Hoe selecteer je als gemeente een goed informatiebeveiligingssysteem?

Keep IT Simple

blogimage

Allereerst is informatiebeveiliging en met name een ISMS niet te vatten in één tool. Het is veelal een samenstelling van meerdere instrumenten, waarbij vooral de rol die de menselijke factor speelt op de mate waarmee u grip krijgt op dit complexe thema van groot belang is.

Welke aanbieder?

Op de markt bestaan diverse aanbieders van ISMS (Information Security Management System) software. Belangrijk om in het achterhoofd te houden bij een keuze is de mate van ‘in control’ zijn. Welke specificaties helpen daarbij? Ben je als gemeente wel in staat om continu te sturen op veranderende processen, informatie en daarmee inzicht te hebben op de risicoclassificatie? Want het duurzaam implementeren van de baseline (BIG) is geen eenmalig actie die je met een “eenvoudige” checklist afwerkt.

Tijd voor transformatie

Door een sterk veranderende omgeving en opkomende technologieën zijn organisaties continu in beweging en ontwikkelen zij zich voortdurend. Dat geldt zeker ook voor gemeentelijke instellingen. Transformatie is momenteel hét sleutelbegrip dat hoog op de (digitale)agenda staat. Het doel is om straks alle processen en de daarbij behorende informatie voor bedrijf en burger (zo veel mogelijk) via het digitale loket te laten lopen. Desondanks zullen medewerkers altijd onderdeel blijven uitmaken van de processen en daarbij een verantwoordelijke taak uitvoeren.

Informatie, taken, bevoegdheden en risico’s zijn dus ook continu onderhevig aan veranderingen en vergeet niet: informatiebeveiliging beslaat de complete organisatie.

Van strategie naar executie

Maar hoe borg je al deze veranderingen in je organisatie? In Word-documenten van vele pagina’s en 22km2 Excel spreadsheets met ieder 30 tabbladen? Zie dan maar eens eenduidig een wijziging door te voeren!

Nog los van de kwestie ‘hoe zorg je voor het interne bewustzijn, voor het creëren van betrokkenheid, maar vooral dat iedereen binnen de organisatie de spelregels kent?’, zul je antwoord moeten hebben op de vraag hoe je het beleid, de maatregelen en de spelregels gaat communiceren en hoe je ervoor zorgt dat medewerkers hun bijdrage leveren aan continue verbeteringen (PDCA-cyclus). Hoe kom je dus in control over dit geheel en hoe blijven alle betrokkenen up-to-date?

Grip op informatiebeveiliging

Hoe krijg je grip op de informatiebeveiliging? Het belangrijkste daarbij is allereerst inzicht krijgen in de impact van risico’s en de genomen of te treffen maatregelen. Dit begint met de classificatie van informatie, systemen en processen op basis van beschikbaarheid, integriteit en vertrouwelijkheid (BIV) en dat betekent dat je prioriteiten moet kunnen stellen. Als je vervolgens alle informatie overzichtelijk kunt samenbrengen en weergeven in een dashboard, dat je vervolgens op begrijpelijke wijze kunt rapporteren aan de gemeentesecretaris, dan ben je al een heel eind op de goede weg.

Audit & control

Uiteraard ben je er dan nog niet want voor je het weet staat de auditor voor de deur. Natuurlijk is het geweldig als je dan de beste man (of vrouw) een kop koffie aanbiedt, hem toegang verschaft tot je ISMS-portal en hem drie uur later zeer tevreden de deur uit ziet lopen.

En is je informatie dan 100% beveiligd? Nee, en dat zal het nooit helemaal zo zijn. Maar door een duidelijk beleid te hebben vastgelegd, bewustwording te hebben gecreëerd, spelregels kenbaar te hebben gemaakt, heb je als gemeente de stinkende best gedaan de basis te leggen voor een degelijke informatiebeveiliging en de gegevens van burger en bedrijf optimaal te beschermen. Het ISMS framework van Mavim en de deskundige ondersteuning van Audittrail helpen u om dit te bereiken.

Auteur: Wouter van der Ham, Mavim

Meer weten over wat Mavim en Audittrail voor uw organisatie kunnen betekenen?
Bezoek onze website of download de factsheet Quickstart BIG-implementatie

Tags artikel: informatiebeveiliging, isms, BIG

Reacties (0)

Reageer op dit artikel





Toegestaande tags: <b><i><br>Voeg een nieuwe reactie toe: