24.09.2016

ISMS en GRC tooling: wat zijn de functionaliteiten?

In het kader van informatieveiligheid komt bij veel gemeenten ISMS of GRC tooling ter sprake. Maar wat bedoelen we hier eigenlijk mee? En wat zijn de verschillen tussen een ISMS en een GRC tool?

ISMS

De term ISMS staat voor Information Security Management System. Hoewel deze term lijkt te duiden op een systeem hebben we het niet over software. ‘System’ betekent hier een sluitende PDCA-cyclus, een kwaliteitscirkel, Deming circle of beleidscyclus. Een gemeente voldoet hieraan wanneer er:

  • regels en uitgangspunten zijn opgesteld ten aanzien van informatieveiligheid (meestal in de vorm van een informatiebeveiligingsbeleid);
  • is gekeken waar de kwetsbaarheden en verbeterpunten zitten (risicoanalyse);
  • een verbeterplan is opgesteld;
  • gemonitord wordt op de kwaliteit van de voortgang van de uitvoering van het verbeterplan.

Als aan deze elementen uit de cirkel wordt voldaan, dan hebben we een sluitend ISMS. Het ISMS van SafeHarbour bevat uitgewerkte up-to-date normen voor een beleid dat specifiek voor uw organisatie opgesteld is. Deze is vervolgens eenvoudig te implementeren.

GRC-tool

Gemeenten moeten aan steeds meer normen (aantoonbaar) voldoen op het gebied van informatieveiligheid. Een Governance, Riskmanagement en Compliance tool (GRC) is een hulpmiddel dat gemeenten helpt beheersen bij interne processen. Het kan op een drietal gebieden ondersteunen:

  • Governance: de sturing, beheersing, verantwoording en monitoring van beleid, procedures en maatregelen om de gemeente te kunnen laten functioneren in overeenstemming met haar doelstellingen.
  • Riskmanagement: methoden, procedures en maatregelen gericht op het identificeren van risico’s, het nemen van beheersingsmaatregelen en het rapporteren over en monitoren van de risico’s en maatregelen die het bereiken van de organisatiedoelstellingen in de weg staan.
  • Compliance: de mate waarin de gemeente werkt in overeenstemming met de geldende normen en wet- en regelgeving.

Ondersteuning bestaat bijvoorbeeld uit registratie, voortgang en rapportage van verbeteracties. Maar ook in de vorm van identificatie, weging en opvolging van risico’s of het tonen van de normenkaders in relatie tot de noodzakelijke maatregelen.

SafeHarbour biedt de GRC-tool IC Control. Uniek aan deze tool is dat IC Control uit gaat van ondersteuning van de organisatie op maat, in tegenstelling tot de meeste andere tooling, die alleen uit gaat van normenkaders.

Tooling als ondersteuning

Ten slotte is het belangrijk te realiseren dat tooling (dus ook GRC tooling) een ondersteunend middel is en niet dé oplossing. De implementatie en vooral werking van de BIG en de onderdelen valt en staat met de menselijke factor. Het gesprek met elkaar over wat al dan niet geoorloofd is heeft een veel grotere waarde dan een systeem dat aangeeft dat een procedure er wel of niet is.

Meer weten?

Neem contact met ons op per e-mail of door te bellen naar 085 30 30 279.