Leeswijzer
Dit document helpt je op weg als je voor het eerst met ons ISMS werkt. Het legt uit hoe de onderdelen samenhangen en waar je wat vindt.
Drie lagen
Het ISMS is opgebouwd uit drie lagen die elk een andere functie hebben:
1. De norm — het externe kader
ISO 27001 en NEN7510 zijn de normen waaraan we voldoen. De norm beschrijft wat een organisatie moet regelen op het gebied van informatiebeveiliging. Wij hebben de norm niet geschreven — wij passen hem toe.
De norm bestaat uit twee delen:
- Clausules 4–10: verplichte eisen aan het managementsysteem (hoe je informatiebeveiliging organiseert)
- Annex A: een lijst van 93 beveiligingsmaatregelen (controls) die je kunt toepassen
2. Clausules 4–10 — het managementsysteem
De clausules beschrijven hoe we informatiebeveiliging organiseren. Dit zijn de procesmatige afspraken: wie is verantwoordelijk, hoe beoordelen we risico’s, hoe evalueren we of het werkt.
| Clausule | Onderwerp |
|---|---|
| 4 | Context van de organisatie |
| 5 | Leiderschap en beleid |
| 6 | Planning en risicobeoordeling |
| 7 | Ondersteuning (mensen, middelen, communicatie) |
| 8 | Uitvoering |
| 9 | Evaluatie (monitoring, audits, directiebeoordeling) |
| 10 | Verbetering |
3. Controls — de concrete maatregelen
De 93 controls uit Annex A zijn de concrete beveiligingsmaatregelen: wat we doen. Denk aan toegangsbeheer, back-ups, logging, wachtwoordbeleid. Ze zijn verdeeld in vier categorieën:
| Categorie | Nummers | Voorbeeld |
|---|---|---|
| Organisatorisch | 5.01–5.37 | Beleid, toegangsbeheer, leveranciers |
| Personen | 6.01–6.08 | Screening, bewustwording, geheimhouding |
| Fysiek | 7.01–7.14 | Kantoorbeveiliging, clean desk |
| Technologisch | 8.01–8.34 | Authenticatie, encryptie, backup, logging |
Hoe hangen ze samen?
De norm (ISO 27001 / NEN7510)│├── Clausules 4–10│ Hoe we informatiebeveiliging organiseren.│ Clausule 6 (risicobeoordeling) bepaalt welke controls nodig zijn.│├── Controls (Annex A)│ Wat we concreet doen. Elke control heeft:│ - een .md bestand (wat we doen, voor het team)│ - een .ref.md bestand (normtekst en richtlijnen, voor beheer)│└── Verklaring van Toepasselijkheid (VvT) Het brugdocument: verantwoordt per control of en hoe die is toegepast. Dit is wat een auditor als eerste bekijkt.Voor de zorgsector voegt NEN7510 daar 8 zorgspecifieke maatregelen aan toe (Z1–Z8), bijvoorbeeld rondom patiëntidentificatie en logging van toegang tot zorginformatie.
Waar vind ik wat?
| Wat | Waar |
|---|---|
| Clausule-documenten | 04-context/ t/m 10-verbetering/ |
| Controls (implementatie) | controls/organizational/, people/, physical/, technological/ |
| Controls (normreferentie) | Zelfde directories, bestanden met .ref.md extensie |
| NEN7510 zorgspecifiek | nen7510/zorg-specifiek/ |
| Verklaring van Toepasselijkheid | controls/_index.yaml (bron), site onder “VvT” |
| Registers | registers/ (assets, leveranciers, incidenten, rollen) |
| Scope en meta-informatie | 00-meta/ |
Veelgebruikte termen
Zie de begrippenlijst voor definities van termen als asset, risico, control, audit, en meer.