Skip to main content

ISMS & GRC, wat kun je er eigenlijk mee?


In het licht van gemeentelijke informatiebeveiliging wordt er veel geschreven en gepraat over ISMS- en GRC-tooling. Deze twee begrippen worden vaak en makkelijk door elkaar gehaald. De vraag is dan ook, wat kun je er nou eigenlijk mee? Tijd om dat eens op een rijtje te zetten. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van de ISO 27001 norm. Dit is een ISO-standaard op het vlak van informatiebeveiliging.

Het fundament; ISMS

Deze norm stelt eisen in het kader van de algemene bedrijfsrisico’s voor de gemeente voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). Door het woord ‘system’ doet het al gauw denken aan een systeem. Toch is het dat niet. ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Je moet als gemeente immers constant verbeteren en deze verbeterstappen ook echt kunnen aantonen. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op deze verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid- en plan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in status en effectiviteit van de uitvoering. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelf-assessments, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evalueren en bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid bijgesteld of de uitvoering ervan bijgestuurd.

Vaak ligt bij het ISMS de nadruk op de documentatie en administratie van de te nemen stappen in de PDCA-cyclus. Maar documenten moet je bijhouden, papier is geduldig en een plan verdwijnt dan ook al gauw in de kast. De oplossing? Een ISMS-tool. Deze tooling neemt je simpelweg mee langs alle eisen die de ISO-norm stelt. Zo wordt er een kader geboden waaraan alle documentatie kan worden gekoppeld en kan de tool naar eigen inzicht ingericht worden, toegepast op de eigen gemeente. Op deze manier kun je niet alleen je ISMS opzetten, maar ook de gekozen werkwijzen borgen.

Het stuur; GRC

Naast het feit dat je als gemeente moet voldoen aan de ISO 27001, krijgt een gemeente ook te maken met steeds meer wet- en regelgeving. Bovendien verandert de wereld om ons heen razendsnel, denk alleen al aan de technologische ontwikkelingen die elkaar in rap tempo opvolgen. Deze ontwikkelingen hebben impact op gemeenten en op hun functioneren. Je moet vandaag de dag niet alleen inzicht hebben in de kwaliteit van je organisatie, maar je moet daarnaast kunnen aantonen dat je bedrijfsvoering op orde is en kunnen ingrijpen indien nodig. Zeker gezien de transparantie die gemeenten aan de dag moeten leggen vanuit hun verantwoordingsplicht. In dit geval kan een GRC-tool oplossing bieden. Governance, Risk en Compliance, staat voor het beheersen van gedragscodes, interne processen en wet- en regelgeving. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.

Zoek de verschillen

We kunnen stellen dat het inrichten en beheren van het ISMS en GRC proces kan worden ondersteund met tooling. Met een belangrijk verschil. Bij ISMS beperken we ons in de basis namelijk tot het opzetten en beheren van de (bij voorkeur integrale) administratieve organisatie (AO) op het gebied van informatiebeveiliging. GRC daarentegen is veel breder toepasbaar en richt zich primair op het organisatiebreed sturen, rapporteren, verantwoorden en borgen van continuïteit door onder andere het inrichten van workflows. Daarbij ligt de nadruk minder op de AO. De beide tools worden dus voor verschillende doeleinden ingezet. Maar wanneer kies je voor een ISMS-tool en wanneer voor een GRC-tool? Om dit te achterhalen moet je jezelf de volgende vraag stellen: Ben je op zoek naar tooling die ondersteuning biedt bij het efficiënt opzetten en beheren van de administratieve organisatie op het vlak van informatiebeveiliging? Dan kies je voor een ISMS-tool. Wil je organisatiebreed processen kunnen sturen, rapporteren, verantwoorden en de continuïteit borgen? Dan biedt een GRC-tool uitkomst. Bepaal dus je vertrekpunt.

1+1=1?

In de praktijk zit er enige overlap in de functionaliteiten van ISMS- en GRC-tooling. Waarom dan niet één tool kan je je afvragen? Dat heeft te maken met de uiteindelijke behoefte waaraan de beide tools voldoen. Ja, een ISMS-tool biedt bepaalde functionaliteiten die een GRC-tool ook biedt en vica versa. Maar het is belangrijk om vooraf stil te staan waar je de tool voor wilt inzetten. Kortom, bedenk van te voren goed waar je behoefte ligt en naar welke functionaliteit je primair op zoek bent als gemeente voordat je de tooling aanschaft. Je zal niet de eerste gemeente zijn die daarin verkeerd heeft besloten. Alleen de juiste tooling helpt de CISO in zijn of haar werk.

(ivm de vakantie zal de volgende blog pas begin september verschijnen)

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…