fbpx

Stakeholder management ISO 27001

Robin Beiler

Robin Beiler – Managing Consultant

Onder een stakeholder of belanghebbende in de context van de norm, verstaan we een persoon of organisatie die invloed ondervindt of zelf invloed kan uitoefenen op uw organisatie. Uw organisatie is onderdeel van een groter geheel, een ecosysteem waarbinnen verschillende belangen rondom informatie zijn. Wie ondervind hinder van het niet veilig omgaan met informatie? Wat verlangen de stakeholder van mijn organisatie op gebied van veiligheid? In deze blog gaan we in op de eisen van stakeholders met betrekking tot de veiligheid van uw en hun informatie; stakeholdermanagement.

Ken de context van uw organisatie

Een van de aanbevelingen binnen De ISO 27001 is dat u de context van uw organisatie kent. Hieronder verstaan we ook welk; wie zijn de klanten, leveranciers, medewerkers en partners. Het is ook van belang op de hoogte te zijn van alle wet- en regelgeving die op uw organisatie van toepassing is.

Wie ben ik, waar sta ik en met wie heb ik te maken.

Wie zijn de belangrijkste stakeholders? Wat verlangen ze van u (indirect) maar ook direct in termen van afspraken en wellicht de eis dat u gecertificeerd bent. Omgekeerd wat verwacht u van hen. Welke eisen stelt u bijvoorbeeld aan uw softwareleverancier of partij die de opslag van uw data verzorgt. Ook de verschillende wetten vragen van u een bepaalde omgang met informatie. Zijn uw medewerkers in staat de richtlijnen te volgen? Hebben ze genoeg kennis en bewustzijn van hun rol en verantwoordelijkheid? Ook de markt waarin u opereert is van belang. Er is een groot verschil tussen een winkelier die een kortingspas uitgeeft of een zorginstelling die gegevens van haar patiënten vastlegt en deze deelt met verschillende partijen.

Dat is de context en daarmee een belangrijk uitgangspunt voor de inrichting van uw Information Security Management System (ISMS). In gewoon Nederlands: hoe uw organisatie met de veiligheid van informatie omgaat.

De ISO-norm zegt: “Begrijp de context van uw organisatie. Wie zijn de belangrijkste stakeholders en wat zijn hun specifieke verwachtingen m.b.t. informatiebeveiliging. Over en weer.”

Stakeholdermanagement

Zorg dat uw stakeholders erop kunnen vertrouwen dat u goed omgaat met hun informatie.

Stap 1: stakeholdermanagement

Leg vast wie uw stakeholders zijn en bepaal wat zij van uw organisatie verlangen en vice versa. Om u op weg te helpen, volgen hierna een paar handige stappen:

  1. Bepaal de verschillende categorieën, denk daarbij aan:
    • Afnemers/Klanten
    • Leveranciers
    • Medewerkers
    • Partners
    • Overheden
  2. Classificeer de partijenvan groot naar klein. Bij wie liggen de meeste eisen of is de impact het grootst. Maak op basis daarvan een rangschikking.
  3. Aan de slag.
    • Voor elke stakeholder bepaalt u welke onderwerpen er van toepassing zijn. Wat is de aard van de relatie? Welke gegevens betreft het? Welke wetten, regels of normen zijn er van toepassing? Waar zitten de risico’s?
  4. Bepaal waar de acties liggen en formuleer concrete acties op die onderwerpen.

 

De basis onder uw informatieveiligheid

Het stakeholderoverzicht met alle eisen en kaders is één van de fundamenten onder uw Information Security Management Systeem en daarmee het ISO 27001 certificaat.

Neem de tijd om deze stap zorgvuldig uit te voeren. De extra tijd hier wint u later in het traject ruimschoots terug.

Blog geschreven door Robin Beiler, Managing Consultant

MEER LEZEN OVER ISO 27001?

Neem een kijkje op de kennispagina ISO 27001