Onze visie op Information security management systems (ISMS)
Word de sparringpartner van het bestuur
Beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening is cruciaal. Naast de rol als gesprekspartner van bestuur en management bij ernstige informatiebeveiligings- of ICT-incidenten wil een CISO proactief risico’s in de bedrijfsvoering signaleren. Sla hierin niet door en zorg voor focus op de belangrijkste risico’s. De wetgeving BIO, ISO27001, ISO27002, NEST geven een structuur. Een CISO bepaalt echter als sparringpartner de belangrijkste risico’s en controls.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
Stappen op weg naar meer inzicht
Stap 1
Importeer en integreer verschillende risk en control framework als BIO, ISO27001, NEST.
Stap 2
Bepaal de meest risicovolle processen, applicaties en maak een jaarplan.
Stap 3
Voer diepgaande risicoanalyses ten behoeve van de maatregelen met risico- en impactanalyses, audits, tests en reviews.
Stap 4
Leg de resultaten vast in risicoregister en risicoacceptatie overeenkomst.
Stap 5
Monitor de opvolging van aanbevelingen.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Stappen op weg naar een ISMS
Bespaar tijd op de inrichting/ ontwerp van je audit door gebruik te maken van standaard templates gebaseerd op normen (onder andere ISO31000, 27001/27002/90001, NEST)), frameworks (NOREA) en wet- en regelgeving (AVG, BIO). Met NARIS GRC haak je aan bij wat andere organisaties al uitgewerkt hebben en kun je je aandacht richten op het specifiek maken van controls.
Betrek de organisatie met een risicodialoog
Een goede dialoog werkt beter dan alleen een control risk self assesment te doen. In NARIS GRC zit een kennisdatabase waaruit je snel een juiste set risk en controls kunt selecteren. Hierin is de mogelijkheid om interactief te chatten over oorzaak, gebeurtenis en gevolg. Door vervolgens kans en impact in te schatten ontstaat draagvlak voor de prioriteiten. Hierdoor blijft er meer tijd over voor data-analyse en focus op de organisatieonderdelen die minder in control zijn.
Activitity management
Om bewijslast op te halen kun je met NARIS GRC gemakkelijk periodiek vragenlijsten of checklists uitzetten naar je organisatie. Ook uit risico-en impactanalyses, audits, tests en reviews, issuetracking komen aanbevelingen. In sommige organisaties een stuwmeer waardoor de energie verdwijnt. Met NARIS GRC wordt het overzicht gehouden van de openstaande aanbevelingen en worden de activiteiten gemonitord.
Inspiratie rondom ISMS.
Vr. 19 sept 2025 – Nieuwe Three Lines Model: Met meer aandacht voor de praktijk
Steeds meer overheidsorganisaties gebruiken het Three Lines Model voor de inrichting van risicomanagement. Met de goede punten van het ‘oude’
Wo. 1 oktober 2025 – Naris Intervisie Zeist: Dilemma’s Three lines bij gemeenten
Het Three Lines Model is de basis voor het goed inrichten van de risicobeheersing van je organisatie, maar er blijven dilemma’s
Laten we praten.
Heb je vragen over onze oplossingen voor jouw organisatie? Neem vrijblijvend contact met ons op
Vul het formulier in of
bel met Kim:
Neem vrijblijvend contact op
Wil je weten wat we voor jouw organisatie kunnen betekenen? Vul onderstaand formulier in.
Nederland
Plantageweg 1C
3833 AZ Leusden
Colosseum 19
7521 PV Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
