Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Mike de Bruijn roduct Owner
Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement Analyses Risicobehandelingen Maatregelencyclus Governance Compliance
CompLions
Over CompLions Onze doelstelling Het ondersteunen van organisaties in het efficiënt en effectief beheersen van Governance, risico en compliance behoeften door middel van het borgen van managementsystemen, normen en standaarden met behulp van managementsoftware en ondersteunende (advies)diensten.
Over CompLions ortfolio Adviesdiensten Management software Operationele ondersteuning Business Consultancy rivacy- & Informatiebeveiliging Business Continuïty Kwaliteits- en milieumanagement Certificering (ISO 27001, NEN7510, BIG, ISO 22301, etc.) Interne audits & risico assessments GRCcontrol suite - Basis - Standaard - Modules IRM (IT Risk Man.) IMM (Incident Man.) DMS (Doc. Man.) IA ERM AAM Abonnementen Security Officer as a Service Security Manager as a Service IT Audit as a Service (IAS) GRCcontrol Functioneel beheer as a Service S E C T O R E N Zorg ICT & telecom ublieke Sector Accountancy Handel & diensten Financieel Software Consultancy Installatie en implementatie Training Basis GRC Expert GRC rojectdoelstellingen Inzicht & controle t.b.v. G R C Ontzorging
GRCcontrol management software
GRCcontrol Doelstelling Eén geautomatiseerd managementsysteem Voor beheersing (Governance & Riskmanagement) Inzicht in het voldoen aan (Compliance) normenkader(s) managementsystemen (certificering) wet- en regelgeving
GRCcontrol Van ISMScontrol naar GRCcontrol (1) Van vakinhoudelijke gebruikers met proceskennis van een ISMS naar brede gebruikerskring Vereist eenvoudigere management functionaliteit en workflows om complexe processen te beheersen. Meer gebruikers buiten het ISMS (security) domein: Kwaliteitsmanagement Business continuïteit Milieumanagement rocesmanagement Etc. Vereist eenvoud in gebruik, schermen en taakafhandeling
GRCcontrol Van ISMScontrol naar GRCcontrol (2) Van ISMS bereik naar Governance, Riskmanagement en Compliance Beheersen van veelvoud van managementsystemen Certificering Assurance Vereist enerzijds complexe functionaliteit maar eenvoudiger management functies en workflows om complexe brede materie en grote diversiteit aan gebruikers(niveaus) te beheersen.
Risicomanagement De uitdagingen!
Risicomanagement uitdagingen Uitdagingen Organisatiedoelstellingen veranderen door: ambities wijzigingen in bijvoorbeeld wet- en regelgeving markten etc. Door veranderingen ontstaan kansen (doelstellingen), maar ook risico s.
Risicomanagement uitdagingen Uitdagingen Inzicht nodig in risico s om: Risico s te nemen, te verminderen, te vermijden of over te dragen Input komt uit: uit de eigen organisatie en/of externe(keten)partijen systemen
Risicomanagement uitdagingen Uitdagingen Actueel inzicht en grip behouden over: Assetrisico s rocesrisico s & doelstellingen Organisatierisico s & doelstellingen
roces B roces C roces D Risicomanagement De uitdaging roces E Middelverant woordelijke Grip op middelrisico s roces A Welke middelen? roces B roces C roces D ICT middelen Applicaties Definitie van Gegevens middelen Gebouwen etc. roces E Middelverant woordelijke Gebruikte terminologie Risicomanager Welk Definitie midde roces A Risicomanager
roces B roces C roces D Risicomanagement De uitdaging roces E Middelverant woordelijke Grip op middelrisico s roces A Welke middelen? roces B roces C roces D ICT middelen Applicaties Definitie van Gegevens middelen Gebouwen Etc. roces E Middelverant woordelijke Gebruikte terminologie Risicomanager Welk Definitie midde roces A Organisatie- /personele wijzigingen Materie wordt als complex ervaren Risicomanager
