Skip to main content

Wanneer en hoe zet je software in bij je ISMS-proces?

| IB&P | ,

Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG), dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren.

Wat is een ISMS?

Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces. Je moet als gemeente informatiebeveiliging immers continu verder verbeteren en deze verbeterstappen ook kunnen aantonen (vanuit verantwoording). Door het woord ‘system’ suggereert het dat het hier om software gaat, toch is dat niet het geval. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid en -jaarplan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in de status en effectiviteit van de uitvoering en voortgang van het informatiebeveiligingsplan. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelfevaluaties, interne controles, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evaluatie en eventueel bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid en/of jaarplan bijgesteld of de uitvoering ervan bijgestuurd.

Toegevoegde waarde van ISMS-software

Voor dit proces heb je dus niet per se software nodig. Het is prima mogelijk een ISMS-proces te implementeren zonder dat hier tooling bij komt kijken. Toch kiezen veel organisaties er wél voor om software te gebruiken. Immers, met behulp van ISMS-software:

  • Is het makkelijk(er) om beveiligingsmaatregelen te selecteren, implementeren, monitoren en erover te rapporteren. Dus waarom moeilijk doen als het ook makkelijker kan?
  • Kun je de PDCA-cyclus concrete invulling geven, waardoor het niet blijft steken in plannen op papier. Maar wanneer mensen zich niet aangesproken voelen om de taak die aan hen is toegewezen uit te voeren, kan dit ook in een digitale variant blijven liggen.
  • Kunnen taken, gekoppeld aan maatregelen, worden toegewezen aan personen. Hierdoor heb je doorlopend inzicht en overzicht in de actuele stand van zaken. 
  • Heb je één centrale administratie die je kunt gebruiken voor beantwoording en evidence (bye bye Excel-sheets). Daarnaast zijn gebruikersbeheer en een audit trail nou eenmaal lastig te realiseren in Excel.
  • Heb je niet alleen een tool voor het opslaan van documenten, maar ook de mogelijkheid tot het gebruik van workflows. Zo heb je o.a. zicht op waar je in het proces bent en wie aan zet is.
  • Kun je eenvoudig de voortgang inzien met de rapportagemogelijkheden van de software en hierover periodiek en eenduidig rapporteren aan het management.

Kortom, de voordelen van ISMS-software zijn wel duidelijk. De vraag is alleen, wat is het juiste moment om ISMS-software te implementeren en hoe kies je de juiste software?

Wanneer ISMS-software inzetten?

Het is belangrijk om vanaf het begin goed na te denken over wat je met het ISMS-pakket wilt bereiken. Indien je dit namelijk goed doet en de software op het juiste moment inzet (lees: niet te vroeg), dan plukt de gemeente hier nog jarenlang de vruchten van. In praktijk zien we vaak nog de verkeerde redenen om ISMS-software te implementeren of dat gemeenten direct overgaan tot aanschaf van software zonder hier überhaupt over na te denken. Dit kan leiden tot een verkeerde selectie waardoor je de software niet (goed) gebruikt, en dat is zonde van de investering. Wat moet je zoal niet doen?

  • Software aankopen in de hoop dat het ISMS-proces erbij inbegrepen zit
  • Software aankopen om te zorgen dat mensen hun werk (gaan) doen.
  • Software aankopen en het vervolgens alleen als CISO zelf gebruiken.
  • Software aankopen alleen voor de korte-termijn ‘winst’.

Wat moet je dan wel doen?

  • Software aankopen wanneer er al een bestaand ISMS-proces is (hoe bescheiden ook) 
  • Software aankopen en benutten om een proces (verder) gestalte te (kunnen) geven.
  • Software aankopen en starten vanuit een wettelijk verplicht verantwoordingsproces, zoals ENSIA.
  • Software aankopen voor de lange-termijn ‘winst’.

Hoe kies je de juiste ISMS-software?

