Risico Analyse. Een verkenning. Publicatie van de CIO Interest Group Informatiebeveiliging
|
|
- Dries de Veen
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Risico Analyse Een verkenning Publicatie van de CIO Interest Group Informatiebeveiliging CIO Platform Nederland, september CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012
2 Van de opstellers De aandacht voor informatiebeveiliging bij de leden van het CIO Platform neemt exponentieel toe. Cyberaanvallen zijn aan de orde van de dag en zelfs partijen die beveiligingscertificaten uitgeven lijken niet meer veilig (lees daarover ook onze publicatie Digitale veiligheid, juni 2012). Om als organisatie periodiek te kunnen meten of je voldoende maatregelen hebt getroffen op gebied van informatiebeveiliging is voor de leden van het platform de ledenbenchmarktool BMTool ontwikkeld. De BMTool is een perfect tool is om periodiek te kunnen meten hoe je er als organisatie voorstaat. Het is daarnaast ook noodzakelijk om tijdig te kunnen sturen en anticiperen op risico s die we als organisaties lopen. Daarom hebben wij, op verzoek van veel leden, als Interest Group Informatiebeveiliging publicatie gemaakt over Risico Analyse. Dit document beschrijft welke methoden voor risico analyse er bestaan en in hoofdstuk vijf beschrijven we mogelijkheden om de resultaten uit de BMTool te kunnen gebruiken voor de uitvoering van een risico analyse. Het uitwerken van dit onderwerp is voor ons een leerzaam traject geweest. We zijn er van overtuigd dat we met deze publicatie nog meer waarde kunnen toevoegen aan het gebruik van de BMTool en jou als lezer inzichten kunnen bieden op gebied van risico analyse en risico management. De opstellers (zie pagina 56). CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 2 van 58
3 Managementsamenvatting Het CIO Platform onderkent het grote belang van informatiebeveiliging voor de informatievoorziening van haar leden. Om haar leden te ondersteunen bij het inrichten van informatiebeveiliging heeft ze in het recente verleden een benchmarktool (BMTool) ontwikkeld. De BMTool stelt leden in staat om onderling de status van informatiebeveiliging te vergelijken op basis van de door de leden getroffen beveiligingsmaatregelen. Om de ingevoerde resultaten daadwerkelijk te kunnen vergelijken is het van belang te weten om welke redenen een organisatie beveiligingsmaatregelen heeft getroffen. De onderbouwing voor de maatregelen is een risicoanalyse. De werkgroep Informatiebeveiliging heeft daarom een taakgroep ingesteld met als opdracht het thema risicoanalyse te verkennen. Dit rapport bevat de resultaten van deze verkenning. De resultaten van de werkgroep zijn: Afbakening van het onderwerp risicoanalyse op basis van internationale standaarden Beschrijving van methodes voor de uitvoering van risicoanalyse Aanbeveling voor een methode voor risicoanalyse voor de leden De relatie tussen risicoanalyse en de BMTool Aanbeveling voor het uitbreiden van de BMTool met vragen over de risicoanalyse uitgevoerd door de organisatie. Het onderwerp risicoanalyse is terug te vinden in de internationale standaard voor risicomanagement: ISO Hierin wordt de risicoanalyse aangeduid als risicobeoordeling. ISO is een norm voor risicomanagement, het overkoepelend proces voor het beheersen van risico's. Voor risicoanalyse alleen bestaat ook een andere norm ISO Samen met ISO en wordt een volledig managementsysteem voor informatiebeveiliging gevormd. In dit rapport staat het begrip risicoanalyse voor een drietal deelprocessen: risico-identificatie, risicoschatting en risico-evaluatie. De eerste activiteit, risico-identificatie, betreft het in kaart brengen van de relevante risico s. De omvang van de geïdentificeerde risico s uit stap 1 wordt vervolgens bepaald tijdens de tweede stap, risicoschatting. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 3 van 58
4 De laatste stap, risico-evaluatie, richt zich op het vergelijken van de omvang van de geïdentificeerde risico s met de van te voren bepaalde risico criteria. De 3 deelprocessen komen zowel in ISO31000 als in ISO voor. De BMTool is gebaseerd op de set maatregelen uit ISO Omdat dit rapport de relatie met de BMTool wil aangeven, wordt ISO gevolgd. Het rapport behandelt 4 basismethodes voor risicoanalyse en geeft een aanbeveling voor een integrale RA methode. Deze methode begint met het uitvoeren van een baselinetoets door middel van een business impact analyse. In deze toets wordt bepaald of de standaard maatregelen in de baseline afdoende zijn om de risico s te beheersen. De baselinetoets is gebaseerd op een BIV classificatie van de informatie die deel uitmaakt van de scope. De impact wordt daarbij uitgedrukt in de van te voren bepaalde risico criteria. De BIV score wordt vervolgens vergeleken met de BIV score van de baseline. Als de score lager is dan de baseline volstaan de baseline maatregelen. Als de BIV score hoger is dan die van de baseline is het noodzakelijk om een uitgebreide risicoanalyse uit te voeren. Als geen statistische data beschikbaar is, resteert een kwalitatieve risicoschatting. De BMTool voorziet in het vastleggen van het basis beveiligingsniveau, het scoren van de volwassenheid van de beveiligingsmaatregelen en het kunnen vergelijken met de aangesloten branchegenoten. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 4 van 58
5 Het vastleggen van het beveiligingsniveau zou gebaseerd moeten zijn op een risicoanalyse. De output van de risicoanalyse zou dus als input moeten dienen voor de BMTool. De vergelijkbaarheid van de resultaten van de BMTool, vooral tussen organisaties onderling is gebaat bij een indicatie van de kwaliteit van het proces dat geleid heeft tot de selectie van maatregelen, de risicoanalyse. De volgende aspecten zijn hierbij bepalend: Scope: toepassingsgebied (scope) waar de maatregelen ingevuld in de BMTool betrekking op hebben Risicobehandeling: risicoattitude van de organisatie (Risk appetite) Kwaliteit: conformiteit met ISO Voor deze drie aspecten geeft dit rapport vragen en stellingen die kunnen worden opgenomen in de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 5 van 58