?? roces B? roces C? roces D Risicomanagement De uitdaging? roces E? Middelverant woordelijke RTO/RO Eisen? Middel kritisch? Grip op middelrisico s roces A Welke middelen? roces B roces C roces D Definitie van middelen BIV eisen? Classificatie van roces? roces E Middelverant woordelijke Gebruikte terminologie Geïdentificeerde dreigingen? Risicomanager Welk Definitie midde roces A Organisatie- /personele wijzigingen Materie wordt als complex ervaren Risicomanager
? roces A? roces B? roces C? roces D Risicomanagement De uitdaging? roces E? Middelverant woordelijke RTO/RO Eisen? Middel kritisch? roces Dreigingen Grip op middelrisico s Grip op procesrisico s en doelstellingen Welke middelen? roces A roces B roces C roces D Classificatie van roces? Definitie van middelen BIV eisen? roces Doelstellingen roces E Middelverant woordelijke Gebruikte terminologie Geïdentificeerde dreigingen? Risicomanager Welk Definitie midde Organisatie- /personele wijzigingen Materie wordt als complex ervaren Risicomanager
Moeilijke materie, moeilijk proces! Waar vind ik eerdere analyses?? roces A? roces B? roces C roces D Risicomanagement De uitdaging? roces E? Middelverant woordelijke Kwetsbaarheden analyse middelen? RTO/RO Eisen? Grip op middelrisico s Grip op procesrisico s en doelstellingen Welke middelen? roces A roces B roces C roces D roces E Middelverant woordelijke Classificatie Middel van roces? kritisch? Kwetsbaarheden analyse proces Definitie van middelenbusiness impact Gebruikte analyses terminologie BIV eisen? Geidentificeerde dreigingen? roces Dreigingen roces Doelstellingen Risicomanager Welk Definitie midde Organisatie- /personele wijzigingen Materie wordt als complex ervaren Risicomanager
? roces A? roces B? roces C roces D Risicomanagement De uitdaging?? Middelverant woordelijke Kwetsbaarheden? Organisatie- /personele wijzigingen Materie wordt als complex ervaren Grip op middelrisico s Grip op procesrisico s en doelstellingen Welke middelen? roces A roces B Risicomanager roces C roces D roces E Middelverant woordelijke analyse middelen Classificatie Middel roces E van roces? kritisch? Kwetsbaarheden analyse proces Definitie van middelenbusiness impact Gebruikte analyses terminologie RTO/RO BIV eisen? Geidentificeerde Klopt de Eisen? dreigingen? info? roces roces Dreigingen Doelstellingen Frequentie Risicomanager Bij geen info? Toch door? Welk Definitie midde
Dynamisch risicomanagement beheersing met GRCcontrol
Dynamisch risicomanagement beheersing met GRCcontrol lan middel- / proces analyses - BIA s - DA s lan risicobehandeling - er middel - er proces Maatregelcyclus Van lan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act)
GRCcontrol Copyright 2014 CompLions B.V.
GRCcontrol Beheer instellingen Copyright 2014 CompLions B.V.
GRCcontrol Beheer instellingen Copyright 2014 CompLions B.V.
GRCcontrol Beheer instellingen Copyright 2014 CompLions B.V.
Risicomanagement lan middel- / proces analyses - BIA s - DA s lan risicobehandeling - er middel - er proces Maatregelcyclus Van lan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act)
Analyses Copyright 2014 CompLions B.V.
Analyses Gebruiker ziet altijd op dezelfde plek alle verlopen of nieuwe analyses die uitgevoerd moeten worden. Copyright 2014 CompLions B.V.
Analyses Copyright 2014 CompLions B.V.
Analyses Copyright 2014 CompLions B.V.
Analyses Copyright 2014 CompLions B.V.
Risicomanagement lan middel- / proces Analyses - BIA s - DA s lan risicobehandeling - er middel - er proces Maatregelcyclus Van lan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act)
Risicobehandelingen Risicomanager ziet altijd op dezelfde plek alle verlopen of nieuwe behandelingen automatisch
Risicobehandelingen Copyright 2014 CompLions B.V.
Risicobehandelingen Stapsgewijs proces Copyright 2014 CompLions B.V.