Als je weet wat je met het ISMS-pakket wilt bereiken en besloten hebt dit te willen aanschaffen, dan is de volgende stap het selecteren van de juiste software. Hierbij is het belangrijk om op een aantal zaken te letten. Het lijkt vaak gemakkelijk om zelf een pakketselectie te maken, maar in praktijk blijkt dit toch vaak complexer dan gedacht. ISMS-software is namelijk te verkrijgen in verschillende soorten en maten. En je wilt uiteraard de functionaliteit die het beste aansluit bij de wensen van jouw gemeente, maar welke software is dat dan? Lees hiervoor onze eerdere blog ‘Stappenplan voor het kiezen van een ISMS-pakket’, waarin we stap voor stap uitleggen hoe je de juiste ISMS-software voor jouw gemeente selecteert.

Conclusie

Met behulp van goede ISMS-software kun je de PDCA-cyclus concrete invulling geven en blijft het niet steken in vooral papier. Indien je daarnaast de rapportagemogelijkheden ook goed benut, helpt het jou als CISO bij het rapporteren en adviseren naar het management, zodat zij op hun beurt kunnen (bij)sturen waar nodig. Zorg wel dat je vooraf duidelijk de scope voor het gebruik van de software bepaalt en commitment van het management hebt hierop. Tip: begin met één proces en trek gerust een jaar uit voor de inrichting en ingebruikname van de software voor alleen dit proces.

Tot slot, is het belangrijk om de maatregelen te relateren aan doelstellingen en/of risico’s, en als CISO de procesverantwoordelijkheid te nemen, de maatregelen neem je zelden zelf. Kortom, als CISO inventariseer, rapporteer en adviseer je.

Meer weten?

Lees dan ook onze eerdere blogs ‘ISMS & GRC, wat kun je er eigenlijk mee?’ en de blog ‘ISMS conform ISO 27001’, waarin je meer kunt lezen over het ISMS-proces zelf. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente een ISMS-pakket aan te schaffen? IB&P heeft ruime ervaring met het uitzoeken en inrichten van ISMS-software en helpt je graag. Neem dus gerust contact met ons op.

IB&P
Laatste berichten van IB&P (alles zien)

Training

Vraag informatie aan om deze cursus in-house te organiseren!

Ga naar website

Meer blogs lezen

Onzichtbare AI in systemen: privacyrisico’s voor gemeenten

In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.
Verder lezen

Het belang van de Management Review binnen het ISMS

Een ISMS is geen tool die je even aanzet en afvinkt. Het is een continu proces waarin je risico’s beheerst, maatregelen borgt en blijft verbeteren. En in dat proces is één moment echt cruciaal: de management review. In deze blog leg ik uit wat dit…
Verder lezen

De rol van de CISO tijdens calamiteiten

Een cyber- of ransomware-aanval of een groot datalek: het is de nachtmerrie van elke gemeente. Op zo’n moment moet er snel gehandeld en besloten worden. De Chief Information Security Officer (CISO) speelt daarin een cruciale rol. Maar hoe ziet die…
Verder lezen

De interne controlecyclus; zo maak je toetsing werkbaar

Een belangrijk onderdeel binnen de BIO 2.0 is de interne controlecyclus: hoe toets je structureel of je maatregelen ook echt doen wat ze moeten doen? Niet één keer per jaar omdat het moet, maar continu, als onderdeel van je dagelijkse praktijk. In…
Verder lezen

Zo breng je informatiebeveiligingsbeleid écht tot leven in de organisatie

Bij veel gemeenten voelt informatiebeveiligingsbeleid nog als een verplicht nummer. Zonde! Want een goed informatiebeveiligingsbeleid kan juist richting geven aan de hele organisatie.
Verder lezen

Van afspraken naar praktijk: grip op gegevensdeling in samenwerkingsverbanden

Gemeenten werken steeds vaker samen. Die samenwerking is logisch want samen kun je meer bereiken maar het betekent ook dat er steeds meer gegevens gedeeld worden. En dan is de vraag: hoe zorg je ervoor dat dit rechtmatig, veilig en transparant geb…
Verder lezen