Wanneer en hoe zet je software in bij je ISMS-proces?

| Renco Schoemaker | ,

Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG), dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren.

Wat is een ISMS?

Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces. Je moet als gemeente informatiebeveiliging immers continu verder verbeteren en deze verbeterstappen ook kunnen aantonen (vanuit verantwoording). Door het woord ‘system’ suggereert het dat het hier om software gaat, toch is dat niet het geval. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid en -jaarplan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in de status en effectiviteit van de uitvoering en voortgang van het informatiebeveiligingsplan. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelfevaluaties, interne controles, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evaluatie en eventueel bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid en/of jaarplan bijgesteld of de uitvoering ervan bijgestuurd.

Toegevoegde waarde van ISMS-software

Voor dit proces heb je dus niet per se software nodig. Het is prima mogelijk een ISMS-proces te implementeren zonder dat hier tooling bij komt kijken. Toch kiezen veel organisaties er wél voor om software te gebruiken. Immers, met behulp van ISMS-software:

  • Is het makkelijk(er) om beveiligingsmaatregelen te selecteren, implementeren, monitoren en erover te rapporteren. Dus waarom moeilijk doen als het ook makkelijker kan?
  • Kun je de PDCA-cyclus concrete invulling geven, waardoor het niet blijft steken in plannen op papier. Maar wanneer mensen zich niet aangesproken voelen om de taak die aan hen is toegewezen uit te voeren, kan dit ook in een digitale variant blijven liggen.
  • Kunnen taken, gekoppeld aan maatregelen, worden toegewezen aan personen. Hierdoor heb je doorlopend inzicht en overzicht in de actuele stand van zaken. 
  • Heb je één centrale administratie die je kunt gebruiken voor beantwoording en evidence (bye bye Excel-sheets). Daarnaast zijn gebruikersbeheer en een audit trail nou eenmaal lastig te realiseren in Excel.
  • Heb je niet alleen een tool voor het opslaan van documenten, maar ook de mogelijkheid tot het gebruik van workflows. Zo heb je o.a. zicht op waar je in het proces bent en wie aan zet is.
  • Kun je eenvoudig de voortgang inzien met de rapportagemogelijkheden van de software en hierover periodiek en eenduidig rapporteren aan het management.

Kortom, de voordelen van ISMS-software zijn wel duidelijk. De vraag is alleen, wat is het juiste moment om ISMS-software te implementeren en hoe kies je de juiste software?

Wanneer ISMS-software inzetten?

Het is belangrijk om vanaf het begin goed na te denken over wat je met het ISMS-pakket wilt bereiken. Indien je dit namelijk goed doet en de software op het juiste moment inzet (lees: niet te vroeg), dan plukt de gemeente hier nog jarenlang de vruchten van. In praktijk zien we vaak nog de verkeerde redenen om ISMS-software te implementeren of dat gemeenten direct overgaan tot aanschaf van software zonder hier überhaupt over na te denken. Dit kan leiden tot een verkeerde selectie waardoor je de software niet (goed) gebruikt, en dat is zonde van de investering. Wat moet je zoal niet doen?

  • Software aankopen in de hoop dat het ISMS-proces erbij inbegrepen zit
  • Software aankopen om te zorgen dat mensen hun werk (gaan) doen.
  • Software aankopen en het vervolgens alleen als CISO zelf gebruiken.
  • Software aankopen alleen voor de korte-termijn ‘winst’.

Wat moet je dan wel doen?

  • Software aankopen wanneer er al een bestaand ISMS-proces is (hoe bescheiden ook) 
  • Software aankopen en benutten om een proces (verder) gestalte te (kunnen) geven.
  • Software aankopen en starten vanuit een wettelijk verplicht verantwoordingsproces, zoals ENSIA.
  • Software aankopen voor de lange-termijn ‘winst’.

Hoe kies je de juiste ISMS-software?

Als je weet wat je met het ISMS-pakket wilt bereiken en besloten hebt dit te willen aanschaffen, dan is de volgende stap het selecteren van de juiste software. Hierbij is het belangrijk om op een aantal zaken te letten. Het lijkt vaak gemakkelijk om zelf een pakketselectie te maken, maar in praktijk blijkt dit toch vaak complexer dan gedacht. ISMS-software is namelijk te verkrijgen in verschillende soorten en maten. En je wilt uiteraard de functionaliteit die het beste aansluit bij de wensen van jouw gemeente, maar welke software is dat dan? Lees hiervoor onze eerdere blog ‘Stappenplan voor het kiezen van een ISMS-pakket’, waarin we stap voor stap uitleggen hoe je de juiste ISMS-software voor jouw gemeente selecteert.

Conclusie

Met behulp van goede ISMS-software kun je de PDCA-cyclus concrete invulling geven en blijft het niet steken in vooral papier. Indien je daarnaast de rapportagemogelijkheden ook goed benut, helpt het jou als CISO bij het rapporteren en adviseren naar het management, zodat zij op hun beurt kunnen (bij)sturen waar nodig. Zorg wel dat je vooraf duidelijk de scope voor het gebruik van de software bepaalt en commitment van het management hebt hierop. Tip: begin met één proces en trek gerust een jaar uit voor de inrichting en ingebruikname van de software voor alleen dit proces.

Tot slot, is het belangrijk om de maatregelen te relateren aan doelstellingen en/of risico’s, en als CISO de procesverantwoordelijkheid te nemen, de maatregelen neem je zelden zelf. Kortom, als CISO inventariseer, rapporteer en adviseer je.

Meer weten?

Lees dan ook onze eerdere blogs ‘ISMS & GRC, wat kun je er eigenlijk mee?’ en de blog ‘ISMS conform ISO 27001’, waarin je meer kunt lezen over het ISMS-proces zelf. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente een ISMS-pakket aan te schaffen? IB&P heeft ruime ervaring met het uitzoeken en inrichten van ISMS-software en helpt je graag. Neem dus gerust contact met ons op.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Verder lezen

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…
Verder lezen

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Verder lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap