Informatieveiligheid, Privacy en GRC

Informatieveiligheid, Privacy en GRC

Governance, Risk management en Compliance (GRC) zijn drie pijlers die samenwerken met het doel ervoor te zorgen dat een organisatie voldoet aan haar doelstellingen. Vandaag de dag en in de toekomst staat de omgang met informatie daarin centraal. Wet en regelgeving als de General Data Protection Regulation (GDPR) – in Nederland Algemene Verordening Gegevensbescherming (AVG) zijn volop in het nieuws. Bij sommige organisaties is er zelfs sprake van lichte paniek nu duidelijk wordt dat iedereen op 25 mei 2018 aan de AVG moet voldoen. Gevolg hiervan is dat beveiliging van informatie steeds belangrijker wordt. Beveiligingsincidenten kunnen leiden tot imagoschade, financiële schade en zelfs de bedrijfscontinuïteit serieus in gevaar brengen.

Om informatiebeveiliging in te richten zijn er algemene (externe) standaarden dan wel normenkaders ontwikkeld die organisaties kunnen of moeten toepassen, zoals de ISO27001, ISO27002, ISO28000, NEN7510 en de hiervan afgeleide branche specifieke normenkaders BIR (Rijksoverheid), BIG & ENSIA (Gemeenten), IBI (Provincies) en BIWA (Waterschappen).

Inschrijven nieuwsbrief Meer informatie aanvragen MexonInControl voor Privacy

Wist u dat? In 2019 zal de Baseline Informatiebeveiliging Overheid van kracht worden. Deze zal de BIR, BIG, BIWA en de IBI vervangen. Met MexonInControl bent u er klaar voor!


Mexon Technology is kennispartner van het
Centrum Informatiebeveiliging en Privacybescherming (CIP)

Wat is Informatiebeveiliging?

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. (bron: Wikipedia)

Steeds strenger wordende wet- en regelgeving zoals Meldplicht Datalekken en de Algemene Verordening Gegevensbescherming (AVG) voorheen de Wet Bescherming Persoonsgegevens (‘privacywet’), vereisen dat organisaties steeds vaker moeten kunnen aantonen en uitleggen in welke mate ze voldoen aan een bepaalde externe informatiebeveiligingsnorm en of ze 'in control' zijn over hun informatiebeveiliging.

De auditlast waar organisaties mee te maken hebben of krijgen is groot en het juist interpreteren en toepassen van een externe normkader op de interne organisatie in een bepaalde situatie (relevantie) stelt de security verantwoordelijken voor grote uitdagingen.
Information Security Management System

De complexiteit van het control- en maatregelenstelsel behorende bij een normkader is groot en het ‘pas-toe-of-leg-uit'-regime is streng. Aanbevolen wordt dan ook om een zogenaamd Information Security Management System, ofwel ISMS, in te richten en te onderhouden. Een ISMS is de vastlegging en het onderhoud (verbetercyclus) van de complete set van maatregelen, processen en procedures in het kader van informatiebeveiliging. Deze complete set is de manier/methode hoe een organisatie met informatiebeveiliging omgaat.

De kern van het ISMS is de Plan-Do-Check-Act-cyclus (PDCA-cyclus). ‘Plan’ geeft invulling aan het beleid en de scope ten aanzien van het ISMS, ‘Do’ geeft invulling aan de uitvoering van het ISMS, ‘Check’ geeft invulling aan de monitoring van het ISMS en ‘Act’ geeft invulling aan het onderhouden en verbeteren van het ISMS.

Het ISMS op zich is overigens niet de garantie voor 100% veiligheid maar is een management systeem dat organisaties helpt om 'in control' te zijn of te geraken over hun informatiebeveiliging.

Uitdagingen

Veel organisaties en externe adviseurs zijn in het kader van informatiebeveiliging primair gericht op het inventariseren van risico’s, het uitvoeren van gap-analyses, het vastleggen en publiceren van processen, procedures, maatregelen, statusbepaling, rapportages, auditing, etcetera. Aanzienlijk minder aandacht is er voor de initiëring, toewijzing en besturing van acties, activiteiten en resources die benodigd zijn om een security incident op te lossen of een maatregel geïmplementeerd te krijgen en te onderhouden.

Doorgaans worden deze operationele processen gemanaged vanuit de aanwezige IT Service Management (ITSM) tooling. Echter, de samenhang met de informatie die in de GRC- en/of ISMS-tooling zit ontbreekt in de meeste gevallen. Bijkomend probleem is dat de ITSM-database over het algemeen alleen gegevens bevat over IT-assets, zoals applicaties en hardware en niet vanzelfsprekend ook gegevens bevat over de non IT-assets, die ook onderdeel zijn van de informatiebeveiligingsketen. Hierdoor zijn security verantwoordelijken vaak genoodzaakt om zelf nog een eigen informatiesysteem, veelal Excel-spreadsheets, in de lucht te houden om alsnog goed en snel inzicht te krijgen in bijvoorbeeld de actuele status van en de samenhang tussen relevante normkaders, controls, maatregelen, acties, activiteiten, assets en resources.

