4.4 - Information Security Management System
Geimplementeerd IB-coördinator
Doel
Het ISMS van YipYip B.V. geeft structuur aan de randvoorwaarden en primaire processen die nodig zijn voor de continue verbetering van de organisatie en informatiebeveiliging. Het systeem waarborgt dat YipYip als digital product agency — met klanten in de zorgsector — op gestructureerde wijze voldoet aan de eisen van ISO 27001:2022 en NEN7510:2024.
Het managementsysteem bestaat uit twee hoofdcategorieën gedocumenteerde informatie:
- Beleid en procedures — richtlijnen, werkinstructies en procesafspraken
- Documenten en registraties — bewijs van naleving, meetresultaten en logging
ISMS Overzicht
Structuur
Dit ISMS is opgezet volgens de High Level Structure (HLS) van ISO management systeem normen:
| Clausule | Onderwerp | Locatie |
|---|---|---|
| 4 | Context | 01-context/ |
| 5 | Leiderschap | 02-leiderschap/ |
| 6 | Planning | 03-planning/ |
| 7 | Ondersteuning | 04-ondersteuning/ |
| 8 | Uitvoering | 05-uitvoering/ |
| 9 | Evaluatie | 06-evaluatie/ |
| 10 | Verbetering | 07-verbetering/ |
| Annex A | Controls | controls/ |
PDCA Cyclus
Het ISMS volgt de Plan-Do-Check-Act cyclus:
- Plan: Context analyse (4), risicobeoordeling (6.1), doelstellingen (6.2), planning controls
- Do: Implementatie controls (8), operationele procedures, training en awareness (7)
- Check: Monitoring en meting (9.1), interne audit (9.2), management review (9.3)
- Act: Afwijkingen behandelen (10.1), correctieve acties, continue verbetering (10.2)
ISMS Processen
Kernprocessen
| Proces | Doel | Frequentie | Eigenaar |
|---|---|---|---|
| Risicobeoordeling | Identificeren en beoordelen risico’s | Jaarlijks + bij wijzigingen | IB-coördinator |
| Risicobehandeling | Selecteren en implementeren maatregelen | Continu | IB-coördinator |
| Interne audit | Beoordelen effectiviteit ISMS | Jaarlijks | IB-coördinator |
| Management review | Strategische beoordeling ISMS | Jaarlijks | Directie |
| Incident management | Afhandelen security incidenten | Continu | IB-coördinator |
| Change management | Beheren wijzigingen | Continu | IB-coördinator |
Ondersteunende Processen
| Proces | Doel | Frequentie | Eigenaar |
|---|---|---|---|
| Documentbeheer | Beheren ISMS documentatie | Continu | IB-coördinator |
| Competentiebeheer | Training en ontwikkeling | Jaarlijks | IB-coördinator |
| Awareness | Bewustzijn medewerkers | Continu | IB-coördinator |
| Leveranciersbeheer | Beheersen leveranciersrisico’s | Jaarlijks | IB-coördinator |
Gedocumenteerde Informatie
Verplichte Documenten (ISO 27001)
| Document | Clausule | Locatie |
|---|---|---|
| ISMS Scope | 4.3 | 01-context/4.3-scope.md |
| Informatiebeveiligingsbeleid | 5.2 | 02-leiderschap/5.2-beleid.md |
| Risico-assessment proces | 6.1.2 | 03-planning/6.1-risicobeoordeling/methodiek.md |
| Risicobehandelingsproces | 6.1.3 | 03-planning/6.1-risicobeoordeling/behandelplan.md |
| Statement of Applicability | 6.1.3 | controls/_index.yaml |
| Doelstellingen | 6.2 | 03-planning/6.2-doelstellingen.md |
| Competentie bewijs | 7.2 | 04-ondersteuning/7.2-competentie.md |
| Operationele planning | 8.1 | 05-uitvoering/8.1-planning.md |
| Risico-assessment resultaten | 8.2 | tools/sheets/risico-analyse.md (link) |
| Risicobehandelingsresultaten | 8.3 | 05-uitvoering/8.3-risicobehandeling.md |
| Monitoring resultaten | 9.1 | 06-evaluatie/9.1-monitoring.md |
| Audit programma en resultaten | 9.2 | 06-evaluatie/9.2-interne-audit/ |
| Management review resultaten | 9.3 | 06-evaluatie/9.3-directiebeoordeling.md |
| Non-conformiteiten en acties | 10.1 | 07-verbetering/10.1-afwijkingen.md |
Registers
| Register | Doel | Locatie |
|---|---|---|
| Asset register | Overzicht informatie-assets | registers/assets.yaml |
| Risico register | Geïdentificeerde risico’s | Google Sheets |
| Incident register | Beveiligingsincidenten | registers/incidenten.yaml |
| Leveranciersregister | Leveranciersbeheer | registers/leveranciers.yaml |
| Wijzigingsregister | Change management | registers/wijzigingen.yaml |
Instrumenten
Repository (Source of Truth)
- Platform: Git (deze repository)
- Inhoud: Beleid, procedures, controls, templates
- Versiebeheer: Via Git commits
- Review: Via Pull Requests
Google Sheets (Operationeel)
- Risico-analyse: Interactief register met scoring
- Leveranciersbeoordeling: Assessment tracking
- Awareness: Training registratie
Jira (Workflow)
- Audits: Planning en opvolging
- Incidenten: Registratie, afhandeling en opvolging van beveiligingsincidenten
- Verbeteracties: Tracking tot afronding
- Actielijst: Acties voortvloeiend uit ISO 27001/NEN7510 invoering, incidenten, veranderende omstandigheden, wetgeving en audits — elk met eigenaar en termijn
Integratie met Bedrijfsprocessen
Het ISMS is geïntegreerd met:
| Bedrijfsproces | Integratie |
|---|---|
| Strategie | Security als onderdeel van bedrijfsstrategie |
| Projecten | Security by design, risico-assessment |
| Operations | Dagelijkse beveiligingsactiviteiten |
| HR | Screening, training, uitdiensttreding |
| Inkoop | Leveranciersselectie en -beoordeling |
| IT | Technische controls, monitoring |
Continue Verbetering
Het ISMS wordt continu verbeterd door:
- Monitoring: Meten van prestatie-indicatoren
- Audits: Interne en externe audits
- Reviews: Periodieke management reviews
- Incidenten: Leren van beveiligingsincidenten
- Feedback: Input van belanghebbenden
- Trends: Volgen van bedreigingslandschap
Verantwoordelijkheden
| Rol | Verantwoordelijkheid |
|---|---|
| Directie | Eindverantwoordelijkheid ISMS, beschikbaar stellen van middelen, beoordelen van het systeem op geschiktheid en effectiviteit, directievertegenwoordiger voor informatiebeveiliging |
| IB-coördinator | Dagelijks beheer en coördinatie ISMS, opzetten/beschrijven/implementeren/onderhouden van het systeem, rapportage aan directie, toezien op naleving ISO 27001:2022 en NEN7510:2024 |
| Senior developers | Technische implementatie controls, beheer cloud- en netwerkinfrastructuur |
| Alle medewerkers | Naleving beleid en procedures, melden van beveiligingsincidenten |
Vastgesteld door: Directie, YipYip B.V. Datum: 2026-01-28