Informatiebeveiliging is een randvoorwaarde om als gemeente betrouwbaar, zorgvuldig en professioneel te kunnen werken. Gemeenten moeten daarom aantoonbaar werken met een ISMS dat voldoet aan de ISO 27001. Maar een ISMS is geen tool die je even aanzet en afvinkt. Het is een continu proces waarin je risico’s beheerst, maatregelen borgt en blijft verbeteren. En in dat proces is één moment echt cruciaal: de management review. In deze blog leg ik uit wat dit inhoudt, waarom het zo belangrijk is en hoe je het als gemeente maximaal benut.

Download hier een pdf van deze blog

Wat is een ISMS?

Een Information Security Management System, oftewel ISMS, is de manier waarop je informatiebeveiliging structureel organiseert en borgt. Het draait om een continu en iteratief proces, volgens de bekende Plan-Do-Check-Act (PDCA) cyclus. Gemeenten moeten immers kunnen aantonen dat ze informatiebeveiliging continu verbeteren en beheersen.

Het woord ‘system’ doet vermoeden dat het om software gaat, maar dat is niet zo. Het gaat om het geheel aan maatregelen, processen en procedures waarmee je de informatiebeveiliging organiseert. De PDCA-cyclus bestaat uit vier stappen:

Plan: In deze fase richt je de processen voor informatiebeveiliging in en stel je de kaders vast. Denk aan het opstellen van informatiebeveiligingsbeleid en het jaarplan, het bepalen van scope en risicoacceptatie en het zekerstellen van de benodigde middelen en competenties. Het beleid vormt de basis: hierin staan de uitgangspunten van de gemeente op het gebied van informatiebeveiliging.

Do: Hier voer je de plannen uit. Je brengt risico’s, kwetsbaarheden en verbeterpunten in kaart met bijvoorbeeld een GAP- en impactanalyse. Ook implementeer je maatregelen, beheer je leveranciers en richt je alles praktisch in om de doelen uit het informatiebeveiligingsplan te realiseren.

Check: In deze stap beoordeel je de status en effectiviteit van het ISMS. Via monitoring, zelfevaluaties, interne controles, audits en managementrapportages wordt vastgesteld of de gemeente voldoet aan de kwaliteits- en beveiligingseisen en of maatregelen goed werken.

Act: Op basis van de bevindingen pas je beleid, jaarplannen of uitvoeringsafspraken aan en worden verbetermaatregelen genomen. Zo blijft het ISMS (en daarmee de informatieveiligheid)  continu verbeteren.

De management review

De management review is de formele beoordeling van het ISMS door het management. Hoewel dit moment onderdeel is van de Check-fase, raakt het in feite alle fases van de PDCA-cyclus. Het is het moment waarop het management de balans opmaakt: doen we de juiste dingen, werkt wat we doen en moeten we bijsturen?

Binnen gemeenten ligt deze verantwoordelijkheid bij de gemeentesecretaris en het managementteam. Dus niet bij de Chief Information Security Officer (CISO), een projectgroep of specialisten. De norm is glashelder: de management review mag niet worden gedelegeerd. Dat komt omdat informatiebeveiliging een strategisch vraagstuk is dat de hele organisatie raakt. Beslissingen over budgetten, capaciteit, risicoacceptatie en prioriteiten kunnen alleen op het hoogste niveau worden genomen. De ISO 27001 schrijft de management review daarom verplicht voor, en omdat de BIO2 daarop is gebaseerd, geldt deze verplichting ook voor gemeenten.

Waarom de management review zo belangrijk is

De management review is meer dan een verplicht nummer uit de ISO-norm: het is een strategisch stuurmoment. Juist omdat informatiebeveiliging de hele organisatie raakt, bepaalt de kwaliteit van deze review hoe volwassen en effectief het ISMS is. Een goed uitgevoerde management review zorgt voor:

1. Inzicht in de effectiviteit van het ISMS (informatiebeveiliging)
   Werken de maatregelen? Sluiten ze aan bij de risico’s? Zijn incidenten goed afgehandeld? Zo zie je wat goed gaat en waar nog gaten zitten.
2. Steun voor besluitvorming
   Als het management goed inzicht heeft in hoe het ISMS werkt, kunnen zij sneller en beter prioriteiten stellen. Dat helpt bij keuzes rondom capaciteitstekorten, investeringen of risico’s die moeten worden geaccepteerd of behandeld. Met dat inzicht kan het MT dus gerichter en onderbouwd besluiten nemen op het gebied van informatieveiligheid.
3. Drijvende kracht achter continue verbetering
   De review is de officiële input voor de Act-fase van de PDCA-cyclus. Zonder goede review, geen goede verbetercyclus. Het is namelijk deze review die het management de basis geeft om de Act-fase gericht aan te sturen en concrete verbetermaatregelen vast te stellen.
4. Aantoonbaarheid voor auditors en toezichthouders
   Notulen zijn verplichte bewijslast. Zonder managementreview voldoet de gemeente simpelweg niet aan BIO2 en ISO 27001. Bovendien moet de organisatie niet alleen aantonen dát de managementreview heeft plaatsgevonden, maar ook dat besluiten daadwerkelijk zijn genomen en opgevolgd. Dit betekent dat uitkomsten, besluiten, acties en verantwoordelijken aantoonbaar moeten zijn. Zo kan het management laten zien dat risico’s structureel worden behandeld, verbeterpunten worden opgepakt en het ISMS actief wordt bestuurd. Dit maakt audits voorspelbaar en voorkomt discussies over de naleving van BIO2.
5. Een sterke informatiebeveiligingscultuur
   Als het management jaarlijks zelf aan de knoppen zit, wordt informatiebeveiliging vanzelfsprekend onderdeel van de bedrijfsvoering.
6. Optimale inzet van middelen
   Het management kan besluiten over budget en capaciteit baseren op feiten, niet op gevoel.

En misschien wel het allerbelangrijkste: het laat zien dat het management écht eigenaarschap pakt over informatiebeveiliging.

Hoe werkt het management review proces?

De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft een template ontwikkeld dat gemeenten goed op weg helpt. Een management review doorloopt meestal de volgende stappen:

1. Voorbereiding: de basis voor een goede sessie
   De CISO speelt hier een cruciale rol. Een goede voorbereiding betekent: een duidelijke agenda opstellen, relevante input verzamelen (auditresultaten, KPI’s, incidenten, kwetsbaarheden, risicobeoordelingen, status van doelstellingen, wijzigingen in wetgeving of dreigingen en opvolging van eerdere acties) en tijdig communiceren naar alle deelnemers. Zo kan het management zich volledig richten op sturing in plaats van op het zoeken naar informatie.
   
   
2. Uitvoeren van de review
   Tijdens de sessie bespreekt het management alle input en wordt gekeken: waar staan we met onze beveiliging, waar gaat het goed, waar zitten risico’s en wat betekent dit voor onze prioriteiten? Het is in feite een ‘management-level reality check’: werkt het systeem voor informatiebeveiliging zoals bedoeld?
   
   
3. Evaluatie en besluiten
   In deze fase worden de keuzes gemaakt. Denk aan het aanpassen van beleid of maatregelen, het versterken van processen (informatiebeveiliging moet integraal binnen de processen worden toegepast en niet meer aanvullende aandachtspunten zijn), het beschikbaar maken van extra capaciteit voor informatiebeveiliging, het herprioriteren van risico’s, het versnellen van corrigerende maatregelen of het benutten van kansen voor verbetering. Belangrijk is dat alle besluiten worden omgezet in concreet vastgelegde acties: wie doet wat, en wanneer?
   
   
4. Documentatie en communicatie
   De management review wordt altijd vastgelegd in een duidelijk en volledig verslag, waarin bevindingen, besluiten, acties, verantwoordelijkheden en deadlines zijn opgenomen Dit is niet alleen bewijslast, maar ook houvast voor de organisatie. Door de uitkomsten te delen, weet iedereen wat er speelt en welke richting is bepaald.
   
   
5. Acties opvolgen
   Misschien het meest onderschatte onderdeel: zorgen dat afspraken daadwerkelijk worden uitgevoerd. Dit is essentieel, want de uitvoering vormt weer input voor de volgende review en de Act-fase van de PDCA-cyclus. Zonder opvolging geen verbetering, en dus geen effectief ISMS.
   

De management review als motor van verbetering

De management review is niet zomaar een jaarlijkse verplichting; het is hét strategische stuurmoment waarop het management ervoor zorgt dat informatiebeveiliging meegroeit met de organisatie, de risico’s en de technologie. Een gemeente die dit serieus doet, houdt het ISMS levend in plaats van stoffig, zet informatiebeveiliging hoger op de agenda, maakt beter onderbouwde keuzes, bouwt stap voor stap aan meer volwassenheid en voldoet aantoonbaar aan de BIO2, Algemene Verordening Gegevensbescherming (AVG) en de Cyberbeveiligingswet (Cbw). Kortom: hier laat het management zien dat zij écht eigenaarschap neemt.

Tot slot

De management review vormt de ruggengraat van het ISMS en daarmee de informatiebeveiliging! Het zorgt voor sturing, inzicht en continue verbetering. Als het management jaarlijks bewust stilstaat bij informatiebeveiliging, groeit de hele organisatie mee. Zorg dat dit proces goed is ingericht, maak gebruik van de IBD-handreikingen en zet informatiebeveiliging standaard op de bestuurstafel. Alleen zo blijft het ISMS écht werken, niet op papier, maar in de praktijk.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of ondersteuning nodig binnen jouw gemeente de management review? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.