Wanneer een ISO een reeks beleidsdocumenten aanlevert, komt onvermijdelijk dezelfde vraag terug:
“Waarom doen we dit allemaal? Waarom zoveel documenten? Zijn we niet vooral bezig een papieren tijger te voeden om aan NIS2 te voldoen?”
Die vraag is begrijpelijk. Beleid kan omvangrijk zijn en soms technisch overkomen. Toch is beleid geen bureaucratische bijzaak. Het is de basis waarop een organisatie bestuurbaar, verdedigbaar en continu kan functioneren.
En nog belangrijker:
Een ISMS werkt alleen wanneer de afspraken uit het beleid zichtbaar, aantoonbaar en herhaalbaar in de praktijk worden toegepast.
Beleid is het fundament, niet het eindproduct
Een ISMS draait om het beschermen van informatie én om het waarborgen van de continuïteit van primaire processen. Het gaat erom dat informatie beschikbaar blijft, betrouwbaar is en goed wordt beschermd, zeker wanneer het om privacygevoelige gegevens gaat.
Zonder duidelijk beleid is niet helder welke afspraken gelden en wie binnen de organisatie verantwoordelijk is voor het naleven ervan. Beleid geeft richting en legt de bestuurlijke verantwoordelijkheid vast. Hoe deze afspraken in de praktijk worden uitgevoerd, staat in de processen. Zo blijft beleid overzichtelijk, terwijl de uitvoering praktisch en flexibel kan worden ingericht.
Beleid vormt daarmee de routekaart: het bepaalt hoe de organisatie wil omgaan met dreigingen, incidenten en herstel. De wet verplicht het, maar de praktijk laat zien waarom het nodig is. Organisaties zonder beleid weten niet wat ze moeten beschermen, hoe ze dat moeten doen en wie daarvoor verantwoordelijk is. Maar dat is slechts de eerste stap.
Beleid gaat pas leven wanneer het zichtbaar wordt in de manier waarop we dagelijks werken.
Waarom er zoveel beleidsdocumenten zijn
Informatiebeveiliging raakt allerlei thema’s: netwerkbeheer, incidentmanagement, wijzigingsbeheer, toegangsbeheer, encryptie, fysieke beveiliging, leveranciers, continuïteit, ontwikkeling en meer. Elk gebied draagt een ander risico, vraagt andere maatregelen en raakt andere afdelingen.
Daarom is één beleidsdocument onmogelijk.
De manier waarop beleid wordt opgebouwd kan verschillen. Sommige organisaties kiezen voor één omvangrijk document, maar dat wordt al snel onoverzichtelijk. In de praktijk werkt het beter om het beleid op te delen: een algemeen beleidsdocument met visie, rollen en kaders, aangevuld met onderwerp- of gebiedsgerichte beleidsstukken. Zo blijft elk document leesbaar en duidelijk afgebakend, en is meteen zichtbaar welke afspraken voor welk onderdeel gelden. Deze indeling maakt beleid beter te begrijpen én eenvoudiger te onderhouden.
Maar één ding blijft essentieel:
Bestuurders hoeven geen IT-experts te zijn om beleid te begrijpen, het beleid moet zó geschreven zijn dat zij het kunnen beoordelen.
Goedkeuren zonder te begrijpen is geen optie onder NIS2. Bestuurlijk toezicht vereist bestuurlijke duidelijkheid.
Beleid krijgt pas waarde in de uitvoering
Beleid zonder uitvoering is waardeloos.
Beleid zonder monitoring is blind.
Beleid zonder verbetering is stilstand.
Beleid is noodzakelijk om richting te geven, maar op zichzelf verandert het niets. Het vormt het startpunt: de afspraken en verantwoordelijkheden waarop de organisatie kan terugvallen. Maar om die afspraken effect te laten hebben, moeten ze worden verbonden met de dagelijkse praktijk. Dáár komt het ISMS in beeld.
Het ISMS zorgt ervoor dat wat in beleid is vastgelegd ook daadwerkelijk gebeurt. Het vertaalt bestuurlijke keuzes naar een werkproces waarin risico’s worden beoordeeld, maatregelen worden uitgevoerd, controles plaatsvinden en incidenten worden onderzocht. Zonder deze koppeling blijft beleid theorie.
De operationele planning is daarbij de motor. Die planning maakt zichtbaar en aantoonbaar wanneer controles worden uitgevoerd, wie daarvoor verantwoordelijk is, hoe afwijkingen worden opgepakt en hoe het bestuur toezicht houdt. Denk aan controles op certificaten, autorisaties, offboarding, leveranciersafspraken en fysieke toegangsbeveiliging.
Zonder zo’n planning blijft beleid een papieren afspraak.
Met een planning wordt beleid praktische werkelijkheid en blijft het ISMS draaien zoals bedoeld.
Iedereen heeft een rol - niet alleen de ISO
Een van de grootste misverstanden is dat een Information Security Management System (ISMS) “van de ISO” is. De Information Security Officer (ISO) is de regisseur: hij of zij stelt kaders, bewaakt samenhang en stuurt bij. De organisatie voert uit. Informatiebeveiliging is daarmee een keten waarin iedereen een schakel vormt.
