Wat wordt bedoeld met GRC: Governance, Risk and Compliance en hoe geeft u hier invulling aan?

Het kan zijn dat uw organisatie moet voldoen aan een combinatie van diverse normen rondom informatiebeveiliging. Vaak is het zo dat een ISMS dan onvoldoende ondersteuning biedt. U zult dan op zoek moeten naar een oplossing die met een overkoepelend proces ondersteuning kan bieden bij het voldoen aan een hele set van normen. Een Governance, Risk and Compliance, oftewel GRC, oplossing kan u hierbij helpen.

Loopt u tegen het probleem aan dat u met een ISMS niet goed invulling kunt geven aan alle normen waar u aan moet voldoen? Wellicht biedt een GRC-oplossing in uw situatie uitkomst. Maar wat wordt bedoeld met GRC? 

In dit blogartikel vertellen wij u alles wat u moet weten over Governance, Risk and Compliance. Hiervoor staan wij stil bij:

Weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.

Wat wordt bedoeld met GRC?

GRC (Governance, Risk and Compliance) is de bredere scope van zoiets als een ISMS (Information Security Management System). Naast een ISMS zijn er ook zaken als een QMS (Quality Management System), PMS (Privacy Management System) en EMS (Environmental Management System). 

Daarnaast is een management systeem de gebruikelijke werkwijze voor een veelvoud aan ISO normen, maar er zijn ook normen die weer een heel andere insteek hebben; vaak meer in de vorm van een checklist (waarbij u bijvoorbeeld moet voldoen aan een lijst met specifieke eisen).

Als u als organisatie moet voldoen aan een combinatie van dergelijke normen, dan volstaat een ISMS alleen niet meer. Er is dan behoefte aan iets dat voor een hele set aan normen met een overkoepelend proces ondersteuning kan bieden. Dat proces is Governance, Risk and Compliance (GRC).

GRC

Niet alleen normenkaders zijn daarbij relevant, ook wetgeving wordt hierbij meegenomen - daar moet u immers ook aan voldoen. Denk dan aan de AVG of sectorspecifieke wetgeving voor bijvoorbeeld de industrie, overheid of de zorg.

Normen en wetten

GRC heeft naast een belangrijke poot in het voldoen aan een veelheid aan normen en wetten, ook een belangrijke basis in de financiële verantwoording die organisatie moeten doen. Met zaken als SOC 2 en SOC 3 (SOC = System and Organization Controls) moeten (grote) organisaties ook hun financiële administratie en jaarverslag aan bepaalde normen laten voldoen. Dit is ook voor veel MKB+ organisaties en de overheid van toepassing.

Zoiets als GRC is vaak niet iets wat een organisatie ‘wil’ (zoals een certificering) maar ‘moet’ als gevolg van (internationale) wetgeving en eisen van klanten. 

Wat betekent GRC?

GRC staat voor:

  • Governance staat voor sturing/beleid en overall management van alle zaken die aan normen/wetgeving moeten voldoen;
  • Risk is het risicogebaseerd denken dat in al die zaken de rode draad vormt en dus een voorname plaats inneemt. Door risico’s te identificeren op de verschillende deelgebieden en hiervoor behandelplannen op te stellen (maatregelen te treffen) wordt hieraan invulling gegeven;
  • Compliance is uiteindelijk waar u aan moet voldoen. Hiervoor moet u enerzijds de normen toepassen (vertalen naar beleid en maatregelen) en anderzijds ook controleren of u dit ook daadwerkelijk doet/toepast. U bent, of uw organisatie is, dan ‘compliant’.

Geïntegreerde aanpak

Net als informatiebeveiliging of kwaliteitszorg, heeft u voor GRC een geïntegreerde aanpak nodig - het grijpt in op vrijwel alle processen binnen een organisatie. Zo is ook de risicobeheersing ‘integraal’, dus niet op één deelgebied - bijvoorbeeld informatiebeveiliging - alleen maar bijvoorbeeld ook:

  • politiek/bestuurlijk;
  • financieel/economisch;
  • juridisch/wettelijk;
  • geografisch/ruimtelijk;
  • maatschappelijk.

Naast dat GRC een bijzonder complex werkveld is (allerlei verschillende normenkaders, wetgeving, audits et cetera) komen er ook verschillende disciplines bij elkaar: specialisten (inhoudsdeskundigen), juristen (contracten/wetgeving), management/directie en de operationele bedrijfsvoering.

Uitdagingen van GRC

Daarmee blijkt al dat GRC flinke uitdagingen met zich mee brengt. Daarnaast krijgt u te maken met de vaak grote hoeveelheid aan interne en externe audits die moeten plaatsvinden. Medewerkers die belast zijn met GRC-gerelateerde taken zijn namelijk een groot deel van hun tijd ‘kwijt’ aan uitvoering en begeleiding van die audits.

Er is daarom behoefte aan:

  • Planning: veel activiteiten hebben een herhalend karakter en lange termijn ontwikkelingen waar invulling aan moet worden gegeven;
  • Communicatie en samenwerking: het faciliteren van de onderlinge samenwerking en uitwisseling van informatie; e-mail en agenda zijn natuurlijk belangrijk daarin, maar niet alle informatie kunt (of wilt) u op deze manier uitwisselen;
  • Risicobeheersing: het faciliteren van risicoanalyses en opvolging met behulp  van behandelplan/maatregelen;
  • Incidentafhandeling: incidenten met betrekking tot de scope moeten worden opgepakt, geanalyseerd en opgevolgd worden; 
  • Audits: het vastleggen, begeleiden en opvolgen van interne en externe audits (controles).
  • Vastlegging, verantwoording en aantoonbaarheid: het vastleggen van informatie en verantwoording van uitgevoerde werkzaamheden/controles. Om tijdens audits te kunnen ‘bewijzen’ dat u aan de gestelde eisen, normen en wetgeving voldoet moet dit immers aantoonbaar zijn;
  • Normenkaders: uniforme beschikbaarheid van de verschillende normenkaders en wetgeving zodat er snel inzicht kan worden gekregen met betrekking tot status, voortgang en compliance ten aanzien van die normen;
  • Overzicht, dashboards en rapportages: vanwege de breedte moet alles enigszins overzichtelijk bij elkaar gehouden worden. Met behulp van dashboards en rapportages moet snel duidelijk zijn waar aandacht aan besteedt moet worden. Daarbij moet het liefst zo veel mogelijk geautomatiseerd zijn.

Base27 en GRC

Base27 biedt ondersteuning aan GRC. Naast governance - door vastlegging van beleid en doorlopende sturing/planning - is er ook ruimte voor risicobeheersing in brede zin, kunnen meerdere normenkaders ondersteund worden en heeft Base27 de tools voor compliance in de vorm van interne (en externe) auditing en monitoring. Daarbij kan er worden samengewerkt, worden alle activiteiten vastgelegd en zijn er dashboards en rapportages om inzicht te verkrijgen in status en voortgang.

Wilt u meer weten over GRC in combinatie met Base27? Of bent u op zoek naar een platform om specifiek uw informatiebeveiliging op orde te krijgen en te behouden? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar.

Ontdek de 7 basisprincipes van digitale hygiëne

Recente berichten

Met Base27 van Axxemble heeft u uw informatiebeveiliging snel op orde.
GRATIS PROEFABONNEMENT

Ook interessant: