Information Security Management System
Een Information Security Management System (ISMS), behelst het totaalplaatje aan systematiek, maatregelen en afspraken om die informatieveiligheid te garanderen. Als CISO beheerst u dit proces voor uw organisatie. Alles om te voldoen aan de belangrijkste normenkaders, ofwel (inter)nationale standaarden. Zo raakt u als organisatie in control over verantwoordelijkheden, risico's en beleid.
Privacy Management System
Als Privacy Officer of Functionaris Gegevensbescherming zult u het herkennen: wet- en regelgeving, zoals de AVG, zorgt voor veel verantwoordelijkheden. Om daaraan als organisatie te voldoen heeft u een tool nodig waarin u realtime inzicht heeft in compliance. Privacy management wordt behapbaar, met de module GRC van Pepperflow!
De classificaties DPIA en BIV en vragenlijsten met BIO- en AVG-maatregelen zijn vooraf ingericht en klaar om uitgevoerd te worden. Pepperflow zorgt dat deze actueel blijven. Daarnaast staat het systeem voor u klaar om gevuld te worden met alle belangrijke afdelingen, applicaties, processen en leveranciers.
Input van klanten en experts uit het vakgebied heeft geleid tot een gebruiksvriendelijke opzet. Alle werkzaamheden worden op een eenduidige manier uitgevraagd zodat informatiebeveiliging en privacy compliance gemakkelijk samenwerken. De inhoud van de tool wordt actueel gehouden op basis van wet- en regelgeving.
De fases uit de PDCA-cyclus zijn met elkaar geïntegreerd. Zo bepaalt de uitkomst van de DPIA of BIV-classificatie welke maatregelen van toepassing zijn, komen alle maatregelen waar niet aan wordt voldaan op de actielijst terecht en worden aan de hand van de status van de BIO maatregelen de zelfevaluaties van ENSIA ingevuld.
Met het centrale dashboard heeft u volledig inzicht in de status van uw belangrijkste afdelingen, applicaties, processen en leveranciers. Daarnaast biedt het dashboard helderheid over de mate waarin uw organisatie voldoet aan de BIO- en AVG-vereisten. Met de rapportagefunctie kunt u eenvoudig rapporteren aan ENSIA.
DPIA
Data Protection
Impact Assessment
De DPIA (Data Protection Impact Assessment) in Pepperflow is gebaseerd op de richtlijnen van de IBD, het Rijk en best practices van gemeenten. Tijdens een pre-DPIA wordt op basis van de ingevoerde informatie automatisch vastgesteld of het uitvoeren van een DPIA vereist is.
Algemene Verordening
Gegevensbescherming
Het AVG-borgingsproduct 3.0 helpt organisaties om structureel te voldoen aan de AVG. Het geeft helder inzicht in welke basisvoorwaarden op orde moeten zijn om blijvend aan de wetgeving te kunnen voldoen. Pas wanneer deze fundamenten zijn geborgd, ontstaat er ruimte voor verdere verbetering. Het product biedt duidelijke kaders voor risicogestuurde AVG-elementen en bevat uitsluitend de essentiële onderdelen. Net als bij de BIO-aanpak geldt: alle maatregelen zijn verplicht, tenzij goed gemotiveerd kan worden waarom een specifieke maatregel niet van toepassing is.
Beschikbaarheid, Continuïteit, Vertrouwelijkheid
De BIV-classificatie is voor elke applicatie het startpunt. De informatie wordt getoetst op basis van 7 vragen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. Op basis van het hoogst gegeven antwoord wordt de classificatie bepaald en daarmee welke maatregelen uit de BIO van toepassing zijn. Zo zijn bij het eerste beveiligingsniveau alleen de basismaatregelen van kracht, bij de tweede ook de standaardmaatregelen en bij de hoogste ook alle aanvullende eisen die gesteld worden.
