Wanneer en hoe zet je software in bij je ISMS-proces?


Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG), dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren.

Wat is een ISMS?

Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces. Je moet als gemeente informatiebeveiliging immers continu verder verbeteren en deze verbeterstappen ook kunnen aantonen (vanuit verantwoording). Door het woord ‘system’ suggereert het dat het hier om software gaat, toch is dat niet het geval. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid en -jaarplan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in de status en effectiviteit van de uitvoering en voortgang van het informatiebeveiligingsplan. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelfevaluaties, interne controles, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evaluatie en eventueel bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid en/of jaarplan bijgesteld of de uitvoering ervan bijgestuurd.

Toegevoegde waarde van ISMS-software

Voor dit proces heb je dus niet per se software nodig. Het is prima mogelijk een ISMS-proces te implementeren zonder dat hier tooling bij komt kijken. Toch kiezen veel organisaties er wél voor om software te gebruiken. Immers, met behulp van ISMS-software:

  • Is het makkelijk(er) om beveiligingsmaatregelen te selecteren, implementeren, monitoren en erover te rapporteren. Dus waarom moeilijk doen als het ook makkelijker kan?
  • Kun je de PDCA-cyclus concrete invulling geven, waardoor het niet blijft steken in plannen op papier. Maar wanneer mensen zich niet aangesproken voelen om de taak die aan hen is toegewezen uit te voeren, kan dit ook in een digitale variant blijven liggen.
  • Kunnen taken, gekoppeld aan maatregelen, worden toegewezen aan personen. Hierdoor heb je doorlopend inzicht en overzicht in de actuele stand van zaken. 
  • Heb je één centrale administratie die je kunt gebruiken voor beantwoording en evidence (bye bye Excel-sheets). Daarnaast zijn gebruikersbeheer en een audit trail nou eenmaal lastig te realiseren in Excel.
  • Heb je niet alleen een tool voor het opslaan van documenten, maar ook de mogelijkheid tot het gebruik van workflows. Zo heb je o.a. zicht op waar je in het proces bent en wie aan zet is.
  • Kun je eenvoudig de voortgang inzien met de rapportagemogelijkheden van de software en hierover periodiek en eenduidig rapporteren aan het management.

Kortom, de voordelen van ISMS-software zijn wel duidelijk. De vraag is alleen, wat is het juiste moment om ISMS-software te implementeren en hoe kies je de juiste software?

Wanneer ISMS-software inzetten?

Het is belangrijk om vanaf het begin goed na te denken over wat je met het ISMS-pakket wilt bereiken. Indien je dit namelijk goed doet en de software op het juiste moment inzet (lees: niet te vroeg), dan plukt de gemeente hier nog jarenlang de vruchten van. In praktijk zien we vaak nog de verkeerde redenen om ISMS-software te implementeren of dat gemeenten direct overgaan tot aanschaf van software zonder hier überhaupt over na te denken. Dit kan leiden tot een verkeerde selectie waardoor je de software niet (goed) gebruikt, en dat is zonde van de investering. Wat moet je zoal niet doen?

  • Software aankopen in de hoop dat het ISMS-proces erbij inbegrepen zit
  • Software aankopen om te zorgen dat mensen hun werk (gaan) doen.
  • Software aankopen en het vervolgens alleen als CISO zelf gebruiken.
  • Software aankopen alleen voor de korte-termijn ‘winst’.

Wat moet je dan wel doen?

  • Software aankopen wanneer er al een bestaand ISMS-proces is (hoe bescheiden ook) 
  • Software aankopen en benutten om een proces (verder) gestalte te (kunnen) geven.
  • Software aankopen en starten vanuit een wettelijk verplicht verantwoordingsproces, zoals ENSIA.
  • Software aankopen voor de lange-termijn ‘winst’.

Hoe kies je de juiste ISMS-software?

Als je weet wat je met het ISMS-pakket wilt bereiken en besloten hebt dit te willen aanschaffen, dan is de volgende stap het selecteren van de juiste software. Hierbij is het belangrijk om op een aantal zaken te letten. Het lijkt vaak gemakkelijk om zelf een pakketselectie te maken, maar in praktijk blijkt dit toch vaak complexer dan gedacht. ISMS-software is namelijk te verkrijgen in verschillende soorten en maten. En je wilt uiteraard de functionaliteit die het beste aansluit bij de wensen van jouw gemeente, maar welke software is dat dan? Lees hiervoor onze eerdere blog ‘Stappenplan voor het kiezen van een ISMS-pakket’, waarin we stap voor stap uitleggen hoe je de juiste ISMS-software voor jouw gemeente selecteert.

Conclusie

Met behulp van goede ISMS-software kun je de PDCA-cyclus concrete invulling geven en blijft het niet steken in vooral papier. Indien je daarnaast de rapportagemogelijkheden ook goed benut, helpt het jou als CISO bij het rapporteren en adviseren naar het management, zodat zij op hun beurt kunnen (bij)sturen waar nodig. Zorg wel dat je vooraf duidelijk de scope voor het gebruik van de software bepaalt en commitment van het management hebt hierop. Tip: begin met één proces en trek gerust een jaar uit voor de inrichting en ingebruikname van de software voor alleen dit proces.

Tot slot, is het belangrijk om de maatregelen te relateren aan doelstellingen en/of risico’s, en als CISO de procesverantwoordelijkheid te nemen, de maatregelen neem je zelden zelf. Kortom, als CISO inventariseer, rapporteer en adviseer je.

Meer weten?

Lees dan ook onze eerdere blogs ‘ISMS & GRC, wat kun je er eigenlijk mee?’ en de blog ‘ISMS conform ISO 27001’, waarin je meer kunt lezen over het ISMS-proces zelf. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente een ISMS-pakket aan te schaffen? IB&P heeft ruime ervaring met het uitzoeken en inrichten van ISMS-software en helpt je graag. Neem dus gerust contact met ons op.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…