Pragmatische informatiebeveiliging risicoanalyses binnen (middel)grote organisaties
|
|
- Nathalie Mulder
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Pragmatische informatiebeveiliging risicoanalyses binnen (middel)grote organisaties PvIB, 29 september 2009 Eric Verheul nl.pwc.com] 1 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 2 1
2 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 3 Introductie Mijn achtergrond ISO Lead auditor ETSI TS Lead auditor ISO implementatie projectleider Deeltijd hoogleraar binnen de digital security group van de Radboud Universiteit, docent masters vak Security in Organisations 4 2
3 Introductie Teamleden Ir. Jeroen Prins Fook Hwa Tan MSc Ir. Bart Witteman Dr. Peter van Rossum Drs. Gerhard de Koning Gans 5 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 6 3
4 ISO eisen aan risicobeoordeling ISO achtergrond 7 ISO eisen aan risicobeoordeling ISO achtergrond Plan: definieer ISMS informatiebeveiliging (ISMS) beleid scope bepaal assets ( alles van waarde voor de organisatie ) benadering voor risicobeoordeling management processen selecteer maatregelen middels risicobeoordeling [VvT, RT] bepaal hoe de effectiviteit van maatregelen gemeten kan worden Do: implementeer management processen implementeer geselecteerde maatregelen Check: interne reviews van management processen interne reviews van geselecteerde maatregelen Act: voer management review uit (e.g. gebaseerd op beveiligingsincidenten, effective measurements, audits) stel ISMS bij 8 ISMS Handbook ISO
5 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis 4.2.1c) Vaststellen welke benadering voor risicobeoordeling wordt gekozen in de organisatie. 1) Een methodologie voor risicobeoordeling vaststellen die is afgestemd op het ISMS, maar ook op de geïdentificeerde eisen voor beveiliging van bedrijfsinformatie en eisen uit weten regelgeving. 2) Criteria ontwikkelen voor de aanvaarding van risico's en vaststellen welke risiconiveaus aanvaardbaar zijn ( risk appetite ) De gekozen methoden voor risicobeoordeling moeten bewerkstelligen dat risicobeoordelingen vergelijkbare en herhaalbare resultaten leveren. ISO auditor: er dient een gedocumenteerde methode te zijn; risk appetite dient te zijn bepaald. 9 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis 4.2.1d): Risico's identificeren. 1) De bedrijfsmiddelen identificeren die binnen de reikwijdte van het ISMS vallen en wie de verantwoordelijke eigenaren van deze bedrijfsmiddelen zijn. 2) De bedreigingen voor deze bedrijfsmiddelen identificeren. 3) De zwakke plekken identificeren die vatbaar kunnen zijn voor de bedreigingen. 4) De mogelijke gevolgen identificeren die verlies van vertrouwelijkheid, integriteit en beschikbaarheid kunnen hebben voor de bedrijfsmiddelen ISO auditor: De methodologie dient assets, bedreigingen, kwetsbaarheden, risico s en impacts omvatten. 10 5
6 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis e): De risico's analyseren en beoordelen. 1) Beoordelen welke schade de organisatie waarschijnlijk zal ondervinden als gevolg van een beveiligingsstoring, rekening houdend met de gevolgen als de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsmiddelen worden geschonden. 2) Beoordeling van de waarschijnlijkheid dat een beveiligingsstoring optreedt in het licht van de aanwezige bedreigingen en kwetsbaarheden, en gevolgen voor deze bedrijfsmiddelen, en de huidige getroffen beheersmaatregelen. 3) Een inschatting maken van de risiconiveaus. 4) Vaststellen of de risico's aanvaardbaar zijn of behandeling vereisen aan de hand van de criteria voor risicoaanvaarding die in 4.2.1c) zijn vastgesteld. ISO auditor: geprioritiseerde risico s dienen vastgesteld te zijn; bekend moet zijn welke behandeling behoeven. 11 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis f): Opties voor de behandeling van de risico's identificeren en beoordelen. Opties: toepassen maatregelen, accepteren van risico s, risico s vermijden of overdragen van risico s. Eis 4.2.1g): Beheersdoelstellingen en maatregelen voor de behandeling van de risico's kiezen. Eis 4.2.1h) Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico's. ISO auditor: acceptatie, vermijding, overdragen van risico s of maatregelen. Acceptatie restrisico s door management. 12 6
7 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 13 Onze invulling van de ISO risicobeoordeling Definities van informatiebeveiliging Preservation of confidentiality, integrity and availability of information (ISO 27002). The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability (NIST). The condition in which confidentiality, integrity and availability of information and information technology are protected by appropriate safeguards. (BSI). Vreemd genoeg maakt het cruciale begrip risico geen deel uit van deze definities. 14 7
