Wat is het ISMS:
Een ‘Information Security Management System (ISMS)‘ biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. ISO/IEC 27001 is daarvoor de norm. Dat document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten.
De procesbenadering in deze norm beoogt voor gebruikers het belang te onderstrepen van:
- a) inzicht in de eisen van de organisatie ten aanzien van informatiebeveiliging en de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging;
- b) implementeren en uitvoeren van beheersmaatregelen om de risico’s voor informatiebeveiliging voor de organisatie te beheren ten opzichte van de algemene bedrijfsrisico’s van de organisatie;
- c) controleren en beoordelen van de prestaties en de doeltreffendheid van het ISMS en
- d) continue verbetering, gebaseerd op objectieve meting.
Volledige naleving van deze norm houdt in dat een organisatie kan aantonen dat zij een operationeel ISMS hanteert met geschikte auditprocessen om naleving te controleren.
Deze tekst is onder andere afkomstig van het NEN