Organisatie, governance en compliance van informatiebeveiliging

Het bestuur van uw organisatie is eindverantwoordelijk voor informatiebeveiliging. Maar een goede inrichting van governance en organisatie is nodig om die verantwoordelijkheid ook echt te nemen.

Benieuwd wat BMC voor u kan betekenen op het gebied van organisatie, governance en compliance? Lees dan verder of neem direct contact met ons op.

Neem contact op

Op deze pagina: 
Governance: de drie verdedigingslinies
Organisatie: rollen en verantwoordelijkheden
Beleid: passende maatregelen
Compliance
Onze dienstverlening op het gebied van organisatie, governance en compliance
Praktijkcases en oplossingen
Adviseur organisatie, governance en compliance 

Governance: de drie verdedigingslinies

Het inrichten van governance betekent grip krijgen op wetgeving en risico’s. Het gaat hierbij om informatievoorziening, maar vooral om aansturing en het afleggen van verantwoording. Vaak wordt hierbij een onderscheid gemaakt in drie “verdedigingslinies”:

• De beheersing van werkprocessen binnen de afdeling onder verantwoordelijkheid van de lijnmanager. Dat houdt het volgende in: werkprocessen op orde, passende werkinstructies en werken volgens afspraken. 
• Borging/controle van beheersmaatregelen in de lijn, bijvoorbeeld door kwaliteitsfunctionarissen of teamleiders. Deze borgingsmaatregelen/controles hebben als doel vast te stellen en aan te tonen dat werkprocessen conform de afspraken verlopen en deze te evalueren en waar nodig aan te passen. Deze borging wordt voor informatiebeveiliging gecoördineerd door de CISO en uitgevoerd in de lijn. Ze levert inzicht op over de duurzame implementatie van beheersmaatregelen en is een belangrijke basis voor rapportage daarover aan management en bestuur.
• Interne en externe audits vanuit de afdeling control op basis van 

1. ENSIA bij gemeenten, 
2. artikel 33 van de Wpg bij organisaties met boa’s
3. externe audits van organisaties die willen certificeren, bijvoorbeeld op basis van NEN7510 of ISO27001.

Onder deze audits valt ook het controleren van de eerste twee verdedigingslinies.

‘Ik was in de veronderstelling dat ik in control was.’ Dat zei de burgemeester van de gemeente Hof van Twente na de ransomware-aanval. Een goede governance voorkomt dat bestuurders en management bij incidenten een onvolledig en/of onjuist beeld hebben van de weerbaarheid van een organisatie. Een managementsysteem voor informatiebeveiliging (ISMS) ondersteunt de governance met de Plan-Do-Check-Act-cyclus (PDCA-cyclus). Zo'n ISMS is onderdeel van zowel de BIO, NEN7510 als ISO27001.
 

Organisatie: rollen en verantwoordelijkheden

Om de governance te ondersteunen en beheersmaatregelen te implementeren, uit te voeren, te borgen en te evalueren is organisatie nodig. Dat gaat over rollen en verantwoordelijkheden, bijvoorbeeld:

• de verantwoordelijkheid van bestuur en management om richting te geven, middelen beschikbaar te stellen en de voortgang te bewaken,
• de verantwoordelijkheid van medewerkers om zorgvuldig om te gaan met informatie, en zich altijd te houden aan de regels binnen de organisatie,
• de coördinerende verantwoordelijkheid van de CISO (Chief Information Security Officer)
• medewerkers die verantwoordelijk zijn voor de implementatie, uitvoering en borging van specifieke beheersmaatregelen, zoals de afdeling HR voor de screening van nieuwe medewerkers, de afdeling facilitair voor fysieke toegangsbeveiliging en een afdeling ICT voor netwerkbeveiliging en malwarescanners.

Organisatie betreft het proces van de PDCA-cyclus, met daarin risicoanalyses, jaarplannen en rapportages. Maar ook de aansluiting op de P&C cyclus van de organisatie.
 

Beleid: passende maatregelen

In het informatiebeveiligingsbeleid staat beschreven hoe de organisatie zorgt voor de beveiliging van de informatie onder haar beheer. Hoe zorgt de organisatie ervoor dat deze beveiliging past bij de risico’s, de gevoeligheid van de informatie en de ontwikkeling in de techniek en bedreigingen, bijvoorbeeld van criminele organisaties en statelijke actoren? Onderdeel van het beleid zijn de governance, risicomanagement, de organisatie en uitgangspunten, zoals het commitment aan de BIO, NEN7510 of ISO27001. 
 

Compliance

Compliance is het voldoen aan normen en wetgeving en hierop controleren. Dat kan met een interne controle of externe audit. Ter controle van jaarrekeningen vindt meestal al een beperkte beoordeling van de beheersing plaats. Veel organisaties gebruiken certificering om te zijn van het niveau van de informatiebeveiliging bij leveranciers. Lees hier meer over de certificering van leveranciers en ketenpartners.
 

Onze dienstverlening op het gebied van organisatie, governance en compliance

Advies

Op het gebied van governance, beleid en organisatie heeft BMC ruime ervaring in diverse organisaties in de publieke sector. We houden sessies met bestuur, management en medewerkers, helpen bij het schrijven van beleid en het inrichten van rapportage- en besturing. Met de juiste instrumenten, sjablonen en een gedegen aanpak zorgen we voor een vliegende start.

Naast advies en ondersteuning kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.

Adviseur organisatie, governance en compliance

Meer weten over organisatie, governance en compliance? Neem dan contact op met onderstaande adviseur:

Julius Duijts
partner informatiebeveiliging, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."

Neem contact op

Meer informatie over informatiebeveiliging

Deze expertise valt onder informatiebeveiliging binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein: