Een ISMS, conform ISO 27001, belangrijk? Zeker. Maar hoe zet je zo'n ISMS op en implementeer je het? Een aantal tips.
In mijn bijdrage van 9 april ‘Op naar een hoger niveau’ beschreef ik dat informatiebeveiliging risicomanagement en een lijnverantwoordelijkheid is. Door het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS), conform de ISO 27001, is het mogelijk om ‘los’ te komen van de waan van de dag.
Een ISMS borgt risicomanagement op basis van de plan-do-check-act-cyclus, waarin tevens lijnverantwoordelijkheid tot uiting komt. Het helpt het onderwerp informatiebeveiliging op de agenda van bestuur en management te krijgen/houden omdat het ISMS de organisatiebelangen afzet tegen relevante dreigingen. Hierdoor worden risico’s niet alleen inzichtelijk gemaakt, maar ook geclassificeerd en toegekend aan een risico-eigenaar. Het zorgt dat risico’s worden teruggebracht tot een geaccepteerd risiconiveau, want we weten: ‘100 procent informatieveiligheid bestaat niet’.
In deze bijdrage ga ik meer in op de aanpak om een ISMS conform de ISO 27001 op te zetten. Hiervoor zijn ook goede (theoretische) boeken te raadplegen. Ik mag een aantal (overheids)organisaties ondersteunen met en adviseren bij het opzetten en implementeren van een ISMS conform de ISO 27001. Daarom deel ik graag mijn praktijkervaring en aanpak.
Een aantal tips voor als je gaat starten:
a) Heb ambitie, maar wees niet te ambitieus.
In mijn blog van 9 april beschreef ik al dat we niet beschikken over oneindige resources en vooral niet over veel tijd. Neem dus ook de tijd en trek er desnoods meer dan 1 jaar voor uit.
b) Stel een realistisch doel.
Het opzetten en implementeren van het ISMS vraagt aandacht, tijd en betrokkenheid van anderen. In lijn met ‘wees niet te ambitieus’, laat je doel eerst zijn dat een ISMS is opgezet en geïmplementeerd. Daar gaat de meeste energie in zitten. Dat betekent dat je de scope het beste eerst echt klein moet houden.
c) Hanteer een kleine scope.
Zoals aangegeven, laat het doel eerst zijn dat er een ISMS is opgezet en geïmplementeerd. Door eerst één of enkele relevante processen te selecteren voor je scope, maak je het voor jezelf en alle andere betrokkenen ook behapbaar en overzichtelijk. Gemeenten kunnen hierbij ook denken aan de processen die onderdeel uitmaken van ENSIA. Als het ISMS eenmaal effectief draait, dan is het veel eenvoudiger om de scope te verbreden.
d) Managementcommitment is nodig.
Het ISMS is een managementsystem, waarin het management (in de ISO-norm vaak als ‘directie’ betiteld) een cruciale rol speelt. Zoek sponsoren en maak inzichtelijk wat een ISMS voor de organisatie kan betekenen [business case].
Mogelijk te doorlopen pad bij het opzetten van een ISMS:
1. Stel een projectinitiatiedocument op
Hierin beschrijf je de aanpak, het doel, de scope, de aanpak en de planning. Hierin integreer je ook de business case. Maak inzichtelijk voor management waarom een ISMS noodzakelijk is, wat de waarde is voor de organisatie, wat en hoe de aanpak is. Bespreek dit met het management. Dit ondersteunt managementcommitment. Na een ‘go’ kun je het ISMS gaan opzetten.
2. Beschrijf de werking van het ISMS conform de ISO 27001
Koop de ISO 27001 en beschrijf aan de hand van de hoofdstukken 4 tot en met 10 de opzet van jullie ISMS. Hierin komt de contextanalyse, een overzicht van de stakeholders en hun belangen, de wijze waarop risicobeoordeling en -behandeling plaatsvindt, wie welke verantwoordelijkheden heeft en hoe de pdca-cyclus verder verloopt.
3. Stel informatiebeveiligingsbeleid op
Een belangrijk onderdeel van het ISMS vormt het informatiebeveiligingsbeleid. Hierin neem je op welke informatiebeveiligingsdoelen er zijn waar het ISMS aan moet bijdragen.
4. Voer (jaarlijks of vaker) een risicoanalyse uit
Organiseer een risicobeoordelingssessie met mensen die goed zicht hebben op een informatiebeveiligingsrisico’s in relatie tot de scope. Betrek hierin onder andere mensen van het geselecteerde proces, facilitair, hrm, functioneel beheer, ICT-beheer en interne control.
5. Bespreek de risico’s met de risico-eigenaren
De gevonden risico’s bespreek je met de risico-eigenaren. Dat is niet per definitie de proces- of systeemeigenaar. Het gaat hierbij om de persoon die het beste in staat is om een specifiek risico te managen op basis van kennis, competenties en resources. De risico-eigenaar beslist wat hij met het gevonden risico wil doen. Dit bevordert lijnverantwoordelijkheid.
6. Stel de verklaring van toepasselijkheid op
Op basis van de risicobeoordeling en het gesprek met de risico-eigenaar bepaal je welke beheersmaatregelen je van toepassing verklaart. Welke beheersmaatregelen uit de ISO 27002 (of BIO) gaan bijdragen aan het reduceren van het risico tot een geaccepteerd niveau?
7. Stel een implementatieplan (risicobehandelplan) op
Vervolgens stel je een plan op waarin staat wie welke beheersmaatregelen moet uitvoeren. Dit bespreek je ook met betrokkenen en laat je vervolgens door het management accorderen.
8. Voer elk kwartaal een meting uit naar de stand van zaken
Elk kwartaal onderzoek je de status van het implementatieplan en rapporteer je hierover aan management. Zo houd je hen betrokken, maar geef je hen ook de mogelijkheid om bij te sturen.
9. Voer een interne audit uit, bijvoorbeeld een half jaar na het vaststellen van een implementatieplan
Je hoeft niet eerst een jaar bezig te zijn met de implementatie, en het is ook niet noodzakelijk om eerst alles geïmplementeerd te hebben voordat je een interne audit gaat uitvoeren. Je kan na een half jaar een eerste interne audit (als ook een directiebeoordeling) uitvoeren, waarbij de interne auditor onderzoekt in hoeverre je ISMS en beheersmaatregelen effectief werken.
10. Stel bij
Op basis van de meting die je uitvoert of laat uitvoeren, stel je management voor om corrigerende acties uit te laten voeren. Ook deze monitor je via de kwartaalmeting om te bepalen of de acties (effectief) opvolging hebben gekregen. Hierover rapporteer je weer aan management.
11. Eventueel audit op certificeringsniveau/certificering
Afhankelijk van je ambitie kun je, nadat je het ISMS minimaal één keer in zijn geheel hebt doorlopen, het ISMS laten auditen en indien gewenst een certificeringstraject starten.
12. En ga door met de implementatie, voer weer een nieuwe risicoanalyse uit, et cetera
Na het doorlopen van de cyclus is het van belang om je weg te vervolgen. Volg verder het implementatieplan en voer weer een nieuwe risicoanalyse uit (bijvoorbeeld een jaar ná de eerste). Stel bij, ga door en volhard. Werkt het ISMS, dan kun je nadenken of je de scope wil bijstellen van het ISMS.
Hopelijk geeft deze blog jou inzicht in de wijze waarop een ISMS opgezet en geïmplementeerd kan worden.
Youri Lammerts van Bueren heeft als CISO veel ervaring met informatiebeveiliging binnen de overheid. Dankzij een achtergrond in bedrijfskunde en informatiemanagement kan hij informatieveiligheid begrijpelijk maken voor bestuurders en beleidsmakers.
Beste Youri,
Je kondigt aan dat je ingaat op het inrichten van een ISMS, maar ik kon dat in je artikel helaas niet vinden….
Een verwijzing naar ISO27001 helpt daarbij niet zo veel, want dat blijft vaag: ISO27001 benoemt alleen requirements waar een ISMS aan moet voldoen, het specificeert niet wat een managementsysteem is en hoe je het inricht.
En een algemene verwijzing vanuit 27001 naar ISO9001 helpt evenmin, want in geen enkele ISO-norm zul je uitgelegd krijgen wat nou een managementsysteem is en hoe je dat moet inrichten. ISO gaat steeds over requirements áán zo’n managementsysteem. En daar heb je niet veel aan als je niet weet hoe je dat managementsysteem überhaupt zou moeten inrichten.
En dan een jaar gebruiken voor die inrichting? Foei. Dat leer je in twee dagen en dat doe je in hooguit een paar weken. De middelen daarvoor heb je grotendeels al lang in huis. Het is veel waarschijnlijker dat organisaties niet wéten hoe ze die middelen moeten inzetten… Aanvullende middelen krijg je bovendien grotendeels gratis – van de Stichting SURVUZ.
En één of enkele processen selecteren? Dan weet je één ding zeker: je bent dan vanaf het begin al niet geïntegreerd bezig. Wat het resultaat ook wordt, je moet met knip- en pakwerk de boel aan elkaar zien te lijmen. Een holistische benadering vergt een geïntegreerd en integraal procesmodel. Je bedoelt overigens waarschijnlijk practices i.p.v. processen, is het niet?