Enkele voorbeelden, met de rolverdeling expliciet gemaakt:
- Receptioniste: bepaalt wie het gebouw binnenkomt en voorkomt dat onbegeleide bezoekers toegang krijgen tot werkruimten. De ISO zorgt hier voor duidelijke toegangsprocedures, instructies en bewustwording, en toetst periodiek of deze afspraken in de praktijk worden nageleefd.
- HR: zorgt voor screening van medewerkers, correcte onboarding en vooral tijdige offboarding. Een vergeten offboarding kan ertoe leiden dat accounts maandenlang actief blijven. De ISO borgt dit proces door beleid vast te stellen, rollen en verantwoordelijkheden te definiëren en controles in te richten op in-, door- en uitstroom.
- IT: bewaakt certificaten, accounts, patches en configuraties. Dit zijn directe maatregelen die bepalen of systemen veilig en beschikbaar blijven. De ISO vertaalt risico’s en compliance-eisen naar concrete beveiligingseisen, prioriteert maatregelen en monitort of deze structureel worden uitgevoerd.
- Managers en teams: zorgen dat procedures worden nageleefd, incidenten worden gemeld en afwijkingen niet onder de oppervlakte verdwijnen. De ISO faciliteert dit door meldprocessen in te richten, managementinformatie te leveren en opvolging te organiseren op bevindingen en incidenten.
Een ISMS werkt alleen als iedereen zijn verantwoordelijkheid neemt en de regie en uitvoering op elkaar aansluiten. Zodra één schakel uitvalt, ontstaat ruimte voor risico’s en incidenten. De kracht van een goed ISMS zit juist in die samenhang.
Hoe het misgaat als het ISMS niet leeft
Een praktijkvoorbeeld dat vrijwel iedere bestuurder zal herkennen: een medewerker verlaat de organisatie. HR informeert de leidinggevende, die ervan uitgaat dat IT de offboarding wel oppakt. IT krijgt echter nooit een melding, waardoor het account ongemerkt actief blijft. Pas maanden later blijkt dat dit oude account toegang heeft gehad tot mailboxen en bestanden.
De vraag die dan op tafel komt, is onvermijdelijk: hadden we hierover duidelijke afspraken gemaakt in het beleid, en is het proces gevolgd waarin de vereiste beheersmaatregelen uit de norm zijn verwerkt? Zonder beleid is niet helder wat de organisatie had afgesproken. Zonder uitvoering van het proces is niet zichtbaar waarom het niet goed is gegaan. En zonder operationele planning ontbreken de periodieke controles die nodig zijn om tijdig te zien dat afspraken niet worden nageleefd.
In de praktijk leidt dat bijvoorbeeld tot “ghost accounts”: accounts van oud-medewerkers die nog actief blijken omdat niemand heeft gecontroleerd of het offboardingproces volledig is gevolgd. Zonder die toetsing blijft een afwijking onopgemerkt en kan een klein procesfoutje uitgroeien tot een groot incident. Dit maakt het verschil tussen een situatie die professioneel kan worden afgehandeld en een incident dat uitmondt in reputatieschade, bestuurlijke vragen, juridische risico’s en mogelijk toezicht.
Waarom bestuurders dit moeten willen
Beleid is de basis waarop een organisatie stuurt: het legt vast welke afspraken gelden en wie waarvoor verantwoordelijk is. Zonder beleid ontbreekt richting, kan verantwoording niet worden afgelegd en wordt informatiebeveiliging onvoorspelbaar. Heldere beleidsafspraken zijn nodig om continuïteit, privacy en de bestuurlijke verantwoordelijkheid te kunnen waarmaken.
Het ISMS zorgt vervolgens dat dit beleid niet op papier blijft staan, maar daadwerkelijk wordt uitgevoerd. Via processen en een operationele planning worden afspraken vertaald naar controles, acties en toezicht. Zo ontstaat aantoonbare werking in plaats van een papieren constructie.
De essentie
Beleid geeft richting.
Uitvoering geeft inhoud.
Planning geeft zekerheid.
Samen vormen zij een organisatie die risico’s beheerst en aantoonbaar in control is. Dat is geen papieren tijger, maar informatiebeveiliging die daadwerkelijk werkt.
Goede informatiebeveiliging begint bij helder en gedragen beleid. Wij kunnen organisaties ondersteunen bij het vaststellen van dit beleid, afgestemd op wetgeving, risico’s en de praktijk van de organisatie. Dat beleid krijgt pas waarde wanneer het wordt vertaald naar werkbare processen en concrete maatregelen, die ook daadwerkelijk worden uitgevoerd en periodiek worden getoetst.
Veel organisaties erkennen dit belang, maar missen de capaciteit of expertise om dit structureel te borgen. Met ISO-as-a-Service bieden wij een praktische en continu beschikbare beveiligingsfunctie. Daarmee helpen wij om beleid begrijpelijk en toepasbaar te maken, de uitvoering te organiseren en het Information Security Management System (ISMS) aantoonbaar te laten functioneren.
Wil je weten hoe dit er in jouw organisatie uit kan zien? Wij denken graag praktisch met je mee.
Contact opnemen
