ISMS Wizard Foundation

Op deze pagina vindt u een overzicht van de ISMS Wizard-modules en wat deze per stap concreet opleveren voor uw organisatie. De modules ondersteunen de eerste, noodzakelijke stappen om een ISMS gestructureerd op te zetten en vormen de basis om vervolgens gericht over te gaan tot de daadwerkelijke implementatie.

  • ISMS Wizard Business Case
  • ISMS Wizard Fundamentals
  • ISMS Wizard Risk & Control
  • ISMS Wizard Security Program Development

ISMS Wizard Business Case (optioneel)

Deze module ondersteunt organisaties bij het maken van een onderbouwde keuze om te starten met een ISMS. De business case wordt opgesteld op basis van de uitkomsten van de ISMS Readiness Assessment en de input uit de Business Case-vragenlijst. In deze fase wordt informatiebeveiliging geplaatst in de context van de organisatie, haar doelstellingen en commerciële ambities.

De Business Case-module biedt overzicht en richting en vormt een besluitvormend kader voor het al dan niet starten met een ISMS, zonder vooruit te lopen op inrichting of implementatie.

Resultaat voor uw organisatie

  • Koppeling informatiebeveiliging aan bedrijfsdoelen

  • Overzicht van relevante risico's en prioriteiten

  • Inzicht in commerciële en strategische voordelen

  • Afbakening van scope en ambitie op hoofdlijnen

  • Beslisbasis voor starten met een ISMS

Werkwijze in hoofdlijnen

Context en aanleiding bepalen - Analyse van organisatiecontext, doelstellingen en externe verwachtingen op basis van de Readiness Assessment.

Risico's en zakelijke waarde duiden - Inzicht in relevante risico's, prioriteiten en de mogelijke commerciële en strategische meerwaarde van een ISMS.

Besluitvorming voorbereiden - Samenbrengen van inzichten tot een helder kader voor de beslissing om wel of niet te starten met een ISMS.

ISMS Wizard Fundementals

Deze module legt het fundament onder de informatiebeveiliging van uw organisatie. In deze fase wordt scherp in beeld gebracht waar uw organisatie voor staat, welke belangen en verwachtingen een rol spelen en wat de reikwijdte van het ISMS is. Ook worden de belangrijkste uitgangspunten vastgelegd, waaronder verantwoordelijkheden, besluitvorming en de manier waarop risico's gestructureerd worden benaderd.

De Foundation-module geeft richting, creëert eigenaarschap en biedt een gedeeld vertrekpunt waarop in vervolgstappen consistent kan worden voortgebouwd.

Resultaat voor uw organisatie

  • Context- en belanghebbendenanalyse
  • ISMS Scope Statement
  • Informatiebeveiligingsbeleid
  • Rollen, verantwoordelijkheden en bevoegdheden
  • Risicobeoordelingsmethodiek

Werkwijze in hoofdlijnen

Context en belanghebbenden in kaart brengen - Startpunt is het analyseren van de context van uw organisatie: activiteiten, positionering, omgeving en interne en externe factoren die van invloed zijn op informatiebeveiliging. Vervolgens worden de relevante belanghebbenden in kaart gebracht, zoals klanten, leveranciers, toezichthouders en medewerkers, inclusief hun verwachtingen op het gebied van beveiliging.

Scope bepalen - Vervolgens wordt de reikwijdte van het ISMS afgebakend. Dit omvat de processen, systemen, locaties en informatie die binnen scope vallen. Een heldere scope zorgt voor focus en voorkomt een te brede of onduidelijke start.

Informatiebeveiligingsbeleid opstellen - Daarna worden de kernprincipes en uitgangspunten voor informatiebeveiliging vastgelegd. Dit beleid vormt het kader voor verdere keuzes en maatregelen binnen het ISMS.

Rollen, verantwoordelijkheden en bevoegdheden vastleggen - Daarbij wordt helder vastgelegd wie verantwoordelijk is voor het ISMS, wie risico's beoordeelt, wie besluiten neemt en wie uitvoert. Dit creëert duidelijkheid en voorkomt overlap of onduidelijkheid in verantwoordelijkheden.

Risicobeoordelingsmethodiek vaststellen - Als basis voor risicomanagement wordt bepaald hoe risico's worden geïdentificeerd, geanalyseerd en beoordeeld. Hierbij worden criteria, schaalverdelingen en beoordelingsprincipes vastgelegd. Deze methodiek vormt de basis voor de daaropvolgende risicomodule.

Assets inventariseren - Tot slot wordt geïnventariseerd wat beschermd moet worden, waaronder informatie, systemen, applicaties, mensen en locaties. Deze inventarisatie is een essentiële processtap en vormt input voor de latere risicobeoordeling.

ISMS Wizard Risk & Control

Deze module bouwt voort op de vastgestelde uitgangspunten en vertaalt deze naar inzicht en onderbouwde keuzes. Binnen deze fase wordt duidelijk wat binnen uw organisatie bescherming vraagt, welke dreigingen en kwetsbaarheden relevant zijn en welke risico's daaruit voortkomen.

Op basis daarvan wordt bepaald hoe met deze risico's wordt omgegaan: welke risico's acceptabel zijn, welke beheerst moeten worden en welke maatregelen daarbij passend zijn. De Risk & Control-module zorgt voor overzicht, prioritering en een concreet kader voor verdere uitwerking en implementatie.

Resultaat voor uw organisatie

  • Assetregister
  • Dreigingen- en kwetsbaarhedenanalyse
  • Risicoregister
  • Risicobehandelingsplan
  • Statement of Applicability
  • Risicoacceptatieverklaring

Werkwijze in hoofdlijnen

Assets verdiepen en verfijnen - Voortbouwend op de assetinventarisatie uit de Foundation-module wordt het overzicht verder aangescherpt. Hierbij wordt beoordeeld of alle relevante assets zijn opgenomen, of de classificatie correct is en of elk asset een duidelijke eigenaar heeft. Dit vormt de basis voor een zorgvuldige risicobeoordeling.

Dreigingen en kwetsbaarheden identificeren - Vervolgens worden de dreigingen in beeld gebracht die relevant zijn voor uw organisatie, zoals cyberaanvallen, menselijke fouten of afhankelijkheden van leveranciers. In samenhang daarmee worden kwetsbaarheden geïdentificeerd die door deze dreigingen kunnen worden benut. Dit geeft een realistisch beeld van de risicopositie.

Risico's beoordelen - Assets, dreigingen en kwetsbaarheden worden samengebracht in concrete risicoscenario's. Deze scenario's worden beoordeeld op kans en impact volgens de vastgestelde risicobeoordelingsmethodiek. Het resultaat is een geprioriteerd risicoregister.

Risicobehandeling bepalen - Per risico wordt vastgesteld welke aanpak passend is: accepteren, beheersen, overdragen of vermijden. Voor risico's die beheerst moeten worden, worden bijbehorende maatregelen bepaald en vastgelegd in het risicobehandelingsplan.

Statement of Applicability vaststellen - Op basis van de risicoanalyse wordt bepaald welke maatregelen van toepassing zijn en welke niet. Hiervoor wordt aangesloten op ISO 27001 Annex A, inclusief onderbouwing van gemaakte keuzes. Dit document vormt de brug tussen risico's en het beveiligingsprogramma.

Restrisico's (laten) accepteren - De risico's die na behandeling overblijven worden voorgelegd aan het management. Met een formele risicoacceptatieverklaring wordt vastgelegd dat deze restrisico's bewust worden aanvaard.

ISMS Wizard Security Program Development

In deze module wordt het beveiligingsprogramma en de implementatieroutekaart voor uw organisatie ontwikkeld. De vastgestelde risico's en gekozen maatregelen worden vertaald naar een samenhangend geheel: wat moet worden ingericht, in welke volgorde en onder welke verantwoordelijkheid.

Het resultaat van deze fase is een volledig uitgewerkt programma dat richting geeft aan de implementatie. Geen losse maatregelen, maar een overzichtelijke blauwdruk waarmee gestructureerd kan worden toegewerkt naar uitvoering.

Resultaat voor uw organisatie

  • Beveiligingsprogramma, met overzicht van maatregelen, thema's en prioriteiten
  • Implementatieroutekaart
  • Projectplan met mijlpalen, verantwoordelijkheden en tijdlijnen

Werkwijze in hoofdlijnen

Maatregelen structureren en thematisch ordenen - Als uitgangspunt dienen het risicobehandelingsplan en het Statement of Applicability. De geselecteerde maatregelen worden geordend en gegroepeerd naar samenhangende thema's, zoals toegangsbeheer, leveranciers, incidentmanagement en continuïteit. Hierdoor ontstaat overzicht en onderlinge samenhang.

Beveiligingsprogramma formuleren - Per thema wordt vastgelegd wat de doelstelling is, welke maatregelen van toepassing zijn en welk eindresultaat wordt nagestreefd. Samen vormt dit het integrale beveiligingsprogramma dat richting geeft aan alle verdere implementatiestappen.

Implementatieroutekaart opstellen - Vervolgens wordt bepaald in welke volgorde thema's en maatregelen logisch worden uitgewerkt en ingevoerd. Hierbij wordt rekening gehouden met afhankelijkheden, beschikbare capaciteit en prioriteiten op basis van risico.

Projectplan uitwerken - De routekaart wordt vertaald naar een concreet projectplan met duidelijke mijlpalen, verantwoordelijkheden en tijdlijnen. Dit plan vormt het startpunt voor de implementatiefase, waarin beleid, procedures en maatregelen daadwerkelijk worden uitgewerkt en ingevoerd.

ISMS Wizard Foundation

☑ ISMS Wizard Business Case

☑ ISMS Wizard Fundamentals

☑ ISMS Wizard Risk & Control

☑ ISMS Wizard Security Program Development

Na het afwerken van deze modules is een duidelijke en overdraagbare basis gelegd voor een ISMS dat past bij uw organisatie en haar ambities. Keuzes, prioriteiten en vervolgstappen zijn vastgelegd, zodat de volgende fase logisch en doelgericht kan worden opgepakt. De implementatie kan daarna zelfstandig plaatsvinden of, waar gewenst, worden ondersteund met gerichte hulp.

> Ga nu door naar ISMS Wizard Implementation Coach