Zo werkt ISMS Wizard in de praktijk

ISMS Wizard hanteert een heldere en gestructureerde werkwijze die aansluit bij kleinere organisaties die de ambitie hebben om gestructureerd te starten met risicomanagement en informatiebeveiliging. 

1 - Per module stellen wij op het juiste moment gerichte vragen, afgestemd op de context en praktijk van uw organisatie. De antwoorden vormen de basis voor de verdere uitwerking.

2 - Op basis van deze informatie werken wij de benodigde documenten uit. Deze zijn praktisch opgezet en sluiten aan op de omvang, inrichting en volwassenheid van uw organisatie. Geen theoretische modellen, maar documenten die daadwerkelijk gebruikt kunnen worden.

3 - De uitgewerkte documenten worden aan uw organisatie voorgelegd ter review en akkoord. Na vaststelling kunnen deze worden opgenomen in het eigen formaat, template of systeem en dienen zij als uitgangspunt voor verdere implementatie en borging van het ISMS.

Deze aanpak zorgt voor overzicht en voortgang, terwijl uw organisatie inhoudelijk betrokken blijft en regie houdt over de uiteindelijke vastlegging.


ISMS Wizard modules

Foundation

ISMS Wizard Foundation legt het fundament onder risicomanagement en informatiebeveiliging.
De scope, uitgangspunten en verantwoordelijkheden worden helder vastgelegd en de belangrijkste risico's en te beschermen onderdelen worden inzichtelijk gemaakt. Dit resulteert in overzicht, richting en een stevige basis om gestructureerd verder te bouwen.

Risk & Control

ISMS Wizard Risk & Control vertaalt uitgangspunten naar inzicht en onderbouwde keuzes.
De belangrijkste assets, dreigingen en risico's worden inzichtelijk gemaakt en geprioriteerd, met duidelijke keuzes over wat acceptabel is en wat beheerst moet worden. Dit zorgt voor overzicht en een concreet kader om gericht maatregelen te bepalen en verder uit te werken.

Security Program Development

ISMS Wizard Security Program Development vertaalt risico's en keuzes naar een samenhangend beveiligingsprogramma.
Maatregelen worden geordend, geprioriteerd en voorzien van duidelijke verantwoordelijkheden en samenhang. Het resultaat is een overzichtelijke blauwdruk en routekaart om gestructureerd toe te werken naar implementatie.

ISMS Wizard Foundation

Deze module legt het fundament onder de informatiebeveiliging van uw organisatie. In deze fase wordt scherp in beeld gebracht waar uw organisatie voor staat, welke belangen en verwachtingen een rol spelen en wat de reikwijdte van het ISMS is. Ook worden de belangrijkste uitgangspunten vastgelegd, waaronder verantwoordelijkheden, besluitvorming en de manier waarop risico's gestructureerd worden benaderd.

De Foundation-module geeft richting, creëert eigenaarschap en biedt een gedeeld vertrekpunt waarop in vervolgstappen consistent kan worden voortgebouwd.

Uitkomsten

  • Context- en belanghebbendenanalyse
  • ISMS Scope Statement
  • Informatiebeveiligingsbeleid
  • Rollen, verantwoordelijkheden en bevoegdheden
  • Risicobeoordelingsmethodiek

Het proces stap voor stap

Context en belanghebbenden in kaart brengen - Startpunt is het analyseren van de context van uw organisatie: activiteiten, positionering, omgeving en interne en externe factoren die van invloed zijn op informatiebeveiliging. Vervolgens worden de relevante belanghebbenden in kaart gebracht, zoals klanten, leveranciers, toezichthouders en medewerkers, inclusief hun verwachtingen op het gebied van beveiliging.

Scope bepalen - Vervolgens wordt de reikwijdte van het ISMS afgebakend. Dit omvat de processen, systemen, locaties en informatie die binnen scope vallen. Een heldere scope zorgt voor focus en voorkomt een te brede of onduidelijke start.

Informatiebeveiligingsbeleid opstellen - Daarna worden de kernprincipes en uitgangspunten voor informatiebeveiliging vastgelegd. Dit beleid vormt het kader voor verdere keuzes en maatregelen binnen het ISMS.

Rollen, verantwoordelijkheden en bevoegdheden vastleggen - Daarbij wordt helder vastgelegd wie verantwoordelijk is voor het ISMS, wie risico's beoordeelt, wie besluiten neemt en wie uitvoert. Dit creëert duidelijkheid en voorkomt overlap of onduidelijkheid in verantwoordelijkheden.

Risicobeoordelingsmethodiek vaststellen - Als basis voor risicomanagement wordt bepaald hoe risico's worden geïdentificeerd, geanalyseerd en beoordeeld. Hierbij worden criteria, schaalverdelingen en beoordelingsprincipes vastgelegd. Deze methodiek vormt de basis voor de daaropvolgende risicomodule.

Assets inventariseren - Tot slot wordt geïnventariseerd wat beschermd moet worden, waaronder informatie, systemen, applicaties, mensen en locaties. Deze inventarisatie is een essentiële processtap en vormt input voor de latere risicobeoordeling.

ISMS Wizard Risk & Control

Deze module bouwt voort op de vastgestelde uitgangspunten en vertaalt deze naar inzicht en onderbouwde keuzes. Binnen deze fase wordt duidelijk wat binnen uw organisatie bescherming vraagt, welke dreigingen en kwetsbaarheden relevant zijn en welke risico's daaruit voortkomen.

Op basis daarvan wordt bepaald hoe met deze risico's wordt omgegaan: welke risico's acceptabel zijn, welke beheerst moeten worden en welke maatregelen daarbij passend zijn. De Risk & Control-module zorgt voor overzicht, prioritering en een concreet kader voor verdere uitwerking en implementatie.

Uitkomsten

  • Assetregister
  • Dreigingen- en kwetsbaarhedenanalyse
  • Risicoregister
  • Risicobehandelingsplan
  • Statement of Applicability
  • Risicoacceptatieverklaring

Het proces stap voor stap

Assets verdiepen en verfijnen - Voortbouwend op de assetinventarisatie uit de Foundation-module wordt het overzicht verder aangescherpt. Hierbij wordt beoordeeld of alle relevante assets zijn opgenomen, of de classificatie correct is en of elk asset een duidelijke eigenaar heeft. Dit vormt de basis voor een zorgvuldige risicobeoordeling.

Dreigingen en kwetsbaarheden identificeren - Vervolgens worden de dreigingen in beeld gebracht die relevant zijn voor uw organisatie, zoals cyberaanvallen, menselijke fouten of afhankelijkheden van leveranciers. In samenhang daarmee worden kwetsbaarheden geïdentificeerd die door deze dreigingen kunnen worden benut. Dit geeft een realistisch beeld van de risicopositie.

Risico's beoordelen - Assets, dreigingen en kwetsbaarheden worden samengebracht in concrete risicoscenario's. Deze scenario's worden beoordeeld op kans en impact volgens de vastgestelde risicobeoordelingsmethodiek. Het resultaat is een geprioriteerd risicoregister.

Risicobehandeling bepalen - Per risico wordt vastgesteld welke aanpak passend is: accepteren, beheersen, overdragen of vermijden. Voor risico's die beheerst moeten worden, worden bijbehorende maatregelen bepaald en vastgelegd in het risicobehandelingsplan.

Statement of Applicability vaststellen - Op basis van de risicoanalyse wordt bepaald welke maatregelen van toepassing zijn en welke niet. Hiervoor wordt aangesloten op ISO 27001 Annex A, inclusief onderbouwing van gemaakte keuzes. Dit document vormt de brug tussen risico's en het beveiligingsprogramma.

Restrisico's (laten) accepteren - De risico's die na behandeling overblijven worden voorgelegd aan het management. Met een formele risicoacceptatieverklaring wordt vastgelegd dat deze restrisico's bewust worden aanvaard.

ISMS Wizard Security Program Development

In deze module wordt het beveiligingsprogramma en de implementatieroutekaart voor uw organisatie ontwikkeld. De vastgestelde risico's en gekozen maatregelen worden vertaald naar een samenhangend geheel: wat moet worden ingericht, in welke volgorde en onder welke verantwoordelijkheid.

Het resultaat van deze fase is een volledig uitgewerkt programma dat richting geeft aan de implementatie. Geen losse maatregelen, maar een overzichtelijke blauwdruk waarmee gestructureerd kan worden toegewerkt naar uitvoering.

Uitkomsten

  • Beveiligingsprogramma, met overzicht van maatregelen, thema's en prioriteiten
  • Implementatieroutekaart
  • Projectplan met mijlpalen, verantwoordelijkheden en tijdlijnen

Het proces stap voor stap

Maatregelen structureren en thematisch ordenen - Als uitgangspunt dienen het risicobehandelingsplan en het Statement of Applicability. De geselecteerde maatregelen worden geordend en gegroepeerd naar samenhangende thema's, zoals toegangsbeheer, leveranciers, incidentmanagement en continuïteit. Hierdoor ontstaat overzicht en onderlinge samenhang.

Beveiligingsprogramma formuleren - Per thema wordt vastgelegd wat de doelstelling is, welke maatregelen van toepassing zijn en welk eindresultaat wordt nagestreefd. Samen vormt dit het integrale beveiligingsprogramma dat richting geeft aan alle verdere implementatiestappen.

Implementatieroutekaart opstellen - Vervolgens wordt bepaald in welke volgorde thema's en maatregelen logisch worden uitgewerkt en ingevoerd. Hierbij wordt rekening gehouden met afhankelijkheden, beschikbare capaciteit en prioriteiten op basis van risico.

Projectplan uitwerken - De routekaart wordt vertaald naar een concreet projectplan met duidelijke mijlpalen, verantwoordelijkheden en tijdlijnen. Dit plan vormt het startpunt voor de implementatiefase, waarin beleid, procedures en maatregelen daadwerkelijk worden uitgewerkt en ingevoerd.