Er bestaat intussen ook een veelvoud van onderzoeken die al dan niet verplicht zijn. Onderzoeken als een DPIA (Data Protection Impact Assessment), een PIA (Privacy Impact Assessment) en diverse andere assessments zorgen ook voor een toenemende stroom aan informatie waar ook overzicht en inzicht gewenst is. Hier kan het MexonInControl Onderzoeksportaal uitkomst bieden.

Een andere uitdaging is dat de van toepassing zijnde normenkader op zich ook kan veranderen, omdat de externe normenkaders sterk aan elkaar gerelateerd/van elkaar afgeleid kunnen zijn. Een aanpassing van de ene normkader kan leiden tot een aanpassing in de andere normkader, waardoor een organisatie mogelijk te maken krijgt met andere maatregelen, acties en activiteiten. Deze zogenaamde kruislijsten vormen in de praktijk grote hoofdbrekens voor de security verantwoordelijken.Onze oplossing: MexonInControl

Onze MexonInControl ISMS-software wordt ontwikkeld om verantwoordelijke en betrokken medewerkers, zoals de Chief Information Security Officer (CISO), Functionaris Gegevensbescherming (FG) en Privacy Officer, te ondersteunen bij het bewaken van en rapporteren over de status van de vastgelegde controls en maatregelen.

Via een cyclische proces (plan/do/check/act) worden een risicobeoordeling, de te treffen maatregelen, het bewaken van de voortgang en beoordelen van de status van de maatregelen aangestuurd. Dit leidt tot inzicht in de status van het traject om compliancy te bereiken en te handhaven, alsook tot inzicht in volwassenheid en/of werking van maatregelen (opzet, bestaan en werking).

MexonInControl biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. Dit leidt tot betere controle en verminderde auditlast. Hiervoor is een krachtige workflow engine ingericht.

MexonInControl laat bestaande ICT-beheerprocessen intact en kan door slimme integratie met bestaande ITSM tools relevante data gebruiken voor analyse en rapportage. Dit betreft informatie over het applicatielandschap, de status van bijvoorbeeld antivirus maatregelen, de voortgang van een IT projecten of changes.

MexonInControl helpt bij het voldoen aan een informatiebeveiligingsnorm, het compliant blijven aan de norm en het volledig en aantoonbaar 'in control' zijn over de informatiebeveiliging. Bovendien maakt het het onderhoud van het normenkader zelf ook eenvoudig.

MexonInControl kan toegepast worden op alle algemene en branche specifieke normenkaders op het gebied van informatiebeveiliging en privacy, waaronder: ISO27001, ISO27002, ISO28000, NEN7510, VIR, BIR, BIG, ENSIA, DigiD, IBI, BIWA, CIP Privacy Baseline, AVG, GDPR, etcetera.

Ondanks alle pogingen om privacygevoelige gegevens van personen en ketenpartners te beschermen zullen er zich incidenten voordoen. MexonInControl wordt ontwikkeld om incidenten van de categorie die gemeld moeten worden aan de CISO of FG te registeren en af te wikkelen via vooraf bedachte reacties en eventuele escalatieprocedures. Deze incidenten zullen veelal ook gemeld moeten worden aan bijvoorbeeld Autoriteit Persoonsgegevens en IBD.Spider DiGiD en ENSIA

De voordelen van MexonInControl:

 • Voorgedefinieerde en aanpasbare set van controls en maatregelen;
 • Eenvoudig inzicht in status en volwassenheid van de controls, inclusief het vastleggen van de opzet, bestaan en werking van (tegen)maatregelen;
 • Voorgedefinieerde en aanpasbare workflows en activity planning voor ad hoc en repeterende acties en activiteiten;
 • Eenduidig inzicht in de samenhang tussen risico's, maatregelen, acties, activiteiten, resources (waaronder capaciteit, ICT assets, etc.);
 • Flexibele dashboards en rapporten voor snel overzicht en minimale auditlast;
 • Eenvoudig uploaden van kruislijsten en updaten van normkaders, controls en maatregelen;
 • Eén gebruikersvriendelijke geïntegreerde applicatie voor alle informatiebeveiligingsprocessen;
 • Slimme integratie met ITSM-tooling voor actuele informatie t.b.v. analyse en rapportage;
 • Faciliteren van interne en externe escalatie;
 • Een tool dat u voorbereidt op en assisteert bij audits en samenwerking met betrokkenen binnen de security keten optimaliseert;
 • Integratie met het MexonInControl Onderzoeksportaal voor het uitzetten, bewaken en opvolgen van DPIA, PIA, zelfevaluatie BIG, etc;
 • En meer…

Wilt u weten wat MexonInControl voor u kan betekenen? Neem dan contact met ons op via email sales@mexontechnology.com of telefoon +31 33 432 17 00.