Ieder managementsysteem vraagt om ondersteuning en leiderschap vanuit de hoogste managementniveaus, zelfs als de mensen daar niet diep betrokken zijn bij de dagelijkse routine. In een kleine organisatie kan de CEO zich persoonlijk met het managementsysteem bemoeien, maar als de organisatie groot en divers is, is het bijna onmogelijk voor één persoon om diepgaand betrokken te zijn bij alle activiteiten. Toch moeten topmanagers zich niet boven de procedures plaatsen. Ze moeten laten zien dat het hen interesseert en zich net zo betrokken tonen als ze van het personeel verwachten. Ze kunnen het team uitleggen welke risico’s slecht informatiebeveiligingsmanagement kan hebben voor bijvoorbeeld de reputatie en de prestaties en ze kunnen enthousiast aan discussies deelnemen.
Leiderschap vanaf de top
Het is de rol van de leider om vanaf het begin inzicht te krijgen in het onderwerp, bij voorkeur met hulp van interne medewerkers, maar daarnaast ook met hulp van externe experts, zoals een certificatie-instelling. Leiders moeten weten wat de toepassing en implicaties van de norm voor hun organisatie zullen betekenen en moeten dat aan anderen kunnen uitdragen. Ze moeten ook begrijpen hoe de huidige processen en risico’s worden geïdentificeerd en behandeld.
Om inzicht in informatiebeveiligingsmanagement te krijgen, moet de relevante norm worden bestudeerd. In dit geval ISO 27001 en eventueel daarmee gerelateerde richtlijnen en aanvullingen. Vervolgens moet er een team worden samengesteld om de ontwikkeling te ondersteunen. Bij de samenstelling van het team moet erop worden gelet dat alle geledingen in de organisatie zijn vertegenwoordigd.
Informatiebeveiliging vereist van nature veel input en operationele controle door de IT- en techspecialisten in de organisatie. Die zijn het beste in staat om de risicogebieden te identificeren en beschermende maatregelen en oplossingen voor te stellen. Bij een onverhoopt succesvolle cyberaanval is het ook aan hen om systemen te herbouwen en de zaken weer op de rails te krijgen. Het technische team moet worden gevraagd om een back-upsysteem te ontwerpen dat de beveiliging verhoogt met back-ups van gegevens naar een geïsoleerd offlinesysteem dat niet gevoelig is voor ransomware en soortgelijke bedreigingen.
Het is waarschijnlijk dat ze het overige personeel als de zwakke schakel in de gegevensbeveiligingsketen beschouwen en tot op zekere hoogte kunnen ze daarin gelijk hebben. Andere medewerkers hebben hun eigen vaardigheden en zijn even belangrijk voor het succes van de organisatie, maar ze hebben mogelijk extra begeleiding nodig bij het herkennen en afhandelen van vermoedelijke cyberbedreigingen.
Betrokken personeel op alle niveaus
Het technische team zal worden belast met het opzetten van het raamwerk, maar het is wel essentieel dat ze de werkmethoden en behoeften van andere afdelingen en medewerkers begrijpen. Een systeem kan zo veilig zijn als Fort Knox, maar als het de medewerkers niet toelaat om te presteren, is het eerder een belemmering voor zakelijk succes. Het is ook van belang dat het systeem dusdanig is gestructureerd dat het aan de richtlijnen voldoet die met de ISO-norm gepaard gaan. Anders is het systeem mogelijk niet geschikt voor certificering.
De managers en medewerkers belast met kwaliteitscontrole willen er zeker van zijn dat het ISMS integreert met andere managementsystemen in de organisatie. Systemen die naadloos op elkaar aansluiten zorgen voor een efficiëntere organisatie. De tijd en kosten van audits kunnen er vaak door worden verminderd, omdat verschillende systemen tegelijk kunnen worden beoordeeld.
De meer klant- en leveranciersgerichte afdelingen van een organisatie zijn onderdelen waar het informatienetwerk van de ene organisatie kan samenwerken met dat van een andere organisatie. Deze onderdelen kunnen zwakke schakels zijn als een van de organisaties minder serieus omgaat met informatiemanagement. Medewerkers van deze onderdelen staan vaak onder druk om targets te behalen. De combinatie van jachtige werkdagen en openheid naar andere organisaties vraagt om stevig beheer.
Zorgen dat het systeem geschikt is voor het beoogde doel
Bij het opzetten van het systeem moet rekening worden gehouden met het toekomstige beheer en de verfijning ervan. Nieuwe softwareplatforms kunnen bijvoorbeeld nuttig zijn, maar in ieder geval moet het documenteren en beslissen over relevante processen op dit punt effectief ter hand worden genomen. Alle teamleden moeten op dit punt samenwerken. Enige training en samenwerking met de certificatie-instelling kan waarborgen dat een systeem geschikt is voor het beoogde doel.
De volgende stap om over te gaan tot implementatie van het systeem kan het moeilijkst zijn, omdat het waarschijnlijk is dat er werkwijzen zullen veranderen. Om die reden moeten de processen en werkwijzen constant worden beoordeeld en geëvalueerd. Als er problemen worden geïdentificeerd, moeten alle partijen beslissen hoe ze die het beste kunnen oplossen. Nadat het systeem een redelijke tijd heeft gedraaid en er minstens één interne audit is uitgevoerd, is het tijd om certificering te overwegen.
DNV beschikt over een tool voor zelfevaluatie om u te begeleiden op de weg naar ISO 27001-naleving, waardoor u weet wanneer het tijd is om certificering aan te vragen.
Om uw certificering te handhaven, gaat u waarschijnlijk een langdurige zakelijke relatie met de certificatie- of registratie-instelling aan. Voor een efficiënt managementsysteem is continue verbetering essentieel. DNV helpt u om maximale waarde te halen uit uw certificeringstraject. We stellen ons op als partners, verrichten risicogerichte audits en hanteren digitale tools die de efficiëntie verhogen en voor verbetering zorgen.