11 Maart 2020

Het kiezen van een 'Management System Tool' voor ISO 27001 of NEN 7510

Bij het inrichten en gebruiken van een managementsysteem voor informatiebeveiliging volgens ISO 27001 of NEN 7510 wordt doorgaans behoorlijk wat gedocumenteerde informatie gebruikt. Denk aan beleid, procedures, plannen, planningen, beschrijvingen, overzichten en resultaten. Al die gedocumenteerde informatie kan een behoorlijke hoeveelheid bestanden opleveren en niet iedereen slaagt erin om die handig te beheren, zoals soms pijnlijk duidelijk wordt tijdens audits.

Onder welk mapje moet een document worden opgeslagen? Welk document hoort bij welke eis van de norm? Hoe kan een verband worden gelegd tussen informatie in meerdere documenten? Hoe om te gaan met versies? Wie mag bij welke informatie? Daarnaast speelt vaak het probleem dat een document eerst geopend moet worden om vervolgens te constateren dat een daarin beschreven actie eigenlijk vorige maand had moeten plaatsvinden. Tja. Kan dat niet gemakkelijker?

De laatste jaren maken niet alleen grote maar ook steeds meer kleinere organisaties gebruik van een Management System Tool. Sommige aanbieders spreken van een ISMS-tool, maar veel van hun producten blijken bijvoorbeeld ook geschikt voor een ISO 9001-managementsysteem, en dan gaat het dus niet alleen over informatiebeveiliging. Vandaar de voorkeur voor de meer algemene benaming: Management System Tool (afgekort: MST).

Sommige MST’s bieden niet meer dan een gestructureerde opslagplaats voor documenten: u kunt alles gemakkelijker terugvinden. Andere MST’s faciliteren bijvoorbeeld ook in het met geplande tussenpozen uitvoeren van de risicobeoordeling, het aan uw agenda koppelen van de operationele planning en het automatisch monitoren van openstaande acties. Steeds meer tools zijn uitgerust met dashboards, automatisch versiebeheer, e-mail alerts en andere handige hulpmiddelen.

Of het gebruik van een MST een voordeel is, en welke tool uit het aanbod het meest geschikt is, hangt af van uw behoeften (en budget). In de praktijk blijken veel organisaties niet precies te weten welke behoeften er zijn, waardoor er te vroeg voor een bepaalde tool wordt gekozen. Pas tijdens het gebruik komt aan het licht wat de behoeftes zijn en blijkt de gekozen oplossing hier niet altijd volledig in te kunnen voorzien. Vervolgens blijkt het migreren naar een andere tool soms ook problemen op te leveren.

Met het oog op een mogelijke miskoop kan het verstandig zijn om vóór het aanschaffen van een MST eerst ervaring op te doen met uw ISO 27001- of NEN 7510-managementsysteem, bijvoorbeeld gedurende een jaar. Door tijdens deze periode alle behoeften in kaart te brengen, kan daarna een weloverwogen keuze worden gemaakt. Bij het kiezen van een MST voor uw organisatie zou u de volgende punten kunnen overwegen:

  • Cloudoplossingen: Welke garanties krijgt u over de beschikbaarheid van de MST? Welke garanties krijgt u over de vertrouwelijkheid van de gegevens in de MST? Waar worden de gegevens opgeslagen? Hoeveel opslagruimte krijgt u? Kunnen er back-ups worden gemaakt? Op wie kunt u een beroep doen bij problemen?
  • Basisinformatie: In hoeverre bevat de MST bij oplevering informatie die als basis kan dienen voor verdere uitwerking? Denk bijvoorbeeld aan basisteksten voor beleid en procedures. Hoe bruikbaar is die informatie? Kan hij gemakkelijk worden aangepast en uitgebreid?
  • Updates: Past de opbouw en inhoud van de MST bij de laatste versie van de norm? Wat gebeurt er als de norm wordt aangepast? Kunt updates krijgen voor uw MST? Hoe snel komt een update beschikbaar?
  • Risicoregister: Bevat de MST bij oplevering een register van informatie-beveiligingsrisico’s die als basis kan dienen voor verdere uitwerking? Kunnen de standaardrisico’s gemakkelijk worden aangepast en uitgebreid?
  • Samenhang: Kan binnen de MST de door de norm geëiste samenhang tussen informatiebeveiligingsrisico’s en beheersmaatregelen op een handige manier worden aangebracht, zodat deze tijdens audits kan worden aangetoond?
  • Overzichtelijkheid: Is de MST logisch opgebouwd? Kunt alles gemakkelijk terugvinden? Kunt u de eisen van de norm gemakkelijk koppelen aan de inhoud van de MST?
  • Monitoren: Biedt de MST mogelijkheden voor het automatisch monitoren van de status van noodzakelijke acties? Kan de MST alerts versturen?
  • Interne audits: Ondersteunt de MST het gestructureerd en volgens de norm uitvoeren van interne audits? Kan de MST een auditrapport genereren?
  • Toegangsbeheer: Meestal hoeft niet alle informatie in een MST voor iedereen beschikbaar te zijn. Biedt de MST de mogelijkheid om lees-en schrijfrechten in te stellen voor (groepen) gebruikers? Kan er toegang worden verschaft aan externen? Bijvoorbeeld aan een adviseur.
  • Compatibiliteit: Kan de MST aan andere systemen worden gekoppeld? Bijvoorbeeld aan een reeds gebruikt mailsysteem, taaksysteem of documentietool.
  • Schaalbaarheid: Kan de MST worden uitgebreid met andere normen en managementsystemen? Bijvoorbeeld ISO/IEC 9001 of ISO/IEC 22301.
  • Meertaligheid: Misschien werkt u met medewerkers die geen Nederlands spreken of kunnen lezen. Kunnen gebruikers binnen de MST een andere taal kiezen? Bijvoorbeeld om in hun eigen taal kennis te kunnen nemen van beleid en procedures.
  • Migreerbaarheid: Hoe gemakkelijk kunt u de gegevens de MST (ooit) overzetten naar een andere tool of omgeving?
  • Prijs: Wat zijn de kosten van de MST? Betreft dat eenmalige kosten of betaalt u (ook) een bedrag per gebruiker? Zijn er kosten voor installatie en onderhoud? Wat zijn de kosten van updates?

Een Management System Tool kan een waardevolle ondersteuning zijn van uw ISO 27001- of NEN 7510-managementsysteem. Tegelijk moet u geen wonderen van verwachten van een MST: het succes van uw informatiebeveiliging hangt vooral af van wat u er zelf instopt en uithaalt. Zorg dat u eerst weet wat uw behoeften zijn en maak op basis daarvan uw keuze.

Cees van der Wens

Auditor en Adviseur voor ISO 27001 en NEN 7510, schrijver van het Handboek ISO 27001

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect