Het managementsysteem voor informatiebeveiliging (ISMS) is een werkwijze om informatiebeveiliging op een gestructureerde manier toe te passen binnen de organisatie. Het vormt een raamwerk waarmee je beleid, processen en maatregelen rondom informatiebeveiliging kunt organiseren. Zo wordt de organisatie, en een bestuurder in het bijzonder, in staat gesteld om de juiste afwegingen te maken.
Om een veelvoorkomend misverstand te voorkomen: een managementsysteem is géén applicatie. Een applicatie kan wel ondersteunen bij het toepassen van een managementsysteem.
BIO2 en het managementsysteem voor informatiebeveiliging (ISMS)
CIP organiseert op verzoek van het ministerie van BZK een communicatieaanpak met evenementen en handreikingen bij de implementatie van de BIO2. In november staat het thema Information Security Management Systeem (ISMS) centraal.
De BIO2 schrijft voor dat het managementsysteem van een organisatie voldoet aan NEN-EN-ISO/IEC 27001. Bij het bepalen van de reikwijdte van het managementsysteem neemt een organisatie minimaal de bedrijfsprocessen en informatiesystemen op die kritisch zijn voor haar dienstverlening, waarbij aantasting van de beschikbaarheid, integriteit of vertrouwelijkheid zou leiden tot onacceptabele impact.
Het managementsysteem voor informatiebeveiliging borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicomanagementproces toe te passen. Dit geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de organisatie en met de algehele managementstructuur. En dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen.
Hulpmiddelen voor een ISMS
Het inrichten van een ISMS is echter makkelijker gezegd dan gedaan. Het draait om meer dan een stapel documentatie of het hebben van een ISMS-tool. Het ISMS-gedachtegoed moet gaan leven in je organisatie; je moet ervoor zorgen dat het risico-denken onderdeel wordt van je organisatiecultuur.
Het NCSC heeft een publicatie over hoe je kunt beginnen met een ISMS, deze is te bekijken op de website van het NCSC. Deze publicatie gaan zij toelichten in een van de BIO2-themasessies, dus bekijk de agenda hier onderaan. De Vereniging van Nederlandse Gemeenten (VNG) heeft het ondersteuningsaanbod voor gemeenten verzameld op hun BIO2-pagina. Dit aanbod is ook interessant voor andere overheidsorganisaties.
Agenda
BIO2-themasessies over ISMS (online):
- Maandag 17 november 2025 – Jan Boeije en Laura Oldenburg (Waterschap Zuiderzeeland)
- Dinsdag 25 november 2025 – Koen Sanderink (NCSC) en Hans Quist (Provincie Zeeland)
- IB&P themasessie 27 november 2025 – Diederik Linders (IBD)
De link voor een BIO2-themasessie of IB&P-themasessie is voor CIP-netwerkleden te vinden op ons besloten kanaal CIP.Pleio.nl en wordt ook enkele werkdagen vooraf per mail gedeeld met leden van het CIP-netwerk in de desbetreffende community (IB, Privacy, Inkoop etc.) passend bij het onderwerp. Meld je aan voor ons netwerk door een mail te sturen naar cip@cip-overheid.nl.
In de komende maanden ligt de focus in de communicatie op deze BIO2 thema’s:
- December: Risicomanagement
- Januari: Bestuur en organisatie meenemen
- Februari: Operationele technologie (OT) ook wel OT-security
- Maart: Leveranciersmanagement
We houden jullie op de hoogte via onze website, mailings en communities.
Meer informatie over de BIO2
- Baseline Informatiebeveiliging Overheid - Self Assessment (BIO-SA).
- Internet consultatie ministeriële regeling:
Voor IenW: Overheid.nl | Consultatie Cyberbeveiligingsregeling IenW
Voor Overheid: Overheid.nl | Consultatie Cyberbeveiligingsregeling sector Overheid - BIO2 beschikbaar in het Engels.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.