6 Inhoudsopgave 1 Inleiding Aanleiding Probleemstelling Doelstelling en Opdracht Werkwijze Leeswijzer Risicoanalyse in context Risicoanalyse in ISO Risicoanalyse in ISO Risicoanalyse in ISO Overzicht van normen Methodes voor Risicoanalyse Conformiteit van een risicoanalyse Risicoanalyse methodes Relevante criteria Aanbeveling voor een RA methode Risicoanalyse en de BMTool BMTool, platform voor benchmarking RA output is BMTool input Verklaring van toepasselijkheid weergeven in de BMTool BMTool en risicoanalyse Uitbreiding van de BMTool Toepassingsgebied van de maatregelen Risicoattitude van de organisatie Kwaliteit van de risicoanalyse Referenties Bijlage 1: Essentiële maatregelen uit ISO Bijlage 2: Risicomanagement conform ISO Bijlage 3: Risicomanagement conform ISO Bijlage 4: Kwaliteit van RA methode Deelnemers CIG Informatiebeveiliging CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 6 van 58
7 1 Inleiding De CIO Interest Group Informatie Beveiliging (CIG-IB) is een van de interest groups van het CIO Platform Nederland. De CIG-IB dient als kennisplatform op het gebied van Informatie Beveiliging (IB). Een van de onderwerpen opgepakt door deze werkgroep is het onderling kunnen vergelijken van organisaties, welke lid zijn van het CIO Platform Nederland, op het gebied van informatiebeveiliging. Binnen de CIG-IB is de werkgroep Benchmarking samengesteld om een benchmark methodiek te ontwikkelen inclusief bijpassende tooling. Deze tooling wordt Benchmark Tool, kortweg BMTool genoemd. De BMTool maakt het mogelijk om de beheersmaatregelen voor informatiebeveiliging, ingevoerd bij de verschillende deelnemers, onderling te vergelijken. De maatregelen in de benchmark tool zijn gebaseerd op de de-facto standaard voor informatiebeveiliging, NEN-ISO (NEN-ISO, 2007). Conform deze norm moet de selectie van maatregelen gebaseerd zijn op een risicoanalyse. Het CIO Platform heeft daarom de CIG-IB verzocht de relatie tussen risicoanalyse en de BMTool nader te verkennen. Dit document beschrijft de resultaten van deze verkenning. 1.1 Aanleiding Een presentatie van Ton Arrachart (CIO van Van Oord Dredging), gegeven tijdens de CIG-IB bijeenkomst van 6 oktober 2010, vormt de aanleiding tot het instellen van de werkgroep. Ton wil op een efficiëntere en kortcyclische manier meten waar zijn organisatie staat op het gebied van risicoanalyse en informatiebeveiliging. De vraagstelling richt zich daarbij in eerste instantie op uitwisseling van ervaringen op het gebied van metrieken. Tijdens de CIG-IB vergadering van 24 november 2010 lichtten een aantal leden daarom de binnen hun organisatie gebruikte metrieken toe. Tijdens deze vergadering worden er twee werkgroepen geformeerd. Een werkgroep zal zich richten op het uitwerken van een methodiek voor risicoanalyse die algemeen toepasbaar is en te koppelen aan de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 7 van 58
8 De andere werkgroep zal zich richten op de definitie van Key Perfomance Indicatoren (KPI's). Dit document beschrijft de resultaten van de eerste werkgroep. De andere werkgroep is nog niet van start gegaan. Uit de discussies in de werkgroep is gebleken dat het noodzakelijk is om een relatie te leggen tussen risico s en maatregelen. Dit rapport bevat hiervoor al enkele resultaten, die vooral gebaseerd zijn op de werkzaamheden van de leden van het CIO Platform werkzaam in de academische ziekenhuizen. 1.2 Probleemstelling Het doel van het BMTool is het onderling kunnen vergelijken van het niveau van Informatiebeveiliging. De tool volgt de maatregelen volgens de standaard NEN- ISO (NEN-ISO, 2007) in de vorm van stellingen. De beantwoording van de stellingen geeft een oordeel over het niveau van de implementatie van de maatregelen binnen de organisatie. Deze beantwoording maakt daarbij gebruik van een volwassenheidsmodel. Een organisatie kan haar volwassenheid vergelijken met andere organisaties door haar antwoorden op de stellingen te vergelijken met de antwoorden van andere organisaties. Maar is de vergelijking wel zinvol als niet duidelijk is op grond van welke overwegingen de maatregelen zijn getroffen en de antwoorden zijn gegeven? Conform de gehanteerde norm dient de selectie van maatregelen gebaseerd te zijn op een risicoanalyse. Een organisatie zou dus ter onderbouwing van de genomen maatregelen ten minste een risicoanalyse moeten hebben uitgevoerd. Er bestaan daarnaast ook nog verschillende methodes voor risicoanalyse. Het is dus niet alleen de vraag of een organisatie een risicoanalyse uitvoert, maar het is ook relevant te weten of die risicoanalyse voldoende diepgang heeft. Voldoende diepgang betekent hierin dat de diepgang passend is voor het te analyseren risico. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 8 van 58
9 Ten slotte geeft een organisatie in de BMTool aan welke maatregelen zij heeft genomen. Het is daarbij relevant voor welke onderdeel (of systemen) van de organisatie deze maatregelen genomen zijn. Een organisatie kan bijvoorbeeld besluiten om aan te geven wat het basisniveau van informatiebeveiliging is binnen haar organisatie. Dit basisniveau is het stelsel van maatregelen dat getroffen wordt voor al haar systemen. Een andere organisatie kan besluiten de maatregelen genomen voor haar meest kritische systemen in de BMTool op te nemen. Deze maatregelen zullen in het algemeen uitgebreider zijn dan het basisniveau. Als deze twee organisaties het niveau van informatiebeveiliging met elkaar willen vergelijken, leidt het verschil in scope allicht tot verkeerde conclusies. Naast de onderbouwing door middel van een risicoanalyse, is het daarom ook noodzakelijk een uitspraak te doen over de scope (reikwijdte) van de genomen maatregelen. Tenslotte worden maatregelen genomen om risico te mitigeren. Bepaalde risico s kunnen voor de ene organisatie volkomen acceptabel zijn en voor een andere totaal niet. De risicoacceptatie (risicoattitude) van een organisatie speelt daarom een beslissende rol in welke risico s een organisatie wil mitigeren door het treffen van beheersmaatregelen. 