Skip to main content

ISMS & GRC, wat kun je er eigenlijk mee?


In het licht van gemeentelijke informatiebeveiliging wordt er veel geschreven en gepraat over ISMS- en GRC-tooling. Deze twee begrippen worden vaak en makkelijk door elkaar gehaald. De vraag is dan ook, wat kun je er nou eigenlijk mee? Tijd om dat eens op een rijtje te zetten. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van de ISO 27001 norm. Dit is een ISO-standaard op het vlak van informatiebeveiliging.

Het fundament; ISMS

Deze norm stelt eisen in het kader van de algemene bedrijfsrisico’s voor de gemeente voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). Door het woord ‘system’ doet het al gauw denken aan een systeem. Toch is het dat niet. ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Je moet als gemeente immers constant verbeteren en deze verbeterstappen ook echt kunnen aantonen. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op deze verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid- en plan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in status en effectiviteit van de uitvoering. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelf-assessments, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evalueren en bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid bijgesteld of de uitvoering ervan bijgestuurd.

Vaak ligt bij het ISMS de nadruk op de documentatie en administratie van de te nemen stappen in de PDCA-cyclus. Maar documenten moet je bijhouden, papier is geduldig en een plan verdwijnt dan ook al gauw in de kast. De oplossing? Een ISMS-tool. Deze tooling neemt je simpelweg mee langs alle eisen die de ISO-norm stelt. Zo wordt er een kader geboden waaraan alle documentatie kan worden gekoppeld en kan de tool naar eigen inzicht ingericht worden, toegepast op de eigen gemeente. Op deze manier kun je niet alleen je ISMS opzetten, maar ook de gekozen werkwijzen borgen.

Het stuur; GRC

Naast het feit dat je als gemeente moet voldoen aan de ISO 27001, krijgt een gemeente ook te maken met steeds meer wet- en regelgeving. Bovendien verandert de wereld om ons heen razendsnel, denk alleen al aan de technologische ontwikkelingen die elkaar in rap tempo opvolgen. Deze ontwikkelingen hebben impact op gemeenten en op hun functioneren. Je moet vandaag de dag niet alleen inzicht hebben in de kwaliteit van je organisatie, maar je moet daarnaast kunnen aantonen dat je bedrijfsvoering op orde is en kunnen ingrijpen indien nodig. Zeker gezien de transparantie die gemeenten aan de dag moeten leggen vanuit hun verantwoordingsplicht. In dit geval kan een GRC-tool oplossing bieden. Governance, Risk en Compliance, staat voor het beheersen van gedragscodes, interne processen en wet- en regelgeving. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.

Zoek de verschillen

We kunnen stellen dat het inrichten en beheren van het ISMS en GRC proces kan worden ondersteund met tooling. Met een belangrijk verschil. Bij ISMS beperken we ons in de basis namelijk tot het opzetten en beheren van de (bij voorkeur integrale) administratieve organisatie (AO) op het gebied van informatiebeveiliging. GRC daarentegen is veel breder toepasbaar en richt zich primair op het organisatiebreed sturen, rapporteren, verantwoorden en borgen van continuïteit door onder andere het inrichten van workflows. Daarbij ligt de nadruk minder op de AO. De beide tools worden dus voor verschillende doeleinden ingezet. Maar wanneer kies je voor een ISMS-tool en wanneer voor een GRC-tool? Om dit te achterhalen moet je jezelf de volgende vraag stellen: Ben je op zoek naar tooling die ondersteuning biedt bij het efficiënt opzetten en beheren van de administratieve organisatie op het vlak van informatiebeveiliging? Dan kies je voor een ISMS-tool. Wil je organisatiebreed processen kunnen sturen, rapporteren, verantwoorden en de continuïteit borgen? Dan biedt een GRC-tool uitkomst. Bepaal dus je vertrekpunt.

1+1=1?

In de praktijk zit er enige overlap in de functionaliteiten van ISMS- en GRC-tooling. Waarom dan niet één tool kan je je afvragen? Dat heeft te maken met de uiteindelijke behoefte waaraan de beide tools voldoen. Ja, een ISMS-tool biedt bepaalde functionaliteiten die een GRC-tool ook biedt en vica versa. Maar het is belangrijk om vooraf stil te staan waar je de tool voor wilt inzetten. Kortom, bedenk van te voren goed waar je behoefte ligt en naar welke functionaliteit je primair op zoek bent als gemeente voordat je de tooling aanschaft. Je zal niet de eerste gemeente zijn die daarin verkeerd heeft besloten. Alleen de juiste tooling helpt de CISO in zijn of haar werk.

(ivm de vakantie zal de volgende blog pas begin september verschijnen)

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.