Wat is een ISMS?

Een ISMS is de basis voor een adequaat beveiligingsbeheer.
In de praktijk betekent dit dat een ISMS voor de CISO aan de volgende eisen zou moeten voldoen.

Een ISMS:

  • moet integraal zijn (alle normenkaders van de BIG, BAG, Digi-D, Suwinet, BRP, Reisdocumenten) en ondersteunend aan de Deming cirkel.
  • moet op papier leveren wat er zou moeten gebeuren (opzet) en op basis waarvan de CISO kan controleren of het zo is georganiseerd cq ingericht.
  • is bedoeld voor de CISO zodat hij weet wat de beveiligingsorganisatie moet doen (welke maatregelen), wie dit moet doen (actiehouder) en wanneer (planning).
  • is praktisch en handzaam op basis van ‘Pas toe of leg uit’ en ‘groeit mee’ met de implementatie van de BIG en de samenwerkingen van de gemeente.
  • moet gemeentebreed zijn en minimaal de bedrijfsinformatiesystemen volgens de gemeente-architectuur (GEMMA) bevatten.
  • is vooral ondersteunend als systematiek voor de CISO.
  • hoeft geen nieuwe applicatie te zijn.

    • Een (nieuwe) applicatie met workflow kan waarde toevoegen als de gemeente al geïntegreerde risico-beheersing invoert (bijvoorbeeld álle risico’s in één applicatie).

Wat zegt de Baseline Informatiebeveiliging Gemeenten (BIG) over een ISMS?

Eén van de maatregelen uit de BIG is het hebben en bijhouden van een ISMS (15.3.2).

Beheersmaatregel:
Bescherming van hulpmiddelen voor audits van informatiesystemen.

Beveiligingsmaatregel:
De vraag is of de organisatie een Information Security Management System (= ISMS) heeft geïmplementeerd. Een ISMS is een samenhangend geheel van beleidsregels over de beheersing van de risico's voor de informatieveiligheid. Het centrale idee achter een ISMS is dat een organisatie een samenhangend geheel van IT beleidsregels, processen en systemen zou moeten ontwerpen, implementeren en beheren om de risico's te beheersen.
Het ISMS is één van de onderdelen van de kwaliteitscirkel informatieveiligheid, speciaal voor gemeenten ontwikkeld.

Informatiebeveiligingsplan

Een gemeentebreed actueel informatiebeveiligingsplan

Het maken van een informatiebeveiligingsplan hoeft geen weken te duren met onze slimme aanpak. Met een gecombineerde GAP- en impactanalyse maken wij met u op een snelle, efficiënte én zorgvuldige wijze een op maat gemaakt gemeentebreed informatiebeveiligingsplan met informatiebeleid, maatregelen, planning en actiehouder. Dat scheelt u tijd en geld!

ISMS 2.0

Informatiebeveiliging

Met het Information Security Management System (ISMS) van SEP zet u de eerste stap naar adequaat beveiligingsbeheer van de processen in uw gemeente op basis van de BIG. Het ISMS is compleet, integraal en biedt meer dan u verwacht: maatregelen, planning, actiehouder en de op maat gemaakte voorbeeld-documenten (212) van alle normenkaders (BIG, BAG, Suwinet, Digi-D, BRP, Reisdocumenten), inclusief onderhoud van de landelijke regelgeving en nog veel meer. U krijgt toegang tot de inzage- en muteerfunctie via onze webportal met :
• Onbeperkt aantal gebruikers afdelingen/eigenaren/per maatregel
• Status op beheer- en beveiligingsmaatregelen
• Controle en voortgangsbewaking met notificaties
• Zelf (templates) documenten toevoegen
• Exportfunctie (klaar voor ENSIA)
• Efficiënte oplossing voor enkelvoudig én samenwerkende organisaties.

CISO

Training

De CISO (Chief Information Security Officer) speelt een belangrijke rol bij de continue borging van informatieveiligheid. In samenwerking met Aranea en S-Pedia is er een training ‘CISO in de praktijk’ ontwikkeld. Specifiek voor de lokale overheid.


Voor meer informatie over deze training, kijk op www.sep.nl/ciso in de praktijk.html

iBewust

Veilig, Vaardig en iBewust

Informatieveiligheid is een verantwoordelijkheid van heel de organisatie. Hoe goed de techniek ook is georganiseerd, als medewerkers de deuren open houden voor vreemden, slordig omgaan met wachtwoorden of bijvoorbeeld phishing mail niet herkennen, dan blijft de informatieveiligheid zeer kwetsbaar. Om die reden is het van belang dat bestuur, management én de medewerkers ondersteund worden bij informatieveiligheid: Veilig, Vaardig én iBewust. SEP heeft met zorg iBewustzijn-pakketten ontwikkeld voor de lokale overheid met daarin de nulmeting iBewustzijn, iBewustzijnplan, e-Learning, workshops Bestuur, Management en Organisatie en kennistesten.

 

Lees hier verder.

Ondersteuning

Informatieveiligheid is géén eenmalige activiteit, maar een proces wat ingericht én geborgd moet worden. Hiervoor is de kwaliteitscirkel Informatieveiligheid ingericht. Deze kwaliteitscirkel bevat een permanente verbetercyclus over de boeg van ‘leren en ontwikkelen’. Als uw partner voor informatieveiligheid bieden wij samen met onze kennispartners volledige ondersteuning aan op alle elementen van de kwaliteitscirkel.

Afhankelijk van uw situatie richt u de kwaliteitscirkel in waar nodig:

  • iBewustzijn voor de hele organisatie met nulmeting, e-Learning en/of workshops
  • iBewustzijn voor het bestuur en management
  • Uitvoeren GAP-analyse
  • Gemeentebreed informatiebeveiligingsplan
  • ISMS met alle op maat gemaakte voorbeelddocumenten
  • Inzetten kennistesten (per thema en doelgroep)
  • Inzetten Mystery Guests
  • Uitvoeren penetratie en vulnerability test
  • Uitvoeren Privacy Impactanalyse IBD
  • Uitvoeren zelfevaluatie reisdocumenten
  • Uitvoeren interne audit
  • Monitoring uitvoering beveiligingsmaatregelen
  • Interim inzet CISO / Vervanging

© 2017 - SEP