8 Onze invulling van de ISO risicobeoordeling Alternatieve definitie van IB Het voldoende beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen de mogelijke manifestatie van bedreigingen. 15 Onze invulling van de ISO risicobeoordeling Alternatieve definitie van IB Het voldoende beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen de mogelijke manifestatie van bedreigingen. Risicobeoordeling Dreiging #1 Dreiging #2 Dreiging #3 Dreiging #4 Dreiging #m Kwetsbaarheid #1 Kwetsbaarheid #2 Kwetsbaarheid #3 Kwetsbaarheid #4 Risico paden (scenario s) Kwetsbaarheid #n 16 8
9 Onze invulling van de ISO risicobeoordeling Alternatieve definitie van IB Het voldoende beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen de mogelijke manifestatie van bedreigingen. Risicobeoordeling Maatregelen Dreiging #1 Kwetsbaarheid #1 Dreiging #2 Kwetsbaarheid #2 Dreiging #3 Dreiging #4 Dreiging #m Kwetsbaarheid #3 Kwetsbaarheid #4 Risico paden (scenario s) Kwetsbaarheid #n 17 Risico s Onze invulling van de ISO risicobeoordeling BIAs & RATs Kritische systemen Facturering CRM Telefoon ERP Document management Treasury.. Baseline beveiliging 18 9
10 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment 5. Risk acceptance 6. Documentation/communication 7. Risk monitoring Bron: ISO Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment Determine legal requirements Determine scope and boundaries Determine dependencies with other systems
11 Onze invulling van de ISO risicobeoordeling Risico beoordeling Scope Dependencies with other systems Verbonden informatiesystemen Afdeling #1 Manager #1 Afdeling #2 Manager #2 Afdeling #3 Manager #3 Bedrijf Proces #1 info Bedrijf Proces #2 info Bedrijf Proces #3 Informatie Systeem #1 Opleggen van eisen Network Opleggen van eisen Informatie Systeem #2 Informatie Systeem #3 21 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment Identify assets (= familiarize with system) Identify threats Identify vulnerabilities Relate existing controls (baselines in our setting) Determine consequences (Risk paths) Threats may be of natural or human origin
12 Onze invulling van de ISO risicobeoordeling Natuurlijke dreiging voorbeelden 23 Source: BSI IT-Grundschutz-Catalogues Onze invulling van de ISO risicobeoordeling Menselijke dreiging voorbeelden Source: NIST SP
13 Onze invulling van de ISO risicobeoordeling Voorbeelden van kwetsbaarheden 25 Source: ISO Onze invulling van de ISO risicobeoordeling Voorbeelden van kwetsbaarheden Als alternatief kun je kwetsbaarheden ook direct relateren aan de 11 ISO hoofdstukken. H ISO Beveiligingsbeleid Beveiligingsorganisatie Classificatie en beheer van bedrijfsmiddelen Beveiligingseisen ten aanzien van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Ontwikkeling en onderhoud van systemen Incidentmanagement Continuïteitsmanagement Naleving 26 Voorbeeld topics Nieuwe technologie zonder beleid? Issues rond IB organisatie? Speciale assets in gebruik? Speciale PZ attentiepunten? Issues rond fysieke- and omgevingsbeveiliging? Issues rond beheer? Issues rond toegangsbeveiliging? Issues rond implementeren van informatiebeveiligng in software lifecycle? Speciale gebeurtenissen die gemonitord moeten worden? Speciale issues rond BCM? Speciale juridische eisen? 13
14 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation Prioritize risks (risk paths) Determine the real risks - Estimation could be qualitative or quantitative (e.g. based on historic data). - In practice one uses qualitative estimations. 27 Onze invulling van de ISO risicobeoordeling Guestimates of risk paths Orange = risk appetite boundary 28 14
15 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment Risks can be accepted Risks can be avoided Risks can be transferred Risks can treated with controls 29 Illustratie Electronic banking case op Security in Organisations website:
16 Onze invulling van de ISO risicobeoordeling Risk estimation/evaluation Medium Risico: Hoog Risico: Impact Mr. X pleegt fraude door Clieop aanpassing op zijn PC Onbekende pleegt fraude door Clieop aanpassing op Mr. X s PC Laag Risico: Interne medewerkers lezen declaratie gegevens Uit Clieop op mr. X s PC Medium Risico: Betalingsgegevens van het bedrijf worden commercieel benut 31 Kans Onze invulling van de ISO risicobeoordeling Risk Treatment Medium Risico: Hoog Risico: Impact Mr. X pleegt fraude door Clieop aanpassing op zijn PC Maatregel: toepassen controle in EB pakket Onbekende pleegt fraude door Clieop aanpassing op Mr. X s PC Maatregel: toepassen controle in EB pakket Laag Risico: Medium Risico: Interne medewerkers lezen declaratie gegevens Uit Clieop op mr. X s PC Acceptatie 32 Betalingsgegevens van het bedrijf worden commercieel benut Avoid: geen externen op de PC van Mr. X Kans 16
