GAP-analyse op het ISMS
Vertrekpunt voor implementatie
Renco Schoemaker is een ervaren adviseur informatiebeveiliging en privacy. Hij heeft veel (praktijk)ervaring met het ontwerpen en implementeren van ISMS (deel)processen, waaronder risicomanagement. Hij stelt dus de juiste vragen!
Wat verandert er met de BIO versie 2?
De Baseline Informatiebeveiliging Overheid 2 is eind 2025 vastgesteld in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). Voor het ISMS zijn dit de belangrijkste wijzigingen.
Het managementsysteem voor informatiebeveiliging moet zijn conform ISO 27001
De BIO2 wordt regelgeving via de Cyberbeveiligingswet (Cbw), -besluit en -regeling.
Maatregelen zijn ingedeeld volgens NEN-EN-ISO/IEC 27002:2022 (nl)
Inhoudelijk in lijn gebracht met de NIS2-richtlijn, specifiek art. 21 over cyberbeveiliging.
Inzicht geven en implementatie starten
Veel organisaties zien door de bomen (processen) het bos (in control komen) niet meer. Het (verplichte) ISMS โ inclusief het risicomanagementproces โ helpt daar bij. Renco maakt met deze GAP-analyse concreet waaruit een ISMS bestaat en welke onderdelen al wel en nog niet zijn geรฏmplementeerd. Het is geen externe NEN-EN-ISO/IEC 27001 audit, al werkt hij daarvoor samen met ProCertify. Ook een GAP-analyse op de overheidsmaatregelen is mogelijk.
Vooronderzoek en afbakening
Renco brengt eerst in kaart hoe de organisatie is gestructureerd en hoe de governance voor informatiebeveiliging op hoofdlijn is ingericht. Er wordt ook gekeken naar wat is uitbesteed aan marktpartijen, SSC's of zuster-/moederorganisaties. Er worden documenten opgevraagd โ minimaal het informatiebeveiligingsbeleid. De afbakening kan de organisatie als geheel beslaan, of een selectie van maximaal drie bedrijfskritieke processen. Op basis hiervan wordt de GAP-analyse afgebakend en stelt hij een lijst op van te interviewen functies.
๐ DocumentenanalyseAfnemen interviews
Renco gaat in gesprek met de in stap 1 bepaalde functies en doorloopt systematisch alle vereisten van een ISMS conform NEN-EN-ISO/IEC 27001. Vooraf bepaalt hij welke vragen aan welke functies worden voorgelegd โ zodat de belasting voor de opdrachtgever minimaal blijft. De GAP-analyse beslaat alle vier de stappen van de Deming Cirkel (Plan-Do-Check-Act), waarbij ook wordt ingegaan op de verwachte bewijslast per vereiste. Extra aandacht gaat uit naar risicomanagement โ met de komst van de Cyberbeveiligingswet een wettelijke verplichting.
๐๏ธ Gestructureerde interviewsAnalyse en (prio)rapportage
Renco analyseert de uitkomsten en vraagt waar nodig aanvullende documentatie op. Het rapport bevat een visuele weergave per hoofdstuk en een geprioriteerd overzicht van nog te implementeren maatregelen. Op risicomanagement wordt dieper ingegaan om zoveel mogelijk handelingsperspectief te bieden. Op basis van best practices en zijn eigen ervaringen levert de GAP-analyse directe input voor een ISMS-implementatie.
๐ Visueel rapport + prioritering + risicofocusPresentatie aan management en bestuur
Gezien de cruciale rol van het (hoger) management en bestuur in het functioneren van het ISMS, ziet Renco een eindpresentatie aan hen als noodzakelijk โ naast het eindrapport. Dit levert betrokkenheid en eigenaarschap op, wat met de komst van de Cyberbeveiligingswet niet langer optioneel maar verplicht is. De presentatie wordt vooraf afgestemd met de CISO en vindt bij voorkeur op locatie plaats.
๐ Bij voorkeur op locatieWat levert de GAP-analyse op?
De GAP-analyse is geen volledigheidscheck op het voldoen aan de NEN-EN-ISO/IEC 27001 norm, maar heeft als doel de belangrijkste onderwerpen per stap in de PDCA-cyclus uit te diepen. Met de uitkomst stelt u vast wat de aandachtspunten zijn om te komen tot een goed werkend managementsysteem voor informatiebeveiliging. Daarin heeft risicomanagement een grote rol. Lees er meer over op qeepposted.nl.
Een ISMS GAP-analyse laten uitvoeren?
Neem contact op met qeep IT safe voor een vrijblijvend kennismakingsgesprek.
Neem contact op โ