Implementatie Support

Na afronding van de ISMS Wizard-modules ligt er een stevige basis: inzicht, keuzes en een uitgewerkt beveiligingsprogramma. De implementatie zelf kan vervolgens op verschillende manieren worden ingevuld, afhankelijk van de behoefte en het tempo van uw organisatie.

ISMS Wizard biedt hierbij ondersteuning zonder vaste verplichtingen. Uw organisatie bepaalt zelf of de implementatie volledig zelfstandig wordt uitgevoerd, of dat aanvullende ondersteuning wordt ingezet waar dit waarde toevoegt.

Zelfstandig verder

Uw organisatie kan zelfstandig aan de slag met de implementatie van beleid, procedures en maatregelen. De eerder opgeleverde uitkomsten vormen hierbij het uitgangspunt en bieden richting voor de uitvoering.

Deze optie past bij organisaties die de implementatie in eigen beheer willen uitvoeren, met de mogelijkheid om later alsnog ondersteuning in te schakelen indien gewenst.

of

ISMS Coach (strippenkaart)

Voor organisaties die tijdens de implementatie behoefte hebben aan gerichte ondersteuning is er ISMS Coach. Met een strippenkaart kan flexibel ondersteuning worden ingezet, zonder abonnement of doorlopende verplichtingen.

De ondersteuning is bedoeld voor momenten waarop extra inhoudelijke scherpte, voorbereiding of versnelling nodig is, bijvoorbeeld bij:

  • Voorbereiden en opstellen van beleid en procedures als werkbare basis, zodat uw organisatie niet start met lege templates en gericht kan doorbouwen
  • Inhoudelijke review en aanscherping
  • Sparring over specifieke risico's of maatregelen
  • Ondersteuning bij knelpunten in de implementatie

Ondersteuning tijdens implementatie

Afhankelijk van de behoefte kan ondersteuning betrekking hebben op onder andere:

  • Beleidslijnen en thematische beleidsdocumenten
  • Procedures en werkinstructies
  • Awareness- en trainingsopzet
  • Leveranciersbeheer
  • Incidentmanagement
  • Business continuity
  • Overige maatregelen uit het beveiligingsprogramma

De ondersteuning sluit altijd aan op het risicoprofiel en de fase waarin uw organisatie zich bevindt.

De bijbehorende tarieven en opties zijn te vinden op de prijzenpagina.

ISMS Maintenance 

Zodra het ISMS is ingericht en in gebruik, verschuift de focus van opbouwen naar bijhouden. Geen zwaar beheer, maar een vast en overzichtelijk ritme om risico's, maatregelen en relevante veranderingen actueel te houden.

ISMS Wizard Maintenance is bedoeld voor organisaties die hun ISMS beheersbaar willen onderhouden en willen blijven sturen op verbetering, zonder dat dit een dagelijkse belasting wordt. De aanpak sluit aan op de Plan-Do-Check-Act-cyclus en zorgt voor continu inzicht en bijsturing waar nodig.

Wat valt onder ISMS Maintenance

Binnen deze onderhoudsoptie worden onder andere de volgende activiteiten uitgevoerd:

  • Periodieke risicoreview en actualisatie van het risicoregister
  • Beoordeling van maatregelen op effectiviteit en relevantie
  • Evaluatie van incidenten en vastlegging van leerpunten
  • Overzicht en beoordeling van wijzigingen met security-impact
  • Management review-rapportage
  • Bijhouden van een verbeterregister

"De bijbehorende tarieven en opties zijn te vinden op de prijzenpagina."

Herijken en vooruitkijken

Het risicoregister wordt periodiek herzien. Veranderingen in de organisatie, de omgeving of het assetlandschap worden meegenomen en risico's worden waar nodig opnieuw geprioriteerd. Op basis hiervan worden verbeteringen en aanpassingen gepland, inclusief verantwoordelijkheden en tijdlijnen.

Uitvoeren en bijhouden

Geplande verbeteringen worden doorgevoerd in beleid, procedures of maatregelen. Relevante wijzigingen binnen de organisatie of IT-omgeving worden getoetst op impact voor informatiebeveiliging. Het ISMS blijft hiermee actief en actueel.

Evalueren en meten

De werking van maatregelen wordt beoordeeld aan de hand van effectiviteit en aansluiting op de actuele risico's. Incidenten en bijna-incidenten worden geëvalueerd en vertaald naar concrete verbeterpunten. De resultaten worden samengevat in een management review voor besluitvorming en bijsturing.

Verbeteren en borgen

Verbeteracties worden vastgelegd in een verbeterregister en opgevolgd. Afgeronde acties worden geëvalueerd op effect, waarna de cyclus opnieuw begint. Zo blijft het ISMS beheersbaar, aantoonbaar en in lijn met de organisatieontwikkelingen.

Meer informatie?

Plan vrijblijvend een kennismaking en ontdek in één gesprek wat ISMS Wizard voor uw organisatie kan betekenen.

Contact