ISMS en AVG

Ondersteuning op het gebied van een informatiebeveiligingsmanagementsysteem (ISMS) en implementatie van AVG

SHISHO advies ondersteunt bij het opzetten, implementeren en continue verbeteren van een informatiebeveiligingsmanagementsysteem (ISMS) en/of een privacy managementsysteem (AVG) in alle fasen van de PDCA cyclus.
Deze ondersteuning varieert

  • Van helpen bij het zelf doen. De security officer (SO), functionaris gegevens bescherming (FG), data protection officer (DPO), manager of het team coachen tot het beoogde resultaat, bijvoorbeeld een certificaat of meer betrokkenheid binnen de organisatie, is behaald.
  • Tot het uitvoeren van praktische werkzaamheden, bijvoorbeeld het coƶrdineren bij een risicoanalyse of directiebeoordeling of het uitvoeren van (proef)audits.

SHISHO advies ondersteunt o.a. bij

Plan

  • het uitvoeren van een context- en/of belanghebbende anayse;
  • het vaststellen van het toepassingsgebied;
  • het vaststellen van risico’s en kansen, na het uitvoeren van bijvoorbeeld een SWOT analyse;
  • het uitvoeren van een risicoanalyse en/of privacy impact analyse (PIA), bij voorkeur, in een multi functional en multi level team (alle functie en niveaus vertegenwoordigd) met een methode naar keuze (MAPGOOD, Norea of een eenvoudige, praktische door SHISHO advies ontwikkelde methode);
  • het schrijven van een informatiebeveiligingsbeleid en/of privacybeleid met doelstellingen;
  • het vaststellen van verantwoordelijkheden en bevoegdheden;
  • het schrijven van documentatie, zoals bijvoorbeeld procedures op het gebied van interne audits of datalekken, een privacyreglement of een noodprocedure;
  • het inventariseren en classificeren van systemen;
  • het inventariseren van de gebruikte persoonsgegevens;
  • het opstellen van een verklaring van toepasselijkheid.

Do

  • het vaststellen van de benodigde competenties;
  • het ontwikkelen van een methode om competenties periodiek te beoordelen;
  • het trainen van medewerkers;
  • het ontwikkelen van een bewustwordingscampagne en de uitvoering daarvan;
  • het opstellen van een communicatieplan;
  • het creĆ«ren van draagvlak en betrokkenheid;
  • het opzetten van een documentbeheersysteem of ondersteunen bij de inrichting van een commercieel systeem;
  • het opzetten van een registratiesysteem voor datalekken, incidenten, meldingen, suggesties van medewerkers en verbeteracties of ondersteunen bij de inrichting van een commercieel systeem;
  • het bepalen van een minimaal aantal bij te houden registraties ten aanzien van bijvoorbeeld medewerkers, apparatuur, datalekken en incidenten, toegangsbeheer, etc.;
  • het structureren van de uitvoering van doelstellingen en maatregelen.

Check

  • het uitvoeren van een nulmeting;
  • het uitvoeren van proefaudits voorafgaand aan een externe audit;
  • het uitvoeren van interne audits volgens een methode naar keuze;
  • het evalueren van de effectiviteit van doelstellingen en maatregelen;
  • het vaststellen van (meetbare) prestatie-indicatoren met norm;
  • het periodiek beoordelen van datalekken, incidenten, meldingen en suggesties van medewerkers;
  • het opstellen van managementbeoordeling, een directiebeoordeling.

Act

  • het vaststellen van correctieve maatregelen;
  • het opstellen van verbeterplannen en de implementatie daarvan;
  • het rondmaken van de PDCA cyclus.

Naar Home.