1.3 Doelstelling en Opdracht De werkgroep risicoanalyse stelt zich tot doel de leden van het CIO Platform een handreiking te bieden bij het uitvoeren van risicoanalyse. Deze handreiking zal de deelnemers hulp bieden bij het uitvoeren van risicoanalyses. De handreiking moet ook de vergelijkbaarheid van de resultaten opgenomen in de BMTool verhogen. Uiteraard draagt het uitvoeren van de risicoanalyse zelf bij tot het ontstaan van een betere balans tussen de genomen maatregelen en het dreigingenniveau. De opdracht voor de werkgroep kan als volgt worden geformuleerd: Werk vanuit risicoperspectief eisen en methoden uit om de vergelijkbaarheid van de resultaten van de BMTool te vergroten. De aspecten scope van de risicoanalyse, de risicoacceptatie en de volwassenheid van de risicoanalyse dienen hierbij te worden belicht. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 9 van 58
10 Geef aan hoe de invoer in de BMTool onderbouwd kan worden door middel van een (soort) risicoanalyse (of extra antwoorden) Geef aan welke eigenschappen een risicoanalyse moet hebben om vergelijkbaarheid van maatregelen te kunnen beoordelen Kort samengevat is de opdracht: Pak het thema risicoanalyse op, werk een methode uit die algemeen toepasbaar is en die te koppelen is aan de BMTool 1.4 Werkwijze In een aantal vergaderingen met wisselende bezetting heeft de werkgroep de vraagstelling uitgediept. Allereerst is de relatie tussen risicoanalyse en de BMTool verkend. Door bronnenonderzoek en een enquête onder deelnemers van CIG-IB is het proces van risicoanalyse en methodieken in kaart gebracht. De eerste resultaten zijn tijdens de CIG-IB vergadering van 16 maart 2011 gepresenteerd. Daar is besloten dat de werkgroep de volgende verdiepingslag zal maken: zichtbaar maken van verschillen tussen methodieken voor risicoanalyse vaststellen eisen aan methodieken en tooling toetsen bestaande methodieken aan eisen kiezen voor een methodiek uiteindelijk keuze voor aanschaf of nieuwbouw tooling die past bij methodiek. Het laatste onderdeel is tijdens de daaropvolgende vergadering van de CIG-IB op 18 mei 2011 vooralsnog buiten scope geplaatst. De werkgroep heeft tijdens de verdere uitwerking van de probleemstelling besloten om aan te geven op welke wijze de bestaande BMTool uitgebreid kan worden. Deze aanvullingen richten zich op het verhogen van de vergelijkbaarheid van organisaties die gebruik maken van de BMTool. Deze uitbreidingen richten zich op het beschrijven van het toepassingsgebied (scope) van de ingevulde maatregelen, de risicohouding (risicoacceptatie) van de organisatie en de volwassenheid van de organisatie in het uitvoeren van de risicoanalyse. Deze uitbreidingen komen aan de orde in het laatste hoofdstuk van dit rapport. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 10 van 58
11 1.5 Leeswijzer Deze publicatie is als volgt opgebouwd: Hoofdstuk 1: Inleiding Beschrijft zaken als aanleiding, doelstelling en werkwijze. Hoofdstuk 2: Risicoanalyse in Context Geeft een afbakening van het onderwerp en duidt de relatie met (internationale, erkende) standaarden. Hoofdstuk 3: Overzicht van RA methodes Beschrijft de eigenschappen waaraan een RA methode moet voldoen om vergelijkbaarheid van de resultaten in de BMTool te ondersteunen en beschrijft een aantal RA methodes en hun eigenschappen. Hoofdstuk 4: Aanbeveling voor een RA methode Biedt een RA methode aan voor organisaties die nog geen methode hebben of op zoek zijn naar een verbeterde methode. Hoofdstuk 5: Relatie Risicoanalyse en BMTool Beschrijft de samenhang tussen de (resultaten van de) risicoanalyse en de maatregelen in de BMTool. Hoofdstuk 6: Uitbreiding BMTool Beschrijft mogelijke uitbreidingen van de BMTool die een onderbouwing geven van de selectie maatregelen en die de vergelijkbaarheid verhogen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 11 van 58
12 2 Risicoanalyse in context Informatiebeveiliging richt zich op het beheersen van de risico's voor een organisatie voortkomend uit het gebruik van informatie als bedrijfsmiddel. Informatiebeveiliging kan daarom beschouwd worden als een van de disciplines die zich richt op het beheersen van operationele risico's. Operationele risico's zijn de risico's geassocieerd met de bedrijfsvoering van een organisatie. Dit hoofdstuk verkent eerst de rol van de risicoanalyse in het overkoepelend proces voor het beheersen van risico's: risicomanagement. Dit proces wordt beschreven aan de hand van de internationale standaard voor risicomanagement, ISO (NEN-ISO, 2009). Daarna wordt de rol van risicoanalyse in informatiebeveiliging beschreven. Deze beschrijving maakt gebruik van de standaard voor informatiebeveiliging, ISO (NEN-ISO, 2005), en de gerelateerde standaard voor het management van informatiebeveiligingsrisico s, ISO (NEN-ISO, 2011). De laatste sectie van dit hoofdstuk bevat een samenvattend overzicht van de besproken normen. 2.1 Risicoanalyse in ISO ISO (NEN-ISO, 2009), de internationale standaard voor risicomanagement, biedt een uitgebreide beschrijving voor het uitvoeren van risicomanagement in een organisatie. Omdat deze standaard breed geaccepteerd wordt, gebruiken we deze als uitgangspunt voor de afbakening van het onderwerp van dit rapport: risicoanalyse. Een overzicht van risicomanagement conform ISO is weergegeven in Bijlage 2. ISO onderkent twee onderdelen (of processen) voor risicomanagement. Het eerste proces, aangeduid met raamwerk, richt zich op het inrichten en onderhouden van het gehele managementsysteem voor risicomanagement. Dit proces biedt daarmee een raamwerk (framework) voor risicomanagement. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 12 van 58
