Stakeholdermanagement ISO 27001

Robin Beiler – Managing Consultant

Onder een stakeholder of belanghebbende in de context van de norm, verstaan we een persoon of organisatie die invloed ondervindt of zelf invloed kan uitoefenen op uw organisatie. Uw organisatie is onderdeel van een groter geheel, een ecosysteem waarbinnen verschillende belangen rondom informatie zijn. Wie ondervind hinder van het niet veilig omgaan met informatie? Wat verlangen de stakeholder van mijn organisatie op gebied van veiligheid? In deze blog gaan we in op de eisen van stakeholders met betrekking tot de veiligheid van uw en hun informatie; stakeholdermanagement.

 

Ken de context van uw organisatie

Een van de aanbevelingen binnen de ISO 27001 is dat u de context van uw organisatie kent. Hieronder verstaan we ook welk; wie zijn de klanten, leveranciers, medewerkers en partners. Het is ook van belang op de hoogte te zijn van alle wet- en regelgeving die op uw organisatie van toepassing is. Wie ben ik, waar sta ik en met wie heb ik te maken. Wie zijn de belangrijkste stakeholders? Wat verlangen ze van u (indirect) maar ook direct in termen van afspraken en wellicht de eis dat u gecertificeerd bent. Omgekeerd wat verwacht u van hen. Welke eisen stelt u bijvoorbeeld aan uw softwareleverancier of partij die de opslag van uw data verzorgt. Ook de verschillende wetten vragen van u een bepaalde omgang met informatie. Zijn uw medewerkers in staat de richtlijnen te volgen? Hebben ze genoeg kennis en bewustzijn van hun rol en verantwoordelijkheid? Ook de markt waarin u opereert is van belang. Er is een groot verschil tussen een winkelier die een kortingspas uitgeeft of een zorginstelling die gegevens van haar patiënten vastlegt en deze deelt met verschillende partijen. Dat is de context en daarmee een belangrijk uitgangspunt voor de inrichting van uw Information Security Management System (ISMS). In gewoon Nederlands: hoe uw organisatie met de veiligheid van informatie omgaat. De ISO-norm zegt: “Begrijp de context van uw organisatie. Wie zijn de belangrijkste stakeholders en wat zijn hun specifieke verwachtingen met betrekking tot informatiebeveiliging. Over en weer.”

Stap 1: stakeholdermanagement

Leg vast wie uw stakeholders zijn en bepaal wat zij van uw organisatie verlangen en vice versa. Om u op weg te helpen, volgen hierna een paar handige stappen:

  1. Bepaal de verschillende categorieën, denk daarbij aan:
    • Afnemers/Klanten
    • Leveranciers
    • Medewerkers
    • Partners
    • Overheden
  2. Classificeer de partijenvan groot naar klein. Bij wie liggen de meeste eisen of is de impact het grootst. Maak op basis daarvan een rangschikking.
  3. Aan de slag.
    • Voor elke stakeholder bepaalt u welke onderwerpen er van toepassing zijn. Wat is de aard van de relatie? Welke gegevens betreft het? Welke wetten, regels of normen zijn er van toepassing? Waar zitten de risico’s?
  4. Bepaal waar de acties liggen en formuleer concrete acties op die onderwerpen.

De basis onder uw informatieveiligheid

Het stakeholderoverzicht met alle eisen en kaders is één van de fundamenten onder uw Information Security Management Systeem en daarmee het ISO 27001 certificaat. Neem de tijd om deze stap zorgvuldig uit te voeren. De extra tijd hier wint u later in het traject ruimschoots terug

Blog geschreven door Robin Beiler, Managing Consultant

Deel dit bericht:

Realiteitszin bij het werken met de NEN 7510 in de zorg: balanceren tussen veiligheid en praktisch gemak

In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Adres

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01

Privacy statement - Disclaimer - © 2024 BMGRIP