Wanneer en hoe zet je software in bij je ISMS-proces?


Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG), dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren.

Wat is een ISMS?

Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces. Je moet als gemeente informatiebeveiliging immers continu verder verbeteren en deze verbeterstappen ook kunnen aantonen (vanuit verantwoording). Door het woord ‘system’ suggereert het dat het hier om software gaat, toch is dat niet het geval. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid en -jaarplan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in de status en effectiviteit van de uitvoering en voortgang van het informatiebeveiligingsplan. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelfevaluaties, interne controles, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evaluatie en eventueel bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid en/of jaarplan bijgesteld of de uitvoering ervan bijgestuurd.

Toegevoegde waarde van ISMS-software

Voor dit proces heb je dus niet per se software nodig. Het is prima mogelijk een ISMS-proces te implementeren zonder dat hier tooling bij komt kijken. Toch kiezen veel organisaties er wél voor om software te gebruiken. Immers, met behulp van ISMS-software:

  • Is het makkelijk(er) om beveiligingsmaatregelen te selecteren, implementeren, monitoren en erover te rapporteren. Dus waarom moeilijk doen als het ook makkelijker kan?
  • Kun je de PDCA-cyclus concrete invulling geven, waardoor het niet blijft steken in plannen op papier. Maar wanneer mensen zich niet aangesproken voelen om de taak die aan hen is toegewezen uit te voeren, kan dit ook in een digitale variant blijven liggen.
  • Kunnen taken, gekoppeld aan maatregelen, worden toegewezen aan personen. Hierdoor heb je doorlopend inzicht en overzicht in de actuele stand van zaken. 
  • Heb je één centrale administratie die je kunt gebruiken voor beantwoording en evidence (bye bye Excel-sheets). Daarnaast zijn gebruikersbeheer en een audit trail nou eenmaal lastig te realiseren in Excel.
  • Heb je niet alleen een tool voor het opslaan van documenten, maar ook de mogelijkheid tot het gebruik van workflows. Zo heb je o.a. zicht op waar je in het proces bent en wie aan zet is.
  • Kun je eenvoudig de voortgang inzien met de rapportagemogelijkheden van de software en hierover periodiek en eenduidig rapporteren aan het management.

Kortom, de voordelen van ISMS-software zijn wel duidelijk. De vraag is alleen, wat is het juiste moment om ISMS-software te implementeren en hoe kies je de juiste software?

Wanneer ISMS-software inzetten?

Het is belangrijk om vanaf het begin goed na te denken over wat je met het ISMS-pakket wilt bereiken. Indien je dit namelijk goed doet en de software op het juiste moment inzet (lees: niet te vroeg), dan plukt de gemeente hier nog jarenlang de vruchten van. In praktijk zien we vaak nog de verkeerde redenen om ISMS-software te implementeren of dat gemeenten direct overgaan tot aanschaf van software zonder hier überhaupt over na te denken. Dit kan leiden tot een verkeerde selectie waardoor je de software niet (goed) gebruikt, en dat is zonde van de investering. Wat moet je zoal niet doen?

  • Software aankopen in de hoop dat het ISMS-proces erbij inbegrepen zit
  • Software aankopen om te zorgen dat mensen hun werk (gaan) doen.
  • Software aankopen en het vervolgens alleen als CISO zelf gebruiken.
  • Software aankopen alleen voor de korte-termijn ‘winst’.

Wat moet je dan wel doen?

  • Software aankopen wanneer er al een bestaand ISMS-proces is (hoe bescheiden ook) 
  • Software aankopen en benutten om een proces (verder) gestalte te (kunnen) geven.
  • Software aankopen en starten vanuit een wettelijk verplicht verantwoordingsproces, zoals ENSIA.
  • Software aankopen voor de lange-termijn ‘winst’.

Hoe kies je de juiste ISMS-software?

Als je weet wat je met het ISMS-pakket wilt bereiken en besloten hebt dit te willen aanschaffen, dan is de volgende stap het selecteren van de juiste software. Hierbij is het belangrijk om op een aantal zaken te letten. Het lijkt vaak gemakkelijk om zelf een pakketselectie te maken, maar in praktijk blijkt dit toch vaak complexer dan gedacht. ISMS-software is namelijk te verkrijgen in verschillende soorten en maten. En je wilt uiteraard de functionaliteit die het beste aansluit bij de wensen van jouw gemeente, maar welke software is dat dan? Lees hiervoor onze eerdere blog ‘Stappenplan voor het kiezen van een ISMS-pakket’, waarin we stap voor stap uitleggen hoe je de juiste ISMS-software voor jouw gemeente selecteert.

Conclusie

Met behulp van goede ISMS-software kun je de PDCA-cyclus concrete invulling geven en blijft het niet steken in vooral papier. Indien je daarnaast de rapportagemogelijkheden ook goed benut, helpt het jou als CISO bij het rapporteren en adviseren naar het management, zodat zij op hun beurt kunnen (bij)sturen waar nodig. Zorg wel dat je vooraf duidelijk de scope voor het gebruik van de software bepaalt en commitment van het management hebt hierop. Tip: begin met één proces en trek gerust een jaar uit voor de inrichting en ingebruikname van de software voor alleen dit proces.

Tot slot, is het belangrijk om de maatregelen te relateren aan doelstellingen en/of risico’s, en als CISO de procesverantwoordelijkheid te nemen, de maatregelen neem je zelden zelf. Kortom, als CISO inventariseer, rapporteer en adviseer je.

Meer weten?

Lees dan ook onze eerdere blogs ‘ISMS & GRC, wat kun je er eigenlijk mee?’ en de blog ‘ISMS conform ISO 27001’, waarin je meer kunt lezen over het ISMS-proces zelf. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente een ISMS-pakket aan te schaffen? IB&P heeft ruime ervaring met het uitzoeken en inrichten van ISMS-software en helpt je graag. Neem dus gerust contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.