Security Toolbox

ISMS

Dit is een voorbeeld van een Information Security Management System, kortweg ISMS genoemd. In dit systeem leg je het beleid en procedures vast met betrekking tot informatiebeveiliging van de organisatie. Dit ISMS is voor een groot deel ingericht en het is aan jou en je team om de noodzakelijke acties uit te voeren en vast te leggen. De meeste onderwerpen zijn voorzien van uitleg en tips en er zijn ook sjablonen toegevoegd waardoor je niet alles zelf hoeft te bedenken. Hetgeen enorm veel tijd scheelt.

Confluence

Het is handig om voor je ISMS een online tool zoals Confluence te gebruiken. Confluence is een wiki van Atlassian waarbij het mogelijk is om informatie te delen, samen te werken met anderen en beschikt over tal van functionaliteiten en add-ons. Dit maakt het bijvoorbeeld mogelijk om taken toe te wijzen, documenten op te slaan en rapportages over de voortgang te maken. Bovendien staat het in de cloud (dus niet afhankelijk van lokale servers en overal en altijd bereikbaar), heeft het een hoge beschikbaarheid en kan er tweefactorauthenticatie gebruikt worden, hetgeen de omgeving heel veilig maakt.

Hoewel Confluence niet erg moeilijk is om te gebruiken, is het raadzaam om bijvoorbeeld een korte cursus of e-learning te volgen om meer bekend te raken met alle mogelijkheden van Confluence.

Inleiding

Dit ISMS maakt gebruik van de werelwijd erkende ISO 27001 norm voor het inrichten van de informatiebeveiliging binnen een organisatie. Dit betekent niet automatisch dat de organisatie zich dan ook moet laten certificeren, maar dat behoort wel tot de mogelijkheden als de behoefte er is of de gelegenheid zich aandient.

Hoewel er tal van voordelen zitten om officieel gecertificeerd te zijn, zoals het voldoen aan eisen van je klanten of als verkoopargument, gaat het er natuurlijk om, om de organisatie veiliger te maken. De IS0 27001 is behoorlijk uitgebreid en wellicht dat niet alle controls van toepassing op zijn op jouw organisatie.

Maatregelen

Hieronder een overzicht van de maatregelen die genomen dienen te worden om de veiligheid te kunnen waarborgen. Waarschijnlijk zal niet elke maatregel toegepast hoeven te worden. Bijvoorbeeld wanneer het om een wat kleinere organisatie gaat, maar er dient zeker gekeken te worden of een maatregel wel of niet van toepassing is. Het hangt natuurlijk heel erg af van de aard van het bedrijf en welk soort informatie er verwerkt wordt. Een koekjesfabriek zal waarschijnlijk minder gevoelige informatie verwerken dan een advocatenkantoor.