Baseline Informatie-
veiligheid Overheid
Alle overheidsmaatregelen uit de BIO zijn geplaatst op verschillende checklists in de ISMS-tool. Deze checklist worden verstuurd naar degene die hiervoor verantwoordelijk is. Wanneer de maatregelen door een afdeling generiek voor de hele organisatie worden uitgevoerd worden de vragenlijsten naar de afdelingshoofden van ICT, HR, FZ of Inkoop verstuurd. Gaat het om specifieke eisen waar een applicatie of een leverancier aan moet voldoen dan worden deze verzameld op een checklist die periodiek door de eigenaar moet worden ingevuld. Bij het invullen van de checklist kan worden aangegeven of wordt voldaan aan de gestelde eis. Hier kan toelichting op gegeven worden en wanneer nodig de bewijslast aan worden toegevoegd.
Alle processen met verwerking van persoonsgegevens kunnen worden toegevoegd in Pepperflow. Per proces wordt in kaart gebracht welke verwerkingen er plaatsvinden en om welke persoonsgegevens het gaat. Op basis van de gegeven antwoorden in de 'classificatiefase' helpt de tool te bepalen of een DPIA moet worden uitgevoerd. Indien van toepassing volgen in de 'informatiefase' de relevante vragen voor de DPIA. Tijdens de 'controlefase' wordt getoetst of het proces aan de relevante wet- en regelgeving voldoet. Dit wordt inzichtelijk gemaakt door middel van een score. Het verwerkingenregister kan met één druk op de knop worden getoond en eventueel geëxporteerd naar Excel.
Medewerkers moeten een beveiligingsincident tijdig melden. Dit gebeurt meestal op een centrale plek waar alle medewerkers bij kunnen zoals een ticketingsysteem. Het doorzetten van deze incidenten en het toetsen of aan alle maatregelen is voldaan kan binnen Pepperflow worden gedaan. Het invullen van de classificatie om te beoordelen of het een beveiligingsincident, datalek of ernstig datalek is. Het invullen van de incidentinformatie en tot slot het toetsen of aan de juiste maatregelen is voldaan.
FAQ
Tijdens de controlefase worden alle eisen uit de BIO beantwoord door de verschillende verantwoordelijken. Wanneer een afdeling heeft aangegeven aan welke generieke maatregelen wordt voldaan, is de gerelateerde ENSIA-vraag daarmee automatisch beantwoord. Zodoende zijn de meeste vragen tijdens de jaarlijkse evaluatiefase ingevuld. Alle ENSIA-zelfevaluaties kunnen met behulp van Pepperflow naar de verantwoordelijk medewerkers worden verstuurd. De vragenlijsten kunnen worden geëxporteerd naar het benodigde format om deze handmatig in de ENSIA-Tool te importeren. Een automatische koppeling is momenteel nog niet mogelijk gemaakt door de ENSIA-Tool.
Als CISO, FG of Privacy Officer bent u druk bezet: voor lange implementaties heeft u geen tijd. Een noodzaak om grip te krijgen op informatiebeveiliging en privacy heeft u zeker wel. Daarom heeft Pepperflow gekozen voor een best practice inrichting. Dit zorgt ervoor dat u direct aan de slag kan. Tijdens de implementatie zullen wij de coördinatoren wegwijs maken in het systeem en zorgen dat zij eenvoudig gebruikers toegang kunnen geven tot het systeem en koppelen aan de zaken waarvoor zij verantwoordelijk zijn. Hiervoor zijn vier contactmomenten van twee uur nodig.
Neem voor informatie over de prijs contact op met één van onze accountmanagers via info@pepperflow.nl, het telefoonnummer 071-4013263 of via de contactbutton
Het is mogelijk om alle gegevens uit de GRC-tool gemakkelijk te exporteren in Excel-format.
Pepperflow zorgt dat de meest actuele risicoanalyses en vragenlijsten klaar staan. Wanneer er wijzigingen plaatsvinden binnen de DPIA, BIV, BIO en ENSIA-vragenlijsten, zullen deze door Pepperflow worden doorgevoerd. Daarnaast zullen wij, samen met klanten en experts, kerngroepen houden om gezamenlijk de content te optimaliseren.
