LinQer – Conforming IT

Planning van wijzigingen: Het beheersen van veranderingen binnen je ISMS

Bekijk alle actualiteiten • Blog
Planning van wijzigingen: Het beheersen van veranderingen binnen je ISMS

Als auditor en adviseur krijg ik vaak de vraag hoe zorginstellingen veranderingen in hun managementsysteem voor informatiebeveiliging (ISMS) kunnen beheren. De ISO 27001:2022 legt uit hoe je geplande en gecontroleerde wijzigingen moet doorvoeren.

Waarom is dit belangrijk?

In zorginstellingen is het ISMS dynamisch en evolueert het continu om te kunnen voldoen aan nieuwe wet- en regelgeving, technologische ontwikkelingen, of interne veranderingen. Elke wijziging in je ISMS, zoals de invoering van nieuwe processen, kan ook een risico zijn als deze niet goed wordt beheerd. Planning van wijzigingen is een essentiële stap om ervoor te zorgen dat wijzigingen in het ISMS zorgvuldig worden gepland, uitgevoerd en gedocumenteerd.

Hoe implementeer je het?

Het implementeren van dit normelement vraagt om gestructureerde en geplande veranderingen in je ISMS. Hier zijn vier belangrijke stappen die je kunt volgen:

  1. Beoordeel de noodzaak van de wijziging
    Voordat je veranderingen in je ISMS doorvoert, is het belangrijk om te bepalen of de wijziging noodzakelijk is. Wat is het doel van de verandering? Welke processen worden beïnvloed?
  2. Plan de wijziging
    De volgende stap is het opstellen van een plan voor de implementatie. Dit plan zou wat moeten zeggen over de impact van de verandering op het ISMS, mogelijke risico’s en de benodigde middelen. Maar ook over de tijdslijnen en verantwoordelijkheden.
  3. Voer een risicoanalyse uit
    Elke wijziging in je ISMS kan nieuwe risico’s met zich meebrengen. Voer daarom altijd een risicoanalyse uit om de impact van de verandering in kaart te brengen.
  4. Documenteer de wijziging
    Leg alle wijzigingen vast. Deze documentatie biedt niet alleen duidelijkheid tijdens een audit, maar zorgt er ook voor dat je altijd kunt terugkijken naar hoe en waarom bepaalde veranderingen zijn doorgevoerd.

Waar let een auditor op?

  • Is de reden van de wijziging onderbouwd?
  • Is de wijziging gepland?
  • Is er een risicoanalyse uitgevoerd?
  • Is de wijziging gedocumenteerd?

Conclusie

De ISO 27001-maatregel voor Planning van wijzigingen helpt je om veranderingen binnen je ISMS veilig en gestructureerd door te voeren. Met een goed plan, risicomanagement en goede documentatie. Heb je hulp nodig bij het plannen en beheren van wijzigingen in jouw ISMS? Ik help je graag verder!