13 Het andere proces bevat de daadwerkelijke uitvoering van risicomanagement. Dit proces wordt aangeduid als Process. Dit uitvoerende proces voor risicomanagement bestaat uit drie hoofdactiviteiten: het bepalen van de context voor het risicomanagement, het beoordelen (assessment) van de risico s en de behandeling (treatment) van de risico's (maatregelen). Daarnaast zijn er nog twee flankerende activiteiten: monitoren en evaluatie communicatie De beoordeling van risico s is onderverdeeld in drie deelactiviteiten: risicoidentificatie, risicoanalyse en risico-evaluatie. Het eerste onderdeel, risico-identificatie, betreft het in kaart brengen van de relevante risico s. De omvang van de geïdentificeerde risico s worden vervolgens tijdens de tweede stap, risicoanalyse, geschat. De laatste stap richt zich op het vergelijken van de omvang van de geïdentificeerde risico s met de van te voren bepaalde risico criteria. Tijdens deze stap wordt bepaald of het risico acceptabel is. Als het risico niet acceptabel is, zal in de volgende activiteit (risicobehandeling) bepaald gaan worden op welke wijze het risico zal worden afgehandeld. Voorbeelden van afhandeling zijn daarbij het risico mijden, het risico overdragen of maatregelen nemen om de omvang van het risico te verkleinen. Het onderwerp van dit rapport is risicoanalyse. Conform de definitie van ISO31000 zou dit betekenen dat dit rapport alleen het schatten van risico s behandelt. Tijdens de discussies van de werkgroep is echter gebleken dat dit een te beperkte interpretatie is. Dit rapport richt zich op alle stappen van de activiteit risicobeoordeling, zoals omschreven in ISO Om verwarring te voorkomen zal in de rest van dit rapport het woord risicoanalyse worden gebruikt voor deze risicobeoordeling. De deelactiviteit risicoanalyse, onderdeel van risicobeoordeling, zal verder worden aangeduid met risicoschatting. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 13 van 58
14 2.2 Risicoanalyse in ISO ISO (NEN-ISO, 2005) is de toonaangevende standaard voor informatiebeveiliging. Deze standaard beschrijft de wijze waarop een organisatie grip kan krijgen op risico's gerelateerd aan het gebruik van informatie in haar bedrijfsvoering. De standaard stelt daarbij het inrichten van een managementsysteem voor informatiebeveiliging (Information Security Management System) centraal. Dit managementsysteem is gebaseerd op de welbekende Deming-cirkel. Deze cirkel bestaat uit vier fases: plan, do, check en act. De plan fase van het ISMS bevat de activiteiten gerelateerd aan het identificeren en analyseren van de risico's. De plan fase omvat daartoe de volgende activiteiten: 1. Vaststellen welke benadering voor risicobeoordeling wordt gekozen; 2. Risico s identificeren; 3. De risico s analyseren en beoordelen; 4. Opties voor de behandeling van de risico s identificeren en beoordelen; 5. Beheersdoelstellingen en maatregelen voor de risico s kiezen; 6. Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico s. De bovenstaande activiteiten kunnen als volgt afgebeeld worden op het model voor risicomanagement conform ISO 31000: Activiteit 1 valt onder het opzetten van het raamwerk voor risicomanagement. De activiteiten 2 en 3 zijn af te beelden op het onderdeel risicobeoordeling van ISO De activiteiten 4, 5 en 6 vallen onder de hoofdactiviteit afhandeling van risico s van ISO Zoals in de voorgaande paragraaf richt dit rapport zich op de hoofdactiviteit risicobeoordeling. Dit betekent dat dit rapport zich beperkt tot de activiteiten 2 en 3 van de plan fase voor het opstellen van een ISMS. ISO bevat ook definities van risicoanalyse, risicobeoordeling en risicoevaluatie. De definities opgenomen in ISO zijn overgenomen uit ISO/IEC Guide (NEN-ISO, 2002). Deze begrippen worden als volgt gedefinieerd: CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 14 van 58
15 CIG Informatiebeveiliging Risicobeoordeling: het proces van risicoanalyse en risico-evaluatie Risicoanalyse: systematisch gebruik van informatie om bronnen te identificeren en risico s in te schatten Risico-evaluatie: proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde risicocriteria om te bepalen in welke mate het risico significant is De gegeven definities wijken enigszins af van de onderverdeling in ISO Dit is een gevolg van het feit dat ISO van een latere datum is dan ISO Zoals in de voorgaande paragraaf al aangegeven zullen wij de term risicoanalyse hanteren voor alle activiteiten vallend onder risicobeoordeling. In dit rapport zijn risicoanalyse en risicobeoordeling synoniem. 2.3 Risicoanalyse in ISO Het onderwerp informatiebeveiliging heeft sinds enkele jaren een afzonderlijke normenreeks in de ISO. De reeks gereserveerd voor informatiebeveiliging is de reeks. De ISO 27001, besproken in de voorgaande paragraaf, heeft als onderwerp het managementsysteem voor informatiebeveiliging. Andere normen in deze reeks behandelen onderdelen van het managementsysteem in detail. ISO (NEN-ISO, 2007) behandelt bijvoorbeeld de maatregelen, de best practices, die opgenomen kunnen zijn in het managementsysteem. ISO bevat dus de maatregelen om de risico s te beheersen (risicobehandeling conform ISO 31000). ISO beschrijft het proces en technieken voor het managen van risico s. Deze meest recente versie van deze norm is opgesteld in Deze versie is uitgebracht nadat ISO is opgesteld. Het risicomanagement proces beschreven in ISO sluit daarom naadloos aan op ISO Dit geldt ook voor de in ISO gehanteerde terminologie. Zoals in de voorgaande paragraaf geconstateerd wijkt ISO daarentegen deels af van ISO Conform de inleiding van ISO biedt de standaard richtlijnen voor het inrichten van informatie risicomanagement. De standaard geeft daarbij vooral invulling aan de eisen die ISO stelt aan dit proces. De standaard geeft echter geen specifieke methode voor het inrichten van het risico management proces zelf. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 15 van 58
