In het kader van informatieveiligheid komt bij organisaties Information Security Management System (ISMS) of Governance, Risk en Compliance (GRC) tooling ter sprake. Wat zijn dit voor tools en wat zijn de verschillen tussen een ISMS en een GRC-tool?
GRC-tool
Door de continue veranderende omgeving word je als organisatie geconfronteerd met een groot aantal uitdagingen, zoals: wet- en regelgeving, mensen, technologieën en procedures. De behoefte aan hulpmiddelen die organisaties inzicht en overzicht geven om ervoor te zorgen dat zij succesvol kunnen omgaan met deze complexiteiten neemt daarom toe.
GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheren van de algehele governance van een organisatie (Governance), het beheer van risico’s (Risk) en het naleven van regelgeving (Compliance). Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheert en voldoet aan de nalevingsvereisten.
Organisaties moeten aan steeds meer normen (aantoonbaar) voldoen op het gebied van informatieveiligheid en privacy. Een Governance, Risk en Compliance tool (GRC) helpt organisaties met het beheersen van processen en beleid op drie gebieden. GRC kan worden geïmplementeerd door elke organisatie – publiek of privaat, groot of klein, van gemeente tot ziekenhuis – die zijn IT-activiteiten wil afstemmen op zijn bedrijfsdoelen, risico’s effectief wil beheren en op de hoogte wil blijven van compliance.
Governance
De sturing, beheersing, verantwoording en monitoring van beleid, procedures en maatregelen om de organisatie te kunnen laten functioneren in overeenstemming met haar doelstellingen.
Risicomanagement
Methoden, procedures en maatregelen gericht op:
- het identificeren van risico’s
- het nemen van beheersingsmaatregelen
- het rapporteren over en monitoren van de risico’s
- maatregelen die het bereiken van de organisatiedoelstellingen in de weg staan.
Compliance
De mate waarin de organisatie werkt in overeenstemming met de geldende normen en wet- en regelgeving.
Ondersteuning bestaat bijvoorbeeld uit registratie, voortgang en rapportage van verbeteracties. Het inzichtelijk maken van risico’s, in de vorm van identificatie, weging en opvolging van risico’s of het tonen van de normenkaders in relatie tot de noodzakelijke maatregelen. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.
LIAS ISMS
De GRC functionaliteit in LIAS ISMS van Inergy geeft inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De dashboards geven inzicht in de huidige status. De organisatie is beter en aantoonbaar ‘in control’. Uniek in LIAS ISMS is dat zowel een compliance gebaseerde als een risico gebaseerde benadering mogelijk is. Deze vullen elkaar aan. Bedreigingen zijn al gekoppeld aan maatregelen waardoor je niet zelf hoeft te bedenken welke maatregelen je kunt nemen om het risico te verkleinen.
Inzicht en grip op normenkaders
Een collectieve aanpak is de beste keuze voor elke organisatie die grip wil krijgen op het steeds veranderende landschap van wet- en regelgeving. Standaard is LIAS ISMS voorzien van de relevante normenkaders (bijvoorbeeld de BIO, het Privacy Control Framework, DigiD en Suwinet). Het is ook mogelijk om een ander gewenst normenkader toe te voegen en in te richten. Bij het normenkader leg je niet alleen de status, maar ook de verantwoordelijke en eindverantwoordelijke vast. Op deze manier krijg je inzicht en grip op het normenkader. Met behulp van taken zet je opdrachten uit om maatregelen te nemen en de status up-to-date te houden. Een overzichtelijk dashboard toont vervolgens de voortgang.
Risicoanalyse met maatregelen
LIAS ISMS helpt je met de risicoanalyse op weg met het inventariseren, analyseren en beoordelen van risico’s. Door het aanvinken van de gewenste analyse onderdelen, zoals een quickscan AVG of de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), worden slimme vragenlijst geactiveerd. Door antwoorden te geven op de vragen doorloop je de risicoanalyse. LIAS ISMS presenteert je niet alleen de bedreigingen en risico’s, maar geeft je gelijk een overzicht van mogelijke maatregelen. Op deze manier kan het risico goed beoordeeld worden en kunnen openstaande bedreigingen worden beheerst.
ISMS-tool
Het bereiken van informatieveiligheid is een enorme uitdaging voor een organisatie. Aangezien het niet alleen met technologische middelen kan worden bereikt en het niet eenmalig is. Je bent even sterk als de zwakste schakel binnen jouw organisatie. Het zijn de mensen waarmee informatiebeveiliging van een organisatie staat of valt. Tel daarbij de enorme toename in cyberaanvallen op. De mensen binnen jouw organisatie moeten het hierin opnemen tegen professionele hackers. Daarom zijn er maatregelen nodig, zodat alleen geautoriseerde mensen en systemen toegang hebben tot (specifieke) informatie. Een Information Security Management System (ISMS) kan hierbij ondersteunen.
Plan-do-check-act (PDCA-cyclus)
Een ISMS-tool ondersteunt net zoals een GRC-tool bij de uitvoering, het bijhouden en rapporteren van processen om het niveau van informatiebeveiliging in de organisatie te verhogen. De term ‘System’ betekent niet een systeem, maar een sluitende PDCA-cyclus (Plan-Do-Check-Act), een kwaliteitscirkel, Deming circle of beleidscyclus. Als aan deze elementen uit de cirkel wordt voldaan, dan heeft de organisatie een sluitend ISMS. Een robuuste informatieveiligheid vereist een ISMS dat rekening houdt met drie pijlers: mensen, processen en technologie. Er is dus een behoefte om naar informatiebeveiliging te kijken vanuit een holistisch perspectief en daar kun je wel wat hulp bij gebruiken. Dit is waar de behoefte aan een ISMS ondersteunende tool) om de hoek komt kijken.
Een organisatie voldoet hieraan wanneer er:
- regels en uitgangspunten zijn opgesteld ten aanzien van informatieveiligheid en privacy (meestal in de vorm van een informatiebeveiligingsbeleid);
- is gekeken waar de kwetsbaarheden en verbeterpunten zitten (risicoanalyse);
- een verbeterplan is opgesteld;
- gemonitord wordt op de kwaliteit van de voortgang van de uitvoering van het verbeterplan.
Een goed geïmplementeerd ISMS ondersteunt en zorgt ervoor dat:
- er een gestructureerde manier is om informatiebeveiliging binnen een organisatie te beheren;
- biedt bewijs en zekerheid dat een organisatie heeft voldaan aan de normvereisten;
- verbetert de governance van informatiebeveiliging binnen de organisatie.PDCA-cyclus Informatiebeveiliging en Privacy
LIAS ISMS
De ISMS oplossing van Inergy LIAS ISMS biedt uitgewerkte up-to-date normen (de content) voor beleid, richtlijnen en procedures. Van informatieveiligheid en privacy tot de BAG, BGT en BRO, KIDO en de General IT controls. De tool is eenvoudig te implementeren.
Hoe vind je de best passende oplossingen voor de ontwikkeling en uitvoering van het beleid voor informatieveiligheid en privacy?
Tooling als ondersteuning
Tooling blijft een ondersteunend middel is en niet dé oplossing. De implementatie en vooral werking van de Baseline Informatiebeveiliging Overheid (BIO) en de onderdelen valt en staat met de menselijke factor. Het gesprek met elkaar over wat al dan niet geoorloofd is heeft een veel grotere waarde dan een systeem dat aangeeft dat een procedure er wel of niet is.