Risicobehandelingen
Risicobehandelingen Visuele heatmap
Risicobehandelingen Inzicht in risico s vóór en nà de behandeling
Risicomanagement lan middel- / proces analyses - BIA s - DA s lan risicobehandeling - er middel - er proces Maatregelcyclus Van lan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act)
Maatregelcyclus: Governance & Compliance Interne beheersing Organisatie Onderdelen Medewerkers rocessen Middelen Incidenten Maatregelenset Maatregel 5.1.1 Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing Verzameling van alle ontdubbelde benodigde beheersingsmaatregelen Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers Maatregel 5.2.1 Maatregel 6.1.1 rocessen Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Selectie maatregelen o.b.v. proces- Maatregelenset of middelrisicoanalyses of doelstellingen Maatregel 5.1.1 ISO 27002 133 ctrl 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregel implementatie Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Managen van implementaties Middelen Incidenten Maatregel implementatie Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregelcontroles & audits Maatregel implementatie Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregelcontroles & audits Maatregel implementatie Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB GITC Documenten e/audits van implementaties van maatregelen
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregelcontroles & audits Maatregel implementatie Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB GITC Documenten Geïntegreerde audits door mapping met controls
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Verbetermaatregelen of bij wijziging Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregelcontroles & audits Maatregelimplementatie Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Verbetermaatregelen Organisatie n.a.v. controles/audits en door Onderdelen dynamisch risicomanagement Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Verbetermaatregelen of bij wijziging Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregelimplementatie Maatregelcontroles & audits Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB GITC Documenten
Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Medewerkers rocessen Act Verbetermaatregelen of bij wijziging lan Maatregelselectie o.b.v. Risicobehandeling Maatregelenset Maatregel 5.1.1 Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 ISO 27002 27001 Middelen Incidenten Maatregelimplementatie Maatregelcontroles & audits Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB GITC Documenten Check Do
Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Maatregelenset Maatregel 5.1.1 ISO 27002 27001 Medewerkers rocessen Verbetermaatregelen of bij wijziging Maatregelselectie o.b.v. Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 Middelen Incidenten Maatregelimplementatie Maatregelcontroles & audits Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1 WB 13 GITC Documenten
Maatregelcyclus: Governance & Compliance Interne beheersing op basis van risicomanagement benadering Compliance raamwerk Organisatie Onderdelen Act Nieuwe risicobehandeling bij Act o.a. Medewerkers andere risicoklasse of verlopen behandeling. rocessen Verbeter maatregelen of bij wijziging Maatregelenset Maatregel 5.1.1 roces/middel analyses lan Maatregelselectie o.b.v. Risicobehandeling lan maatregelvoorstellen Risicobehandeling Maatregel 5.2.1 Maatregel 6.1.1 Maatregel 7.1.1 Maatregel 7.2.2 ISO 27002 27001 Middelen Maatregel es/au dits Incidenten Check e op implementaties en geïntegreerde Documenten auditing Check Maatregel implementatie Maatregel 7.3.1 Do Maatregel 8.1.2 Managen implementaties Maatregel 9.5.1 van geaccepteerde maatregelen uit de Do risicobehandeling WB 13 GITC
GRCcontrol Voordelen Geïntegreerd dynamisch risicomanagement Eenvoudige beheersing van wet- en regelgeving & normen (Compliance raamwerk: Map once, comply to many) rocesmatige structuur, DCA en stapsgewijze workflows Geïntegreerde auditing Rapportages (geschikt voor certificering) Content: grote hoeveelheid beschikbare normen/maatregelen, dreigingen, hulpvragen etc. (lug & lay Governance) Geen Big Bang implementatie Mogelijkheid om klein te beginnen
Risicomanagement lan middel- / proces analyses - BIA s - DA s lan risicobehandeling - er middel - er proces Maatregelcyclus Van lan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act)
Risicomanagement Meer zien? Een DEMO is mogelijk op onze stand: B117 lan middel- / proces analyses - BIA s - DA s lan risicobehandeling - er middel - er proces Maatregelcyclus Van lan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act) Meer informatie? Demo/presentatie: info@complions.nl