16 Het staat een organisatie vrij zelf invulling te geven aan dit proces. CIG Informatiebeveiliging In overeenstemming met ISO definieert ISO een risico als het effect van onzekerheid op doelstellingen. Vanwege deze definitie kunnen risico s zowel een positief effect hebben als ook een negatief effect. Risico s met een positief effect worden vaak ook aangeduid als kansen. De meeste organisaties zullen informatie risicomanagement vooral inzetten voor het managen van risico s met negatieve effecten1. Het meenemen van risico s met positief effect is in het merendeel van de organisaties nog onderbelicht en zal in dit document niet verder aan de orde komen. ISO biedt geen invulling van het proces om te komen tot het raamwerk of proces voor risicomanagement (het linkerdeel van de figuur uit Bijlage 1). Vanuit een abstract standpunt kan ISO beschouwd worden als het middel om invulling te geven aan dat deel van de figuur. ISO beschrijft immers het managementsysteem (het raamwerk) voor het behandelen van risico s in het domein informatiebeveiliging. De processtappen weergeven in het linkerdeel van de figuur kunnen beschouwd worden als het doorlopen van de plan-do-check-act fases van het ISMS voor informatiebeveiliging. Het verkrijgen van commitment is daarbij onderdeel van de start van het opzetten van een ISMS. ISO biedt vervolgens richtlijnen voor de invulling van het proces voor risicomanagement (het rechterdeel van de figuur uit Bijlage 2). ISO bevat een waardevolle, alternatieve weergave van het risicomanagement proces. De weergave in ISO breidt de weergave opgenomen in ISO uit met twee beslispunten: Een beslispunt na de risicobeoordeling Een beslispunt na de risicobehandeling Deze weergave legt de nadruk op het iteratieve karakter van risicomanagement. Na de risicobeoordeling is er een beslispunt waarin bepaald wordt of de risicobeoordeling afdoende is geweest. 1 De nieuwe versie van de ISO27001 (verwacht in 2013) gaat daarom ook in op kansen en niet alleen op bedreigingen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 16 van 58
17 Als deze beoordeling afdoende is, kan overgegaan worden tot risicobehandeling. Als deze beoordeling niet afdoende is, kan de risicobeoordeling nogmaals worden doorlopen. In de volgende iteratie kunnen daarbij andere methodes worden ingezet. Daarnaast kan in een volgende iteratie specifieke risico s in een groter detail worden geanalyseerd. Het beslispunt na risicobehandeling heeft een vergelijkbaar doel. Als na risicobehandeling blijkt dat het restrisico niet acceptabel is, kan in een volgende iteratie het restrisico verder worden gereduceerd. Bijlage 3 geeft een overzicht van ISO De figuur geeft ook aan hoe deze zich verhoudt tot ISO De figuur laat duidelijk zien dat ISO een iteratieve benadering hanteert voor het risicoanalyse proces. ISO introduceert op de beschreven wijze een risicogedreven aanpak in het risicomanagement proces zelf. De iteratieve aanpak biedt namelijk de mogelijkheid om eerst alle risico s in algemene zin in kaart te brengen en vervolgens de grootste risico s in een volgende iteratie in een grotere mate van detail te gaan beoordelen. Het eerste beslispunt in het risicoproces van ISO (zie bijlage 3) wordt daarbij gebruikt om de diepgang van de risicoanalyse te laten variëren. De eerste iteratie zal daarbij gebruik moeten maken van een methode die per risico relatief weinig inspanning vergt. De volgende iteratie zal gebruik maken van een methode waarmee risico s beter beoordeeld kunnen worden, bijvoorbeeld een methode waarbij de omvang van het risico beter geschat kan worden. Deze iteratieve aanpak leidt ertoe dat de organisatie haar inspanning in risicomanagement zal richten op het aanpakken van de voor haar significante risico s. ISO adopteert de processtappen voor risicobeoordeling zoals ook opgenomen in ISO De risicobeoordeling bestaat uit de stappen risicoidentificatie, risicoanalyse (risicoschatting) en risico-evaluatie. Deze stappen worden in het volgende hoofdstuk nader beschreven. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 17 van 58
18 2.4 Overzicht van normen De onderstaande tabel vat de beschrijvingen van de normen uit de voorgaande secties samen. De tabel geeft voor elk van de normen het toepassingsgebied van de norm, de relatie van de norm tot het onderwerp van dit rapport (risicoanalyse) en de processtappen voor de risicoanalyse conform de norm. Norm ISO ISO ISO Toepassings- gebied Risicomanagement Informatiebeveiliging Risicomanagement toegespitst op informatiebeveiliging Relatie tot risicoanalyse Managementsysteem (Raamwerk) en Processtappen Managementsysteem voor beheersing IB risico s Processtappen voor risicomanagement Processtappen Risico-identificatie Risicoanalyse (Risicoschatting in dit rapport) Risicoanalyse (omvat risico-identificatie en risicoschatting) Risico-evaluatie Conform ISO31000 Risico-evaluatie Kort samengevat kan gesteld worden dat ISO samen met ISO invulling geeft aan ISO voor het risicogebied informatiebeveiliging. ISO beschrijft immers een managementsysteem voor het beheersen van het betreffende risicogebied en ISO geeft invulling aan het specifieke proces voor risicobehandeling. ISO kan dus afgebeeld worden op de linkerkant (het raamwerk) van ISO zoals weergegeven in Bijlage 2 en ISO op de rechterkant van dezelfde afbeelding. Het volgende hoofdstuk zal verder ingaan op de verschillende aspecten die in een risicoanalyse moeten worden meegenomen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 18 van 58
19 3 Methodes voor Risicoanalyse Het voorgaande hoofdstuk heeft geleid tot een afbakening van het onderwerp van dit document, namelijk de risicoanalyse als onderdeel van het hele proces voor risicomanagement. Het bevat daarnaast ook een beschrijving van de ISO Dit hoofdstuk richt zich op het beschrijven van verschillende methodes voor het uitvoeren van een risicoanalyse. Uitgangspunt is daarbij dat een methode in principe zou moeten voldoen aan de stappen zoals beschreven in ISO Deze keuze is gebaseerd op het feit dat de ISO serie de de-facto standaard is voor informatiebeveiliging. Deze conclusie heeft ertoe geleid dat de BMTool zich baseert op ISO 27002, de set met maatregelen. Naar analogie hiervan wordt de ISO geadopteerd als standaard voor risicoanalyse. Dit hoofdstuk gaat daarom allereerst verder in op de relevante stappen uit ISO Vervolgens worden een aantal mogelijkheden voor het uitvoeren van risicoanalyses beschreven. Het hoofdstuk eindigt met een overzicht van voor- en nadelen van de gepresenteerde methodes. De vergelijking met ISO evenals het overzicht van voor- en nadelen leidt tot een aantal criteria van een risicoanalyse methode. Leden die nog niet over een methodiek beschikken kunnen deze criteria gebruiken om een methode te kiezen. De gepresenteerde criteria zijn ook de basis voor de opzet van een integrale methode. Deze methode wordt verder uitgewerkt in het volgende hoofdstuk. 