Wat is een ISMS en hoe toon je de werking ervan aan?
Een ISMS (Information Security Management System) is het samenhangende geheel van beleid, processen, rollen en maatregelen waarmee een organisatie informatiebeveiliging structureel beheerst. Het is geen map met documenten, maar een werkende cyclus: risico's beoordelen, maatregelen treffen, controleren of ze werken en bijsturen. ISO 27001 stelt de eisen aan een ISMS. De werking toon je aan met bewijs uit de praktijk.
Wat betekent dit in de praktijk?
Een ISMS koppelt drie dingen aan elkaar: wat u wilt beschermen (informatie en systemen), welke risico's die lopen, en welke maatregelen u daartegen neemt. Het bewijs dat het werkt zit niet in het beleid zelf, maar in de uitvoering: ingevulde risicoregisters, toegekende en gecontroleerde toegangsrechten, logging, en opgevolgde verbeteracties.
Hoe toon je de werking aan? (PDCA)
De motor onder een ISMS is de PDCA-cyclus: Plan, Do, Check, Act. U plant maatregelen op basis van risico, voert ze uit, controleert via metingen en interne audits of ze werken, en stuurt bij. Die cyclus — herhaald en vastgelegd — ís het bewijs van werking.
Praktijkvoorbeeld
Een organisatie stelt vast dat verloren laptops een risico zijn (Plan: maatregel = schijfversleuteling). IT rolt versleuteling uit (Do). Bij de interne audit blijkt 3% van de laptops onversleuteld (Check). Die worden gecorrigeerd en de uitrolprocedure wordt aangescherpt (Act). Het auditspoor van deze vier stappen is precies wat een ISO 27001-auditor wil zien.
Veelgemaakte fout
De grootste fout: een ISMS opzetten als eenmalig project en daarna stilvallen. Zonder herhaalde metingen, audits en bijsturing verwatert het bewijs en valt u door de mand bij de eerste serieuze toetsing. Een ISMS-volwassenheidsmeting laat zien of uw cyclus echt draait.
ISO/IEC 27001 — officiële normpagina (officiële bron).
Veelgestelde vragen
Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.
Een ISMS is het managementsysteem zelf: uw beleid, processen en maatregelen voor informatiebeveiliging. ISO 27001 is de internationale norm die eisen stelt aan zo'n ISMS. U kunt een ISMS hebben zonder certificaat, maar voor ISO 27001-certificering moet uw ISMS aantoonbaar aan de norm voldoen en werken.
Een ISMS schaalt mee met de organisatie en de risico's. Een klein bedrijf heeft een compacter ISMS dan een multinational, maar de kernelementen zijn gelijk: scope, risicobeoordeling, maatregelen, interne audit, management review en verbetering. De norm vraagt proportionaliteit, geen bureaucratie.
Bewijs van werking zijn onder andere een actueel risicoregister, een onderbouwde Statement of Applicability, logging en toegangsbeoordelingen, uitgevoerde interne audits, notulen van de management review en geregistreerde verbeteracties met opvolging. Het gaat om sporen uit de praktijk, niet alleen om beleidsdocumenten.
Wilt u weten of u audit-ready bent?
Plan een vrijblijvende audit-scan en weet binnen één gesprek waar u staat en wat de volgende stap is.
