ISMS – managementsysteem voor informatiebeveiliging
ISMS staat voor Information Security Management System en is een managementsysteem voor informatiebeveiliging. Het ISMS bestaat voor een deel uit IT onderdelen, maar daarnaast komen gedrag van medewerkers, standaard procedures en bedrijfsrichtlijnen aan de orde. Met een ISMS kan de informatiebeveiliging van een organisatie naar eigen inzicht bestuurd worden. Een aantal activiteiten, zoals het uitvoeren van een interne audit of een risico analyse zijn verplicht. Door het inrichten van een ISMS en het uitvoeren van verplichte activiteiten kan aantoonbaar gemaakt worden dat voldoende aandacht wordt besteed aan informatiebeveiliging.
Het ISMS gaat uit van de zogenaamde PDCA cyclus (Plan, Do, Check, Act). Het gaat hierbij om dreigingen van buitenaf én om behoeften van binnenuit. Wat is bedrijfskritiek en is een risicoanalyse aanwezig (Plan), wat moet je verbeteren (Do), is een risicoanalyse aanwezig (Check) en hoe acteer je op eerdere stappen, verbeter je je proces (Act)? Continu anticiperen en verbeteren is het uitgangspunt om goed te kunnen acteren op steeds veranderende dreigingen.
De norm ISO 27001 informatiebeveiliging is dé standaard voor het opzetten en implementeren van het ISMS en beschrijft hoe informatiebeveiliging procesmatig kan worden ingericht. Verder stelt de norm specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS. Onderdeel hiervan is het periodiek uitvoeren van een risicoanalyse & risicobeoordeling, waarmee specifieke organisatierisico’s rond informatiebeveiliging worden geborgd en weggenomen door passende beveiligingsmaatregelen. De norm kan worden ingezet binnen iedere organisatie. Voor de zorgsector wordt NEN 7510:2017 gehanteerd.