3.1 Conformiteit van een risicoanalyse Zoals bovenstaand aangegeven stellen we dat een risicoanalyse methode dient te voldoen aan de richtlijnen voortkomend uit ISO Deze standaard beschrijft vooral de processtappen die onderdeel uitmaken van een adequate risicoanalyse. De belangrijkste eigenschap van een risicoanalyse methode is daarmee conformiteit aan ISO Conformiteit aan ISO definiëren we als de mate waarin een methode alle relevante aspecten van de risicobeoordeling zoals beschreven in ISO invult. Deze sectie werkt dit aspect nader uit. De basis hiervoor is de beschrijving van CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 19 van 58
20 risicoanalyse zoals opgenomen in de ISO De ISO beschrijft de risicoanalyse door voor elk onderdeel de input, de actie en de output weer te geven. De beoordeling van de conformiteit richt zich op het bepalen of alle relevantie acties (activiteiten) daadwerkelijk zijn uitgevoerd. ISO werkt elk van de processtappen van het risicomanagement proces uit in een hoofdstuk. De processtap risicoanalyse is uitgewerkt in hoofdstuk 8 van de standaard. De risicoanalyse is gebaseerd op een dreigingen- en kwetsbaarhedenanalyse. De identificatie van risico s omvat daarom de volgende activiteiten (met bijbehorend hoofdstuk / sectie uit ISO 27005): Identificatie van informatie en informatiehulpmiddelen (assets) (8.2.2) Identificatie van mogelijke dreigingen en bronnen voor deze dreigingen (8.2.3) Identificatie van bestaande maatregelen (8.2.4) Identificatie van kwetsbaarheden (8.2.5) Identificatie van de gevolgen van het optreden van een dreiging die een kwetsbaarheid exploiteert. (8.2.6) Nadat de risico s geïdentificeerd zijn, wordt in de risicoschatting de omvang van de risico s bepaald. De standaard onderscheidt daarbij een kwalitatieve en een kwantitatieve risicoschatting. Een kwalitatieve schatting drukt risico s uit in algemene termen, zoals hoog, middel en laag. De omvang van een risico zal vaak geschat worden door zowel de gevolgen (impact) van een risico als ook de kans op optreden (likelihood) van een risico eerst afzonderlijk te schatten. Vervolgens wordt de omvang van het risico afgeleid uit deze afzonderlijke schattingen gebruik makend van een tabel. Een kwantitatieve risicoanalyse drukt risico s uit in numerieke waardes. Vergelijkbaar met een kwantitatieve risicoanalyse kunnen daarbij ook eerst de gevolgen en de kans op optreden afzonderlijk worden geschat. De omvang volgt dan door de twee uitkomsten van deze schattingen met elkaar te vermenigvuldigen. De laatste stap van de risicoanalyse, de risico-evaluatie, richt zich op het evalueren van de risico s, gebruik makend van de risico evaluatie criteria. Deze stap resulteert in een prioritering van de risico s in lijn met de risico evaluatiecriteria. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 20 van 58
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieAdvies informatiebeveiligings analyse HvA
Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieDit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van
Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die
Nadere informatieEnergiemanagementsysteem
Energiemanagementsysteem BVR Groep B.V. Roosendaal, 20-06-2014. Auteur(s): H. Schrauwen, Energie & Technisch adviseur. Geaccordeerd door: M. Soenessardien,Manager KAM, Personeel & Organisatie Pagina 1
Nadere informatieHoezo dé nieuwe ISO-normen?
De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal
Nadere informatieEnergiemanagement actieplan. Van Schoonhoven Infra BV
BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieEnergiemanagement actieplan. Baggerbedrijf West Friesland
Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet
Nadere informatieNota Risicomanagement en weerstandsvermogen BghU 2018
Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieHANDREIKING RISICOBEOORDELING
HANDREIKING RISICOBEOORDELING INFORMATIEBEVEILIGING VERSIE 1.0 COLOFON InEen, 31 mei 2017 Leden van InEen kunnen dit document voor eigen gebruik vrijelijk kopiëren en bewerken. Anderen kunnen daarvoor
Nadere informatieEnergiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV
Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Nuth,20augustus 2015 Auteur(s): Tom Kitzen Theo Beckers Geaccordeerd door: Serge Vreuls Financieel Directeur C O L O F O N Het format voor dit
Nadere informatieBeschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016
Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatiePROJECTRISICO S EENVOUDIG IN KAART De Project Risico Meter als hulpmiddel
Trefwoorden: projectmanagement, risicomanagement, risico-identificatie PROJECTRISICO S EENVOUDIG IN KAART De Project Risico Meter als hulpmiddel Samenvatting In elke organisatie wordt gewerkt aan projecten.
Nadere informatieEnergie management Actieplan
Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...
Nadere informatieEnergiemanagement actieplan. Koninklijke Bammens
Maarssen, 16 februari 2015 Auteur(s): Niels Helmond Geaccordeerd door: Simon Kragtwijk Directievertegenwoordiger Milieu / Manager Productontwikkeling C O L O F O N Het format voor dit document is opgesteld
Nadere informatieEnergiemanagementprogramma HEVO B.V.
Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieEnergiemanagement actieplan
Energiemanagement actieplan Vandervalk+degroot-groep Waalwijk, 15 oktober 2013 Auteur(s): Arend-Jan Costermans Ed den Breejen Antoine Steentjes Joni Ann Hardenberg Geaccordeerd door: Leo van der Valk Algemeen
Nadere informatieMet veel belangstelling heeft SRA-Bureau Vaktechniek kennisgenomen van het consultatiedocument NBA Handreiking 1141 Data-analyse bij de controle.
