Het kan zijn dat uw organisatie moet voldoen aan een combinatie van diverse normen en wetgeving rondom informatiebeveiliging, veiligheid, kwaliteit etc. Vaak is het zo dat een eenvoudig managementsysteem, bijvoorbeeld een ISMS, dan onvoldoende ondersteuning biedt. U zult dan op zoek moeten naar een oplossing die met een overkoepelend proces ondersteuning kan bieden bij het voldoen aan een hele set van normen. Een Governance, Risk and Compliance, oftewel GRC, oplossing kan u hierbij helpen.
Loopt u tegen het probleem aan dat u met een ISMS niet goed invulling kunt geven aan alle normen waar u aan moet voldoen? Wellicht biedt een GRC-oplossing in uw situatie uitkomst. Maar wat wordt bedoeld met GRC?
In dit blogartikel vertellen wij u alles wat u moet weten over Governance, Risk and Compliance. Hiervoor staan wij stil bij:
Verlies niet je grip op de vele en vaak complexe aspecten van informatiebeveiliging. Krijg eenvoudig ondersteuning via e-mail. Meld je aan en ontvang direct het whitepaper 'De 7 principes van Privacy by Design' gratis .
Wat is GRC?
GRC (Governance, Risk and Compliance) is de bredere scope van zoiets als een ISMS (Information Security Management System). Naast een ISMS zijn er ook zaken als een QMS (Quality Management System), PMS (Privacy Management System) en EMS (Environmental Management System).
Een management systeem is de gebruikelijke werkwijze voor een veelvoud aan ISO normen, maar er zijn ook normen die weer een heel andere insteek hebben; bijvoorbeeld in de vorm van een checklist (waarbij u bijvoorbeeld moet voldoen aan een lijst met specifieke eisen).
Als u als organisatie moet voldoen aan een combinatie van dergelijke normen en wetten, dan volstaat een ISMS alleen niet meer. Er is dan behoefte aan iets dat voor een hele set aan normen met een overkoepelend proces ondersteuning kan bieden. Dat proces is Governance, Risk and Compliance (GRC).
Niet alleen normenkaders zijn daarbij relevant, ook wetgeving wordt hierbij meegenomen - daar moet u immers ook aan voldoen. Denk dan aan de AVG of sectorspecifieke wetgeving voor bijvoorbeeld de industrie, overheid of de zorg.
Normen en wetten
GRC heeft naast een belangrijke poot in het voldoen aan een veelheid aan normen en wetten, ook een belangrijke basis in de financiële verantwoording die een organisatie moet doen. Met zaken als SOC2 en SOC3 (SOC = System and Organization Controls) moeten (grote) organisaties ook hun financiële administratie en jaarverslag aan bepaalde normen laten voldoen. Dit is ook voor veel MKB+ organisaties en de overheid van toepassing.
GRC is daarom vaak niet iets wat een organisatie zo zeer zelf ‘wil’ (zoals een certificering) maar ‘moet’ als gevolg van (internationale) wetgeving en eisen van klanten.
Wat betekent GRC?
GRC staat voor:
- Governance staat voor sturing/beleid en overall management van alle zaken die aan normen/wetgeving moeten voldoen;
- Risk is het risico-gebaseerd denken dat in al die zaken de rode draad vormt en dus een voorname plaats in neemt. Door risico’s te identificeren op de verschillende deelgebieden en hiervoor behandelplannen op te stellen (maatregelen te treffen) wordt hieraan invulling gegeven;
- Compliance betreft hetgeen u uiteindelijk aan moet voldoen. Hiervoor moet u enerzijds de normen en wetten toepassen (vertalen naar beleid en maatregelen) en anderzijds ook controleren of u dit ook daadwerkelijk doet/toepast. U bent, of uw organisatie is, dan ‘compliant’.
Geïntegreerde aanpak GRC
Net als informatiebeveiliging of kwaliteitszorg, heeft u voor GRC een geïntegreerde aanpak nodig - het grijpt in op vrijwel alle processen binnen een organisatie. Zo is ook de risicobeheersing ‘integraal’, dus niet op één deelgebied - bijvoorbeeld informatiebeveiliging - alleen maar bijvoorbeeld ook:
- politiek/bestuurlijk;
- financieel/economisch;
- juridisch/wettelijk;
- geografisch/ruimtelijk;
- maatschappelijk.
Naast dat GRC een bijzonder complex werkveld is (allerlei verschillende normenkaders, wetgeving, audits et cetera) komen er ook verschillende disciplines bij elkaar: specialisten (inhoudsdeskundigen), juristen (contracten/wetgeving), management/directie en de operationele bedrijfsvoering.
Uitdagingen van GRC
Daarmee blijkt al dat GRC flinke uitdagingen met zich mee brengt. Ook krijgt u te maken met de vaak grote hoeveelheid aan interne en externe audits die moeten plaatsvinden. Medewerkers die belast zijn met GRC-gerelateerde taken zijn als gevolg daarvan een groot deel van hun tijd ‘kwijt’ aan uitvoering en begeleiding van die audits.
Er is dus behoefte aan:
- Planning: veel activiteiten hebben een herhalend karakter en er zijn lange-termijn ontwikkelingen waar invulling aan moet worden gegeven;
- Communicatie en samenwerking: het faciliteren van de onderlinge samenwerking en uitwisseling van informatie; e-mail en agenda zijn natuurlijk belangrijk daarin, maar niet alle informatie kunt (of wilt) u op deze manier uitwisselen;
- Risicobeheersing: het faciliteren van risicoanalyses en opvolging met behulp van behandelplan/maatregelen;
- Incidentafhandeling: incidenten met betrekking tot de scope moeten worden opgepakt, geanalyseerd en opgevolgd worden;
- Audits: het vastleggen, begeleiden en opvolgen van interne en externe audits (controles).
- Vastlegging, verantwoording en aantoonbaarheid: het vastleggen van informatie en verantwoording van uitgevoerde werkzaamheden/controles. Om tijdens audits te kunnen ‘bewijzen’ dat u aan de gestelde eisen, normen en wetgeving voldoet moet dit immers aantoonbaar zijn;
- Normenkaders en wetgeving: uniforme beschikbaarheid van de verschillende normenkaders en wetgeving zodat er snel inzicht kan worden gekregen met betrekking tot status, voortgang en compliance ten aanzien van die normen;
- Overzicht, dashboards en rapportages: vanwege de breedte moet alles enigszins overzichtelijk bij elkaar gehouden worden. Met behulp van dashboards en rapportages moet snel duidelijk zijn waar aandacht aan besteedt moet worden. Daarbij moet het liefst zo veel mogelijk geautomatiseerd zijn.
Base27 en GRC management software
Base27 biedt ondersteuning aan GRC. Naast governance - door vastlegging van beleid en doorlopende sturing/planning - is er ook ruimte voor risicobeheersing in brede zin, kunnen meerdere normenkaders ondersteund worden en heeft Base27 de tools voor compliance in de vorm van interne (en externe) auditing en monitoring.
Daarbij kan er worden samengewerkt, worden alle activiteiten vastgelegd en zijn er dashboards en rapportages om inzicht te verkrijgen in status en voortgang.
Wilt u meer weten over GRC in combinatie met Base27? Of bent u op zoek naar een platform om specifiek uw informatiebeveiliging op orde te krijgen en te behouden? Bekijk dan onze tool.