GRC en ISMS Tooling, wat zijn de functionaliteiten?

In het kader van informatieveiligheid komt bij organisaties Information Security Management System (ISMS) of Governance, Risk en Compliance (GRC) tooling ter sprake. Wat zijn dit voor tools en wat zijn de verschillen tussen een ISMS en een GRC-tool?

GRC-tool

Door de continue veranderende omgeving word je als organisatie geconfronteerd met een groot aantal uitdagingen, zoals: wet- en regelgeving, mensen, technologieën en procedures. De behoefte aan hulpmiddelen die organisaties inzicht en overzicht geven om ervoor te zorgen dat zij succesvol kunnen omgaan met deze complexiteiten neemt daarom toe.

GRC staat voor Governance, Risk en Compliance. Het verwijst naar een strategie voor het beheren van de algehele governance van een organisatie (Governance), het beheer van risico’s (Risk) en het naleven van regelgeving (Compliance). Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheert en voldoet aan de nalevingsvereisten.

Organisaties moeten aan steeds meer normen (aantoonbaar) voldoen op het gebied van informatieveiligheid en privacy. Een Governance, Risk en Compliance tool (GRC) helpt organisaties met het beheersen van processen en beleid op drie gebieden. GRC kan worden geïmplementeerd door elke organisatie – publiek of privaat, groot of klein, van gemeente tot ziekenhuis – die zijn IT-activiteiten wil afstemmen op zijn bedrijfsdoelen, risico’s effectief wil beheren en op de hoogte wil blijven van compliance.

Governance

De sturing, beheersing, verantwoording en monitoring van beleid, procedures en maatregelen om de organisatie te kunnen laten functioneren in overeenstemming met haar doelstellingen.

Riskmanagement

Methoden, procedures en maatregelen gericht op:

  • het identificeren van risico’s
  • het nemen van beheersingsmaatregelen
  • het rapporteren over en monitoren van de risico’s
  • maatregelen die het bereiken van de organisatiedoelstellingen in de weg staan.

Compliance

De mate waarin de organisatie werkt in overeenstemming met de geldende normen en wet- en regelgeving.

Ondersteuning bestaat bijvoorbeeld uit registratie, voortgang en rapportage van verbeteracties. Het inzichtelijk maken van risico’s, in de vorm van identificatie, weging en opvolging van risico’s of het tonen van de normenkaders in relatie tot de noodzakelijke maatregelen. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.

LIAS ISMS en Content (plus)

De GRC-tool LIAS ISMS en Content (plus) van Inergy geeft inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De dashboards geven inzicht in de huidige status. De organisatie is beter en aantoonbaar ‘in control’. Uniek in LIAS ISMS en Content (plus) is dat zowel een compliance gebaseerde als een risico gebaseerde benadering mogelijk is. Deze vullen elkaar aan. Bedreigingen zijn al gekoppeld aan maatregelen waardoor je niet zelf hoeft te bedenken welke maatregelen je kunt nemen om het risico te verkleinen.

Inzicht en grip op normenkaders

Een collectieve aanpak is de beste keuze voor elke organisatie die grip wil krijgen op het steeds veranderende landschap van wet- en regelgeving. Standaard is LIAS ISMS en Content (plus) voorzien van de relevante normenkaders (bijvoorbeeld de BIO, het Privacy Control Framework, DigiD en Suwinet). Het is ook mogelijk om een ander gewenst normenkader toe te voegen en in te richten. Bij het normenkader leg je niet alleen de status, maar ook de verantwoordelijke en eindverantwoordelijke vast. Op deze manier krijg je inzicht en grip op het normenkader. Met behulp van taken zet je opdrachten uit om maatregelen te nemen en de status up-to-date te houden. Een overzichtelijk dashboard toont vervolgens de voortgang.

Risicoanalyse met maatregelen

LIAS ISMS en Content (plus) helpt je met de risicoanalyse op weg met het inventariseren, analyseren en beoordelen van risico’s. Door het aanvinken van de gewenste analyse onderdelen, zoals een quickscan AVG of de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), worden slimme vragenlijst geactiveerd. Door antwoorden te geven op de vragen doorloop je de risicoanalyse. LIAS ISMS en Content (plus) presenteert je niet alleen de bedreigingen en risico’s, maar geeft je gelijk een overzicht van mogelijke maatregelen. Op deze manier kan het risico goed beoordeeld worden en kunnen openstaande bedreigingen worden beheerst.