NBA Het Bestuur Postbus 7984 1008 AD Amsterdam Consultatie-wet-en-regelgeving@nba.nl Betreft: Reactie op Consultatie Handreiking 1141 Nieuwegein, 14 september 2018 Geachte collegae, Met veel belangstelling
Nadere informatieTevredenheids- en ervaringsonderzoek Wmo over 2010 Klanten hulp bij het huishouden, mantelzorgondersteuning en andere individuele voorzieningen
Tevredenheids- en ervaringsonderzoek Wmo over 2010 Klanten hulp bij het huishouden, mantelzorgondersteuning en andere individuele voorzieningen Gemeente Huizen Inleiding... 3 1. Verantwoording onderzoek...
Nadere informatieRisicomanagement en NARIS gemeente Amsterdam
Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieNota Risicomanagement en Weerstandsvermogen
Nota Risicomanagement en Weerstandsvermogen September 2015 Inhoudsopgave 1. Inleiding... 3 2. Aanleiding... 4 3. Nadere toelichting... 5 4. Doelstellingen en wettelijke kaders... 6 4.1. Doelstellingen...
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieBIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
BIO-Aanpak Kees Hintzbergen, Senior adviseur IB IBD Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Waar gaan we het over hebben Het goede nieuws! Uitgangpunten
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieDuurzaam Vermogensbeheer
Duurzaam Vermogensbeheer Een keuzeafweging Keuze maken, afwegingscriteria Wat zijn de mogelijke afwegingscriteria bij het maken van een keuze uit de mogelijke oplossingen binnen het beleggingsbeleid. Versie:2001-11-02
Nadere informatieEnergiemanagement Actieplan 1.A.1-1.A.2-1.A.3 2.A.1-2.A.2-2.A.3 2.C.2 3.B.2
1.A.1-1.A.2-1.A.3 2.A.1-2.A.2-2.A.3 2.C.2 3.B.2 Opdrachtgever Van der Waal & Partners B.V. Colofon Opdrachtgever Van der Waal & Partners B.V. Projectnaam Energiemanagement Actieplan Projectnummer 9222
Nadere informatieBeschrijving van de generieke norm: ISO 9001:2015. Grafimedia en Creatieve Industrie. Versie: augustus 2016
Beschrijving van de generieke norm: ISO 9001:2015 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) Dit is een uitgave van de SCGM. 2017, Branche, Boeingavenue 2017,
Nadere informatieMocht u vragen hebben dan kunt u mij op bovenstaande telefoonnummer bereiken.
Mark Touwen Oostelijk Halfrond 55 1183EN Amstelveen Tel. : 06-48318963 e-mail : mrtouwen@gmail.com NAW Amstelveen, 8 juli 2012 Geachte heer., Als bijlage vindt u een model dat risicomanagement bij ERP
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieAudit Assurance bij het Applicatiepakket Interne Modellen Solvency II
Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)
Nadere informatie3 manieren om je risico analyses te verbeteren
Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken
Nadere informatieDe beheerrisico s van architectuur
De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich
Nadere informatieDe ISO High Level Structure (HLS) en de nieuwe ISO 22000
De ISO High Level Structure (HLS) en de nieuwe ISO 22000 26 september 2018 Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl Welke onderwerpen kunt u
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieLaat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014
Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging
Nadere informatieINFORMATIEVEILIGHEID een uitdaging van ons allemaal
INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieOrganisatieprestatiescan. Deze techniek wordt gebruikt in de focus- en analysefase bij het analyseren van de huidige situatie.
1 Bijlage 2 De organisatieprestatiescan Techniek: Organisatieprestatiescan Toepassingsgebied: Achtergrond: Deze techniek wordt gebruikt in de focus- en analysefase bij het analyseren van de huidige situatie.
Nadere informatieDe nieuwe ISO norm 2015 Wat nu?!
De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar
Nadere informatieDe essentie van projectmatigwerken
De essentie van projectmatigwerken Beleidsmedewerkers, lijnmanagers en interne projectleiders hebben steeds vaker een rol in een project. Zij zijn projectleider, zitten in een stuurgroep, zijn opdrachtgever,
Nadere informatieFS150422.7A. A: Beschrijving van de voorgestelde werkwijze B: Toelichting op het MSP en identificatie proces
FS150422.7A FORUM STANDAARDISATIE 22 april 2015 Agendapunt: 7. Internationaal Stuk 7A. Notitie omgang met standaarden van het Europese Multistakeholder Platform on ICT Standardisation Bijlage A: Beschrijving
Nadere informatieDit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in
Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in opdracht naar toe kan worden gewerkt (Soll) . 2 . 3 Het BIR
Nadere informatieResultaat Toetsing TNO Lean and Green Awards
ID Naam Koploper Datum toetsing 174 M. Van Happen Transport BV 2-4-2012 Toetsingscriteria 1. Inhoud en breedte besparingen 2. Nulmeting en meetmethode 3. Haalbaarheid minimaal 20% CO2-besparing na 5 jaar
Nadere informatieFunctiepuntanalyse. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
Functiepuntanalyse Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 WAT
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj
BUSINESS CASE: Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum: LET OP: De bedragen in deze business case zijn schattingen op grond van de nu beschikbare kennis en feiten.
Nadere informatieDe invloed van Vertrouwen, Relatietevredenheid en Commitment op Customer retention
De invloed van Vertrouwen, Relatietevredenheid en Commitment op Customer retention Samenvatting Wesley Brandes MSc Introductie Het succes van CRM is volgens Bauer, Grether en Leach (2002) afhankelijk van
Nadere informatieGrip op Secure Software Development
Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG
Nadere informatieBerenschot. Evaluatie wet VTH. Op weg naar een volwassen stelsel BIJLAGE 3 ANALYSE FINANCIËLE RATIO S OMGEVINGSDIENSTEN
Berenschot Evaluatie wet VTH Op weg naar een volwassen stelsel BIJLAGE 3 ANALYSE FINANCIËLE RATIO S OMGEVINGSDIENSTEN 22 mei 2017 Bijlage 3. Analyse financiële ratio s omgevingsdiensten Inleiding In deze
Nadere informatieAan de raad van de gemeente Lingewaard
6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieThema 2: aanschaf en gebruik van e-healthtoepassingen
Checklist verantwoord e-health inzetten op basis van proefbezoeken Inspectie Gezondheidszorg en Jeugd Auteurs: Maartje van Hees (ExceptionAll) en Foppe Rauwerda (Beeldzorgadvies) Versie 1.0, 3 juli 2018
Nadere informatieISO9001:2015, in vogelvlucht. Door Tjarko Vrugt
ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieBalanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE
Nadere informatieIN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM
IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...