Over proceseigenaren gesproken: ken je de blog http://www.linkedin.com/pulse/misverstanden ?
Trouwens – maak er vooral geen project van! Probeer gewoon te begrijpen wat een managementsysteem is, begrijp dat je dat altijd al hanteerde (maar dan misschien niet erg efficiënt of effectief) en werk vanuit een agile benadering: met kleine stapjes. Een audit na een half of een heel jaar is typisch een waterval-benadering en we weten wat dat oplevert.
Informatiebeveiliging is trouwens helemaal niet hetzelfde als risicomanagement. Risicomanagement is slechts een onderdeel van informatiebeveiliging… Als je de rest van je processen niet integraal uitvoert, dan blijft het half werk en dan blijft het aanmodderen.
De lezer blijft dus met een onbeantwoorde vraag zitten… En dat jij een aantal (overheids)organisaties mag ondersteunen met en adviseren bij het opzetten en implementeren van een ISMS conform ISO27001 stelt mij niet bepaald gerust dat mijn belastingcenten goed worden besteed. Misschien moet je in een volgende blog nog eens heel concreet maken wat nou een ISMS is?
Dag Jan,
De blog gaat niet over de inrichting van het ISMS, maar over de aanpak. Ik sta open voor feedback of kritiek. Ik dank je ook voor je opmerking. Ik heb je website bezocht – ergens moeten gratis hulpmiddelen staan zei je. De website is niet door te komen, en bevat ook niet een beveiligde verbinding (terwijl je bovenin kan inloggen). Je hebt het in je opmerking ook over knip- en plakwerk…
Ik laat de opmerking daarom maar even aan mij voorbij gaan.
Beste Youri,
Je opent je blog met “In deze bijdrage ga ik meer in op de aanpak om een ISMS conform de ISO 27001 op te zetten.” Ik was dus erg benieuwd hoe je dat doet.
Jammer dat je niet inhoudelijk ingaat op mijn reactie, maar alleen iets negatiefs roept over een website waar ik niet naar verwees.
Misschien wil je nog een poging wagen om in te gaan op mijn eerste commentaar? Dat lijkt me voor de lezers het meest zinvol.
Youri,
Een heldere en compacte uiteenzetting over de aanpak voor het opzetten/inrichten en laten werken van een ISMS. Dat het ondanks de eenvoudig lijkende uiteenzetting een hele klus is om een ISMS neer te zetten en te laten draaien is een ding wat zeker is.
Zoals je het nu beschrijft is ook de wijze waarop ik het uitleg aan verantwoordelijken (management, directie). Dat je zeker minimaal een jaar (dan moet wel alles mee zitten) moet uittrekken voor het inrichten en één keer laten draaien van een ISMS is zeker waar. Het werkingsgebied (scope) moet dan ook zeker niet te groot zijn en in de basis zal dan al enige (verplichte) documentatie beschikbaar moeten zijn.
Met enige verbazing lees ik een reactie “En dan een jaar gebruiken voor die inrichting? Foei. Dat leer je in twee dagen en dat doe je in hooguit een paar weken.”
Als ik de 21 stappen die als PDCA in de NEN7510-2:2017 genoemd zijn om een ISMS te implementeren en uit te voeren in een paar weken zou moeten proppen dan beoordeel ik dit als onmogelijk.
De NEN7510-2:2017 Bijlage B beschrijft ook op een heldere wijze een praktische aanpak voor een ISMS met een samenvatting waarin de stappen die genomen moeten worden gevisualiseerd zijn middels een PDCA cyclus. (een aanrader)
Helaas denken sommige wel eens dat je een ISMS even van de plank trekt (het liefst een software tool) en deze even in een aantal weken implementeert of dat het een systematiek (methode) is om tot een inrichting te komen. Ik begrijp deze gedachte maar deze komt vaak voort uit het niet kennen van de stappen die je moet nemen om risico gebaseerd informatiebeveiliging te implementeren, in control te komen en te blijven.
Mijn advies is dan ook meestal dat als je voor de eerste keer een ISMS moet opzetten dit onder begeleiding moet doen van een ervaringsdeskundige. Zoals jij het noemt, ondersteunen met en adviseren bij…
Youri, ga zeker door met je weblog over dit onderwerp en ik hoop dat bestuurders hier enig beeld door krijgen wat hun kan helpen om tot een hoger volwassenheidsniveau m.b.t. informatiebeveiliging te komen.
M.v.gr.
Joop Hagman
Expert informatiebeveiliging (CISO)
Veiligheidsregio Noord-Holland Noord