Skip to main content
8 januari 2021
Samenvatting
Software kan je zeer goed helpen ter ondersteuning van de vier (PDCA-) stappen van het Information Security Management System (ISMS). Hoe?
Volg qeep

Wanneer en hoe zet je software in bij je ISMS-proces?

ISMS staat voor Information Security Management System
8 januari 2021

Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.

Op basis van de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG), dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren.

Wat is een ISMS?

De vier PDCA stappen ingevuld voor informatiebeveiliging

Met een ISMS organiseer en borg je het proces van informatiebeveiliging in de organisatie volgens de Plan-Do-Check-Act (PDCA) cyclus, een continu en iteratief proces. Je moet als gemeente informatiebeveiliging immers continu verder verbeteren en deze verbeterstappen ook kunnen aantonen (vanuit verantwoording). Door het woord ‘system’ suggereert het dat het hier om software gaat, toch is dat niet het geval. ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op verbeteringen. De PDCA-cyclus gaat uit van vier stappen:

  1. Plan: het inrichten en uitvoeren van processen. Het vaststellen van een informatiebeveiligingsbeleid en -jaarplan vormen hierbij de basis. In het beleid staan de uitgangspunten van de gemeente op informatiebeveiligingsvlak beschreven.
  2. Do: inzicht in de status en effectiviteit van de uitvoering en voortgang van het informatiebeveiligingsplan. Door middel van een GAP- en impactanalyse worden de kwetsbaarheden en verbeterpunten als het gaat om informatiebeveiliging in kaart gebracht.
  3. Check: rapportage van status en effectiviteit. Door middel van zelfevaluaties, interne controles, audits en managementrapportages wordt gecontroleerd of de gemeente aan de gestelde kwaliteitseisen voldoet.
  4. Act: evaluatie en eventueel bijsturen. De resultaten worden geëvalueerd. Naar aanleiding hiervan wordt het beleid en/of jaarplan bijgesteld of de uitvoering ervan bijgestuurd.
“ISMS is simpelweg de vastlegging van de complete set van maatregelen, processen en procedures gericht op verbeteringen.”

Toegevoegde waarde van ISMS-software

Op een zeker moment zal een Excel niet meer volstaan

Voor dit proces heb je dus niet per se software nodig. Het is prima mogelijk een ISMS-proces te implementeren zonder dat hier tooling bij komt kijken. Toch kiezen veel organisaties er wél voor om software te gebruiken. Immers, met behulp van ISMS-software:

  • Is het makkelijk(er) om beveiligingsmaatregelen te selecteren, implementeren, monitoren en erover te rapporteren. Dus waarom moeilijk doen als het ook makkelijker kan?
  • Kun je de PDCA-cyclus concrete invulling geven, waardoor het niet blijft steken in plannen op papier. Maar wanneer mensen zich niet aangesproken voelen om de taak die aan hen is toegewezen uit te voeren, kan dit ook in een digitale variant blijven liggen.
  • Kunnen taken, gekoppeld aan maatregelen, worden toegewezen aan personen. Hierdoor heb je doorlopend inzicht en overzicht in de actuele stand van zaken.
  • Heb je één centrale administratie die je kunt gebruiken voor beantwoording en evidence (bye bye Excel-sheets). Daarnaast zijn gebruikersbeheer en een audit trail nou eenmaal lastig te realiseren in Excel.
  • Heb je niet alleen een tool voor het opslaan van documenten, maar ook de mogelijkheid tot het gebruik van workflows. Zo heb je o.a. zicht op waar je in het proces bent en wie aan zet is.
  • Kun je eenvoudig de voortgang inzien met de rapportagemogelijkheden van de software en hierover periodiek en eenduidig rapporteren aan het management.

Kortom, de voordelen van ISMS-software zijn wel duidelijk. De vraag is alleen, wat is het juiste moment om ISMS-software te implementeren en hoe kies je de juiste software?

Wanneer ISMS-software inzetten?

Wat je wel en niet moet doen

Het is belangrijk om vanaf het begin goed na te denken over wat je met het ISMS-pakket wilt bereiken. Indien je dit namelijk goed doet en de software op het juiste moment inzet (lees: niet te vroeg), dan plukt de gemeente hier nog jarenlang de vruchten van. In praktijk zien we vaak nog de verkeerde redenen om ISMS-software te implementeren of dat gemeenten direct overgaan tot aanschaf van software zonder hier überhaupt over na te denken. Dit kan leiden tot een verkeerde selectie waardoor je de software niet (goed) gebruikt, en dat is zonde van de investering. Wat moet je zoal niet doen?

  • Software aankopen in de hoop dat het ISMS-proces erbij inbegrepen zit
  • Software aankopen om te zorgen dat mensen hun werk (gaan) doen.
  • Software aankopen en het vervolgens alleen als CISO zelf gebruiken.
  • Software aankopen alleen voor de korte-termijn ‘winst’.

Wat moet je dan wel doen?

  • Software aankopen wanneer er al een bestaand ISMS-proces is (hoe bescheiden ook)
  • Software aankopen en benutten om een proces (verder) gestalte te (kunnen) geven.
  • Software aankopen en starten vanuit een wettelijk verplicht verantwoordingsproces, zoals ENSIA.
  • Software aankopen voor de lange-termijn ‘winst’.
“Met behulp van goede ISMS-software kun je de PDCA-cyclus concrete invulling geven en blijft het niet steken in vooral papier. Indien je daarnaast de rapportagemogelijkheden ook goed benut, helpt het jou als CISO bij het rapporteren en adviseren naar het management, zodat zij op hun beurt kunnen (bij)sturen waar nodig.”

Concreet aan de slag

Trek er ruim voldoende tijd voor uit

Als je weet wat je met het ISMS-pakket wilt bereiken en besloten hebt dit te willen aanschaffen, dan is de volgende stap het selecteren van de juiste software. Hierbij is het belangrijk om op een aantal zaken te letten. Het lijkt vaak gemakkelijk om zelf een pakketselectie te maken, maar in praktijk blijkt dit toch vaak complexer dan gedacht. ISMS-software is namelijk te verkrijgen in verschillende soorten en maten. En je wilt uiteraard de functionaliteit die het beste aansluit bij de wensen van jouw gemeente, maar welke software is dat dan?

Met behulp van goede ISMS-software kun je de PDCA-cyclus concrete invulling geven en blijft het niet steken in vooral papier. Indien je daarnaast de rapportagemogelijkheden ook goed benut, helpt het jou als CISO bij het rapporteren en adviseren naar het management, zodat zij op hun beurt kunnen (bij)sturen waar nodig. Zorg wel dat je vooraf duidelijk de scope voor het gebruik van de software bepaalt en commitment van het management hebt hierop. Tip: begin met één proces en trek gerust een jaar uit voor de inrichting en ingebruikname van de software voor alleen dit proces.

Tot slot, is het belangrijk om de maatregelen te relateren aan doelstellingen en/of risico’s, en als CISO de procesverantwoordelijkheid te nemen, de maatregelen neem je zelden zelf. Kortom, als CISO inventariseer, rapporteer en adviseer je.


Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl