ISMS Copilot
ISO 27001-begrippenlijst

Wat zijn belanghebbenden in ISO 27001?

Overzicht

Belanghebbenden (interested parties) zijn individuen, groepen of organisaties die invloed kunnen uitoefenen op, beïnvloed kunnen worden door, of zichzelf beïnvloed kunnen voelen door uw ISMS. Het identificeren van belanghebbenden is een fundamentele vereiste in ISO 27001:2022 clausule 4.2 die de scope, doelstellingen en prioriteiten van uw ISMS vormgeeft.

Inzicht in belanghebbenden helpt u bij het definiëren van beveiligingseisen die de behoeften en verwachtingen van stakeholders in evenwicht brengen met praktische beveiligingsmaatregelen.

Belanghebbenden in de praktijk

ISO 27001:2022 vereist dat u vaststelt:

  • Wie de belanghebbenden zijn die relevant zijn voor uw ISMS

  • Wat hun eisen zijn op het gebied van informatiebeveiliging

  • Welke van deze eisen via uw ISMS zullen worden geadresseerd

Deze analyse is bepalend voor de scope van uw ISMS (clausule 4.3), de informatiebeveiligingsdoelstellingen (clausule 6.2) en de Annex A-beveiligingsmaatregelen die u implementeert.

De analyse van belanghebbenden is geen eenmalige exercitie. U moet deze beoordelen en bijwerken als onderdeel van uw managementbeoordeling wanneer omstandigheden veranderen.

Categorieën belanghebbenden

Interne belanghebbenden

Stakeholders binnen uw organisatie:

  • Topmanagement: Vereist de zekerheid dat informatiebeveiliging de zakelijke doelstellingen ondersteunt en de organisatie beschermt tegen juridische/financiële risico's

  • Medewerkers: Hebben veilige systemen nodig om hun werk te kunnen doen en verwachten bescherming van hun persoonsgegevens

  • IT- en beveiligingsteams: Verantwoordelijk voor het implementeren en onderhouden van maatregelen

  • Juridische zaken en compliance: Zorgen ervoor dat aan wettelijke verplichtingen wordt voldaan

  • Houders van bedrijfseenheden: Balanceren beveiligingseisen met operationele efficiëntie

Externe belanghebbenden

Stakeholders buiten uw organisatie:

  • Klanten: Eisen bescherming van hun gegevens en kunnen specifieke maatregelen verplichten (bijv. encryptie, toegangsbeperkingen)

  • Leveranciers en partners: Hebben veilige gegevensuitwisseling nodig en kunnen contractuele beveiligingseisen stellen

  • Regelgevers: Handhaven de naleving van wetten zoals de AVG (GDPR), sector-specifieke regelgeving of andere relevante wetgeving

  • Certificeringsinstanties: Auditen uw ISMS aan de hand van de ISO 27001:2022-eisen

  • Aandeelhouders/investeerders: Verwachten bescherming van de bedrijfscontinuïteit en reputatie

  • Verzekeraars: Kunnen specifieke maatregelen eisen voor dekking door een cyberverzekering

Verschillende belanghebbenden kunnen tegenstrijdige eisen hebben. Documenteer hoe u deze prioriteert en balanceert in de scope van uw ISMS en uw beslissingen over risicobehandeling.

Eisen identificeren

Bepaal voor elke belanghebbende wat hun behoeften zijn op het gebied van informatiebeveiliging:

Voorbeeld - Klanten:

  • Eis: Bescherm persoonsgegevens van klanten conform de AVG

  • ISMS-respons: Implementeer versleuteling (A.8.24), toegangscontroles (A.5.15), beleid voor gegevensbewaring (A.5.34)

Voorbeeld - Regelgevers:

  • Eis: Naleving aantonen van sector-specifieke wetgeving voor gegevensbescherming

  • ISMS-respons: Voer regelmatig risicobeoordelingen uit, houd audittrails bij, voer interne audits uit

Voorbeeld - Zakelijke partners:

  • Eis: Veilige API-verbindingen voor gegevensuitwisseling

  • ISMS-respons: Implementeer veilige authenticatie (A.5.17), netwerkbeveiliging (A.8.20-A.8.23)

Documenteren van belanghebbenden

Hoewel ISO 27001:2022 geen specifiek formaat voorschrijft, moet uw documentatie het volgende bevatten:

  • Lijst van geïdentificeerde belanghebbenden (intern en extern)

  • Hun eisen voor informatiebeveiliging

  • Hoe aan de eisen wordt voldaan in uw ISMS (gekoppeld aan maatregelen, doelstellingen of beleid)

  • Eventuele expliciet uitgesloten eisen en de rechtvaardiging hiervan

Het niet adresseren van de eisen van een kritieke belanghebbende kan leiden tot beveiligingslekken, overtredingen van de regelgeving of afgekeurde audits. Documenteer uitsluitingen met een duidelijke zakelijke rechtvaardiging.

Verband met andere ISMS-elementen

De analyse van belanghebbenden is direct van invloed op:

  • ISMS Scope (Clausule 4.3): Definieert grenzen op basis van de eisen van belanghebbenden

  • Informatiebeveiligingsbeleid (Clausule 5.2): Weerspiegelt toezeggingen aan belanghebbenden

  • Risicobeoordeling (Clausule 6.1.2): Houdt rekening met risico's voor de eisen van belanghebbenden

  • Informatiebeveiligingsdoelstellingen (Clausule 6.2): Sluiten aan bij de verwachtingen van belanghebbenden

  • Communicatie (Clausule 7.4): Bepaalt wat aan welke stakeholders wordt gecommuniceerd

Praktijkvoorbeelden

Zorgorganisatie

Belanghebbenden: Patiënten (privacy), toezichthouders in de zorg (naleving van wetgeving), verzekeraars (beveiliging van declaratiegegevens), leveranciers van medische apparatuur (veilige integraties).

Belangrijkste eisen: Beheer van toestemming van patiënten, audit-logging, versleuteling van medische dossiers, beveiligingsbeoordelingen van leveranciers.

SaaS-bedrijf

Belanghebbenden: Enterprise-klanten (SOC 2/ISO 27001-certificering), eindgebruikers (gegevensbescherming), cloudproviders (gedeelde verantwoordelijkheid), investeerders (bedrijfscontinuïteit).

Belangrijkste eisen: Audits door derden, incidentrespons-capaciteiten, controles op dataresidency, bedrijfscontinuïteitsplanning.

Gebruik ISMS Copilot om belanghebbenden voor uw sector te identificeren, hun eisen in kaart te brengen met Annex A-maatregelen, of documentatiesjablonen voor stakeholderanalyse te genereren.

Gerelateerde termen

Was dit nuttig?