Wat is een ISMS?

Een ISMS is de basis voor een adequaat beveiligingsbeheer.
In de praktijk betekent dit dat een ISMS voor de CISO aan de volgende eisen zou moeten voldoen.

Een ISMS:

  • moet integraal zijn (alle normenkaders van de BIG, BAG, Digi-D, Suwinet, BRP, Reisdocumenten) en ondersteunend aan de Deming cirkel.
  • moet op papier leveren wat er zou moeten gebeuren (opzet) en op basis waarvan de CISO kan controleren of het zo is georganiseerd cq ingericht.
  • is bedoeld voor de CISO zodat hij weet wat de beveiligingsorganisatie moet doen (welke maatregelen), wie dit moet doen (actiehouder) en wanneer (planning).
  • is praktisch en handzaam op basis van ‘Pas toe of leg uit’ en ‘groeit mee’ met de implementatie van de BIG en de samenwerkingen van de gemeente.
  • moet gemeentebreed zijn en minimaal de bedrijfsinformatiesystemen volgens de gemeente-architectuur (GEMMA) bevatten.
  • is vooral ondersteunend als systematiek voor de CISO.
  • hoeft geen nieuwe applicatie te zijn.

  • Een (nieuwe) applicatie met workflow kan waarde toevoegen als de gemeente al geïntegreerde risico-beheersing invoert (bijvoorbeeld álle risico’s in één applicatie).

Wat zegt de Baseline Informatiebeveiliging Gemeenten (BIG) over een ISMS?

Eén van de maatregelen uit de BIG is het hebben en bijhouden van een ISMS (15.3.2).

Beheersmaatregel:
Bescherming van hulpmiddelen voor audits van informatiesystemen.

Beveiligingsmaatregel:
De vraag is of de organisatie een Information Security Management System (= ISMS) heeft geïmplementeerd. Een ISMS is een samenhangend geheel van beleidsregels over de beheersing van de risico's voor de informatieveiligheid. Het centrale idee achter een ISMS is dat een organisatie een samenhangend geheel van IT beleidsregels, processen en systemen zou moeten ontwerpen, implementeren en beheren om de risico's te beheersen.
Het ISMS is één van de onderdelen van de kwaliteitscirkel informatieveiligheid, speciaal voor gemeenten ontwikkeld.