samenbrengt, waardoor je niet hoeft te zoeken door allerlei verschillende losse documenten. Een IMS geeft ook sneller inzicht doordat je in een oogopslag de verschillende informatie bij elkaar hebt en hier eenvoudiger conclusies aan kunt verbinden. Door de managementinformatie centraal beschikbaar te stellen en samen te brengen, scheelt dat tijd en kosten.
Wat is het verschil tussen een Integrated Management Sytem tool en ISMS software tool?
Wat is nu eigenlijk het verschil tussen een IMS tool en ISMS software? Een IMS tool is een software tool voor een management systeem. Dit is een online applicatie waarin je jouw managementinformatie en meerdere certificeringen kunt onderbrengen. Wanneer je ISO 27001 certificering wil invoeren in jouw organisatie is het van belang dat je een tool kiest waarin je jouw ISMS kunt onderbrengen en daarom kiest voor een software tool die dit ondersteunt. Je kunt het zo zien dat een ISMS software tool een vorm is van een IMS.
Een ISMS is een werkwijze voor het beveiligen van alle vertrouwelijke informatie binnen jouw organisatie. Ondanks dat dit vaak gedacht wordt, is een ISMS an sich slechts een werkwijze en geen online tool. ISMS software zorgt ervoor dat je de informatiebeveiliging van jouw organisatie op een gestructureerde manier kunt aanpakken. Wanneer je jouw ISMS onder wil brengen in een ISMS software tool, kies dan voor de ProActive Compliance Tool. De PCT ondersteunt jouw organisatie bij het inrichten en gebruiken van een managementsysteem voor informatiebeveiliging volgens ISO 27001. En aangezien er doorgaans behoorlijk wat gedocumenteerde informatie gebruikt, zoals beleid, procedures, plannen, operationele planning, beschrijvingen, overzichten en resultaten. Deze gedocumenteerde informatie heb je dan op 1 centrale plek, waardoor je tijdens de audit snel alle informatie bij de hand hebt en hierdoor tijd bespaart.
Meer informatie over ISO certificering in de PCT?
Ben je benieuwd hoe je jouw ISO 27001 certificering kunt onderbrengen in de PCT? Vraag dan vandaag nog een demo aan.