Skip to main content

ISMS & GRC, wat kun je er eigenlijk mee?


In het licht van gemeentelijke informatiebeveiliging wordt er veel geschreven en gepraat over ISMS- en GRC-tooling. Deze twee begrippen worden vaak en makkelijk door elkaar gehaald. De vraag is dan ook, wat kun je er nou eigenlijk mee? Tijd om dat eens op een rijtje te zetten. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van de ISO 27001 norm. Dit is een ISO-standaard op het vlak van informatiebeveiliging.

Het fundament; ISMS

Deze norm stelt eisen in het kader van de algemene bedrijfsrisico’s voor de gemeente voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). Door het woord ‘system’ doet het al gauw denken aan een systeem. Toch is het dat niet. ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Je moet als gemeente immers constant verbeteren en deze verbeterstappen ook echt kunnen aantonen. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op deze verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid- en plan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in status en effectiviteit van de uitvoering. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelf-assessments, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evalueren en bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid bijgesteld of de uitvoering ervan bijgestuurd.

Vaak ligt bij het ISMS de nadruk op de documentatie en administratie van de te nemen stappen in de PDCA-cyclus. Maar documenten moet je bijhouden, papier is geduldig en een plan verdwijnt dan ook al gauw in de kast. De oplossing? Een ISMS-tool. Deze tooling neemt je simpelweg mee langs alle eisen die de ISO-norm stelt. Zo wordt er een kader geboden waaraan alle documentatie kan worden gekoppeld en kan de tool naar eigen inzicht ingericht worden, toegepast op de eigen gemeente. Op deze manier kun je niet alleen je ISMS opzetten, maar ook de gekozen werkwijzen borgen.

Het stuur; GRC

Naast het feit dat je als gemeente moet voldoen aan de ISO 27001, krijgt een gemeente ook te maken met steeds meer wet- en regelgeving. Bovendien verandert de wereld om ons heen razendsnel, denk alleen al aan de technologische ontwikkelingen die elkaar in rap tempo opvolgen. Deze ontwikkelingen hebben impact op gemeenten en op hun functioneren. Je moet vandaag de dag niet alleen inzicht hebben in de kwaliteit van je organisatie, maar je moet daarnaast kunnen aantonen dat je bedrijfsvoering op orde is en kunnen ingrijpen indien nodig. Zeker gezien de transparantie die gemeenten aan de dag moeten leggen vanuit hun verantwoordingsplicht. In dit geval kan een GRC-tool oplossing bieden. Governance, Risk en Compliance, staat voor het beheersen van gedragscodes, interne processen en wet- en regelgeving. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.

Zoek de verschillen

We kunnen stellen dat het inrichten en beheren van het ISMS en GRC proces kan worden ondersteund met tooling. Met een belangrijk verschil. Bij ISMS beperken we ons in de basis namelijk tot het opzetten en beheren van de (bij voorkeur integrale) administratieve organisatie (AO) op het gebied van informatiebeveiliging. GRC daarentegen is veel breder toepasbaar en richt zich primair op het organisatiebreed sturen, rapporteren, verantwoorden en borgen van continuïteit door onder andere het inrichten van workflows. Daarbij ligt de nadruk minder op de AO. De beide tools worden dus voor verschillende doeleinden ingezet. Maar wanneer kies je voor een ISMS-tool en wanneer voor een GRC-tool? Om dit te achterhalen moet je jezelf de volgende vraag stellen: Ben je op zoek naar tooling die ondersteuning biedt bij het efficiënt opzetten en beheren van de administratieve organisatie op het vlak van informatiebeveiliging? Dan kies je voor een ISMS-tool. Wil je organisatiebreed processen kunnen sturen, rapporteren, verantwoorden en de continuïteit borgen? Dan biedt een GRC-tool uitkomst. Bepaal dus je vertrekpunt.

1+1=1?

In de praktijk zit er enige overlap in de functionaliteiten van ISMS- en GRC-tooling. Waarom dan niet één tool kan je je afvragen? Dat heeft te maken met de uiteindelijke behoefte waaraan de beide tools voldoen. Ja, een ISMS-tool biedt bepaalde functionaliteiten die een GRC-tool ook biedt en vica versa. Maar het is belangrijk om vooraf stil te staan waar je de tool voor wilt inzetten. Kortom, bedenk van te voren goed waar je behoefte ligt en naar welke functionaliteit je primair op zoek bent als gemeente voordat je de tooling aanschaft. Je zal niet de eerste gemeente zijn die daarin verkeerd heeft besloten. Alleen de juiste tooling helpt de CISO in zijn of haar werk.

(ivm de vakantie zal de volgende blog pas begin september verschijnen)

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…