Nadere informatieCompetenties met indicatoren bachelor Civiele Techniek.
Competenties met indicatoren bachelor Civiele Techniek. In de BEROEPSCOMPETENTIES CIVIELE TECHNIEK 1 2, zijn de specifieke beroepscompetenties geformuleerd overeenkomstig de indeling van het beroepenveld.
Nadere informatie4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.
ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem
Nadere informatieSecurity Health Check
Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security
Nadere informatieReadiness Assessment ISMS
Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC
Nadere informatieDe Businesscase Light
De Businesscase Light Instrument om de kansen voor verbeteringen en innovatie in de dagelijkse zorg thuis in te schatten en in te voeren De Businesscase Light is een instrument om de kansen en de sterke
Nadere informatieProgramma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement
Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl 2www.risicomanagementacademie.nl Risicomanagement modellen Verscheidenheid normen
Nadere informatie6. Project management
6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,
Nadere informatieDE CAPABILITEIT VAN HET KWALITEITSSYSTEEM
Kwaliteit in Bedrijf oktober 0 Tweede deel van tweeluik over de toenemende rol van kwaliteit DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM Om de gewenste kwaliteit te kunnen realiseren investeren organisaties
Nadere informatieIntroductie OHSAS 18001
Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational
Nadere informatieEnergiemanagement Actieplan
1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE
Nadere informatieINVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY
INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het
Nadere informatieVoorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie
Nadere informatieRisico Reductie Overzicht
Risico Reductie Overzicht Handleiding Auteurs Hellen Havinga en Olivier Sessink Datum 7 juli 2014 Versie 1.0 Inhoudsopgave 1.Risico Reductie Overzicht in vogelvlucht...4 2.Wie kan Wat met een Risico Reductie
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieDe nieuwe ISO-normen: evolutie of revolutie?
De nieuwe ISO-normen: evolutie of revolutie? Een goede voorbereiding is het halve werk Wordt de overgang van ISO 9001:2008 naar ISO 9001:2015 voor u een evolutie of een revolutie? In 2000 hadden de wijzigingen
Nadere informatieVergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015
ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International
Nadere informatieWel of niet certificatie? K. de Jongh
K. de Jongh Tijdsduur: 30 minuten Certificatie; ondermeer status 2015 versies De nieuwe norm; HLS en 2015 versies Voorbeelden uit de praktijk HLS en 2015 versies in de praktijk Conclusies? 9-3-2015 2 Certificatie:
Nadere informatieISO 14001:2015 Readiness Review
ISO 14001:2015 Readiness Review Organisatie Adres Certificaat Nr. Contactpersoon Functie Telefoon Email BSI is vastbesloten ervoor te zorgen dat klanten die willen certificeren op ISO 14001:2015 een soepele
Nadere informatiePinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening
PinkSCAN Verbeter de kwaliteit van uw IT dienstverlening De business stelt steeds hogere eisen aan de kwaliteit van de IT dienstverlening. Nieuwe service modellen vereisen aanpassingen in de wijze waarop
Nadere informatieBrandveiligheidsanalyse DJI
Brandveiligheidsanalyse DJI aangepast voor toepassing Geen Nood Bij Brand voor niet DJI Datum 16-07-2018 Status Concept Status Concept Datum vaststelling - door - Opmerking laatste wijziging - datum -
Nadere informatieAVG Routeplanner voor woningcorporaties
AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere
Nadere informatieAgendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.
Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met
Nadere informatieInformatiebeveiligingsbeleid Zorgbalans
Informatiebeveiligingsbeleid Zorgbalans Document kenmerken Titel: Informatiebeveiligingsbeleid Zorgbalans Versie: 0.4 Status: Onder voorbehoud van wijzigingen vanuit medezeggenschap Inhoudsopgave 1 Informatiebeveiliging...
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieProspectieve risicoinventarisatie
Jeannette Knol, Eric Masseus adviseurs kwaliteit Prospectieve risicoinventarisatie SAFER, (H)FMEA Definitie Voorspellende analysemethode om onveilige situaties (risico s) te inventariseren en preventief
Nadere informatieInformatiebeveiliging als proces
Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieRoy Verstegen. Managementenergie Actieplan
Roy Verstegen Managementenergie Actieplan 1. Inleiding In dit document worden de concrete CO2-reductiemaatregelen en reductiedoelstellingen van het Roy Verstegen B.V. beschreven. De voortgang met betrekking
Nadere informatieProtocol melding en afhandeling beveiligings- of datalek, versie oktober 2018
Protocol melding en afhandeling beveiligings- of datalek, versie 1.1 19 oktober 2018 1 Protocol Melding en afhandeling beveiligings- of datalek 1. Inleiding De achtergrond van deze procedure is de Meldplicht
Nadere informatieReferentieniveaus uitgelegd. 1S - rekenen Vaardigheden referentieniveau 1S rekenen. 1F - rekenen Vaardigheden referentieniveau 1F rekenen
Referentieniveaus uitgelegd De beschrijvingen zijn gebaseerd op het Referentiekader taal en rekenen'. In 'Referentieniveaus uitgelegd' zijn de niveaus voor de verschillende sectoren goed zichtbaar. Door
Nadere informatieFysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieDNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te
Nadere informatieenergiemanagement & kwaliteitsmanagement
Energiemanagement Programma & managementsysteem Het beschrijven van het energiemanagement en kwaliteitsmanagementplan (zoals vermeld in de norm, voor ons managementsysteem). 1 Inleiding Maatschappelijk
Nadere informatie