ISMS-tool

Het bereiken van informatieveiligheid is een enorme uitdaging voor een organisatie. Aangezien het niet alleen met technologische middelen kan worden bereikt en het niet eenmalig is. Je bent even sterk als de zwakste schakel binnen jouw organisatie. Het zijn de mensen waarmee informatiebeveiliging van een organisatie staat of valt. Tel daarbij de enorme toename in cyberaanvallen op. De mensen binnen jouw organisatie moeten het hierin opnemen tegen professionele hackers. Daarom zijn er maatregelen nodig, zodat alleen geautoriseerde mensen en systemen toegang hebben tot (specifieke) informatie. Een Information Security Management System (ISMS) kan hierbij ondersteunen.

Plan-do-check-act (PDCA-cyclus)

Een ISMS-tool ondersteunt net zoals een GRC-tool bij de uitvoering, het bijhouden en rapporteren van processen om het niveau van informatiebeveiliging in de organisatie te verhogen. De term ‘System’ betekent niet een systeem, maar een sluitende PDCA-cyclus (Plan-Do-Check-Act), een kwaliteitscirkel, Deming circle of beleidscyclus. Als aan deze elementen uit de cirkel wordt voldaan, dan heeft de organisatie een sluitend ISMS. Een robuuste informatieveiligheid vereist een ISMS dat rekening houdt met drie pijlers: mensen, processen en technologie. Er is dus een behoefte om naar informatiebeveiliging te kijken vanuit een holistisch perspectief en daar kun je wel wat hulp bij gebruiken. Dit is waar de behoefte aan een ISMS ondersteunende tool) om de hoek komt kijken.

Een organisatie voldoet hieraan wanneer er:

  • regels en uitgangspunten zijn opgesteld ten aanzien van informatieveiligheid en privacy (meestal in de vorm van een informatiebeveiligingsbeleid);
  • is gekeken waar de kwetsbaarheden en verbeterpunten zitten (risicoanalyse);
  • een verbeterplan is opgesteld;
  • gemonitord wordt op de kwaliteit van de voortgang van de uitvoering van het verbeterplan.

Een goed geïmplementeerd ISMS ondersteunt en zorgt ervoor dat:

  • er een gestructureerde manier is om informatiebeveiliging binnen een organisatie te beheren;
  • biedt bewijs en zekerheid dat een organisatie heeft voldaan aan de normvereisten;
  • verbetert de governance van informatiebeveiliging binnen de organisatie.

    PDCA-cyclus Informatiebeveiliging en Privacy

LIAS ISMS en Content (basis)

De ISMS oplossing van Inergy LIAS ISMS en Content (basis) biedt uitgewerkte up-to-date normen (de content) voor beleid, richtlijnen en procedures. Van informatieveiligheid en privacy tot de BAG, BGT en BRO, KIDO en de General IT controls. De tool is eenvoudig te implementeren.

Hoe vind je de best passende oplossingen voor de ontwikkeling en uitvoering van het beleid voor informatieveiligheid en privacy?

Tooling als ondersteuning

Tooling blijft een ondersteunend middel is en niet dé oplossing. De implementatie en vooral werking van de Baseline Informatiebeveiliging Overheid (BIO) en de onderdelen valt en staat met de menselijke factor. Het gesprek met elkaar over wat al dan niet geoorloofd is heeft een veel grotere waarde dan een systeem dat aangeeft dat een procedure er wel of niet is.


Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Deel dit artikel

Paul Bijvoet

Accountmanager

Meer weten?

Neem vrijblijvend contact met ons op.

Bel ons op 0348 45 76 66

Mail Paul Bijvoet via paul.bijvoet@Inergy.nl





    Lees gerust verder...

    8-4-2021

    Wpg-audit verplicht voor verwerking politiegegevens door boa’s

    7-4-2021

    5 redenen waarom je LIAS Horizontaal Toezicht moet hebben

    Altijd op de hoogte

    Schrijf je in voor onze nieuwsbrief en ontvang maandelijks een update.