In het licht van gemeentelijke informatiebeveiliging wordt er veel geschreven en gepraat over ISMS- en GRC-tooling. Deze twee begrippen worden vaak en makkelijk door elkaar gehaald. De vraag is dan ook, wat kun je er nou eigenlijk mee? Tijd om dat eens op een rijtje te zetten. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van de ISO 27001 norm. Dit is een ISO-standaard op het vlak van informatiebeveiliging.

Het fundament; ISMS

Deze norm stelt eisen in het kader van de algemene bedrijfsrisico’s voor de gemeente voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). Door het woord ‘system’ doet het al gauw denken aan een systeem. Toch is het dat niet. ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Je moet als gemeente immers constant verbeteren en deze verbeterstappen ook echt kunnen aantonen. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op deze verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid- en plan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
2. Do: inzicht in status en effectiviteit van de uitvoering. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
3. Check: rapportage van status en effectiviteit. Door middel van zelf-assessments, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
4. Act: evalueren en bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid bijgesteld of de uitvoering ervan bijgestuurd.

Vaak ligt bij het ISMS de nadruk op de documentatie en administratie van de te nemen stappen in de PDCA-cyclus. Maar documenten moet je bijhouden, papier is geduldig en een plan verdwijnt dan ook al gauw in de kast. De oplossing? Een ISMS-tool. Deze tooling neemt je simpelweg mee langs alle eisen die de ISO-norm stelt. Zo wordt er een kader geboden waaraan alle documentatie kan worden gekoppeld en kan de tool naar eigen inzicht ingericht worden, toegepast op de eigen gemeente. Op deze manier kun je niet alleen je ISMS opzetten, maar ook de gekozen werkwijzen borgen.

Het stuur; GRC

Naast het feit dat je als gemeente moet voldoen aan de ISO 27001, krijgt een gemeente ook te maken met steeds meer wet- en regelgeving. Bovendien verandert de wereld om ons heen razendsnel, denk alleen al aan de technologische ontwikkelingen die elkaar in rap tempo opvolgen. Deze ontwikkelingen hebben impact op gemeenten en op hun functioneren. Je moet vandaag de dag niet alleen inzicht hebben in de kwaliteit van je organisatie, maar je moet daarnaast kunnen aantonen dat je bedrijfsvoering op orde is en kunnen ingrijpen indien nodig. Zeker gezien de transparantie die gemeenten aan de dag moeten leggen vanuit hun verantwoordingsplicht. In dit geval kan een GRC-tool oplossing bieden. Governance, Risk en Compliance, staat voor het beheersen van gedragscodes, interne processen en wet- en regelgeving. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.

Zoek de verschillen

We kunnen stellen dat het inrichten en beheren van het ISMS en GRC proces kan worden ondersteund met tooling. Met een belangrijk verschil. Bij ISMS beperken we ons in de basis namelijk tot het opzetten en beheren van de (bij voorkeur integrale) administratieve organisatie (AO) op het gebied van informatiebeveiliging. GRC daarentegen is veel breder toepasbaar en richt zich primair op het organisatiebreed sturen, rapporteren, verantwoorden en borgen van continuïteit door onder andere het inrichten van workflows. Daarbij ligt de nadruk minder op de AO. De beide tools worden dus voor verschillende doeleinden ingezet. Maar wanneer kies je voor een ISMS-tool en wanneer voor een GRC-tool? Om dit te achterhalen moet je jezelf de volgende vraag stellen: Ben je op zoek naar tooling die ondersteuning biedt bij het efficiënt opzetten en beheren van de administratieve organisatie op het vlak van informatiebeveiliging? Dan kies je voor een ISMS-tool. Wil je organisatiebreed processen kunnen sturen, rapporteren, verantwoorden en de continuïteit borgen? Dan biedt een GRC-tool uitkomst. Bepaal dus je vertrekpunt.

1+1=1?

In de praktijk zit er enige overlap in de functionaliteiten van ISMS- en GRC-tooling. Waarom dan niet één tool kan je je afvragen? Dat heeft te maken met de uiteindelijke behoefte waaraan de beide tools voldoen. Ja, een ISMS-tool biedt bepaalde functionaliteiten die een GRC-tool ook biedt en vica versa. Maar het is belangrijk om vooraf stil te staan waar je de tool voor wilt inzetten. Kortom, bedenk van te voren goed waar je behoefte ligt en naar welke functionaliteit je primair op zoek bent als gemeente voordat je de tooling aanschaft. Je zal niet de eerste gemeente zijn die daarin verkeerd heeft besloten. Alleen de juiste tooling helpt de CISO in zijn of haar werk.

(ivm de vakantie zal de volgende blog pas begin september verschijnen)