17 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment 5. Risk acceptance After risk treatment a risk revaluation should be performed. Risk treatment (residual risks) must be accepted by management. 33 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment 5. Risk acceptance 6. Documentation/communication 7. Risk monitoring The risk process should be documented, and periodically reassessed
18 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 35 (Software) tools voor risicobeoordeling Risicobeoordeling workshops De scope van risicobeoordelingen betreffen in onze opzet informatiesystemen/infrastructuren die al door een eerste schifting heen zijn. Bij de risicobeoordeling hoeven we alleen te kijken naar additionele maatregelen. We maken Excel spreadsheets op maat voor de organisatie in kwestie en zorgen dat de juiste bedreigingen en kwetsbaarheden zijn opgetekend op basis van ervaring, creativiteit, ISO 27005, NIST SP en de BSI IT- Grundschutz-Catalogues. Ruw voorbeeld Excel spreadsheet op de Security in Organisations website. Risicobeoordeling vindt plaats in een workshop van een dagdeel
19 (Software) tools voor risicobeoordeling Risicobeoordeling workshops Het is cruciaal dat de juiste mensen bij de workshop zijn: zij die de technische karakteristieken van het systeem kennen, zij die bestaande beveiligingsmaatregelen kennen, zij die de bedrijfsprocessen kennen waarbij het systeem wordt ingezet. Neem de rust om het systeem voldoende te leren kennen. Wees niet te ambitieus: streef er alleen naar om bedreigingen, kwetsbaarheden en risico s te vinden die (onbewust) in de hoofden van de workshopdeelnemers zitten. Stel prikkelende vragen, en neem beveiligingsincidenten en audits mee. Als buitenstaander heb je het voordeel makkelijk domme vragen te kunnen stellen (die vaak het belangrijkst zijn). En, risicobeoordeling moet ook gewoon leuk zijn (virtueel hacken) 37 (Software) tools voor risicobeoordeling Risicobeoordeling software Risicobeoordeling software faciliteert dat het proces reproduceerbaar is en het vereenvoudigt het documentatie proces. Maar risicobeoordeling software introduceert ook risico s: dat je teveel tijd bezig bent met het leren van de tool zelf, dat je teveel tijd bezig bent keuzen te maken die niet relevant zijn, dat de risicobeoordeling een mechanisch vink proces wordt zonder dat men zelf nog nadenkt. Op staat een overzicht van risicobeoordeling software. Uit een informeel onderzoekje dat wij deden op basis van dit overzicht kwamen IRAM (nu RAW) van het ISF en EBIOS (gratis) het beste uit de bus. De Excel sheets die wij gebruiken voldoen met enige tuning voor de meeste middelgrote bedrijven volgens mij ook
20 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 39 20
Seriously Seeking Security
Seriously Seeking Security The Quest for the Holy Grail? Aart Bitter 27 november 2007 SBIT congres: Taking Security Seriously Aart.Bitter@information-security-governance.com Agenda Taking Security Seriously
Nadere informatieReadiness Assessment ISMS
Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC
Nadere informatieGeen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.
Geen ISO 27001 zonder pragmatiek! Implementeren van een ISMS, niets nieuws. Agenda Introductie Beveiligingsproces Framework (ISO 27001) IB organisatie en processen ISMS informatiesysteem Lessons learned
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieDe maatregelen in de komende NEN Beer Franken
De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m
Nadere informatieWat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant
Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieISO17799 & Risicoanalyse: Vrienden of Vijanden?
ISO17799 & Risicoanalyse: Vrienden of Vijanden? Aart Bitter 20 september 2007 Aart.Bitter@information-security-governance.com Agenda Hoe wordt een goede risico analyse uitgevoerd? Risico s maatregelen
Nadere informatieRisk & Requirements Based Testing
Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie
Nadere informatieHoe implementeer je de NEN7510?
Hoe implementeer je de NEN7510? Inspiratiesessie NEN 7510 / ISO 27001 Aart Bitter, 12 september 2012 www.information-security-governance.com Keep It Simple (1) Doe een risicoanalyse en kies beveiligingsmaatregelen
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatieWho are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL
Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness
Nadere informatieInformation security officer: Where to start?
1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieInformatiebeveiliging & ISO/IEC 27001:2013
Informatiebeveiliging & ISO/IEC 27001:2013 Aart Bitter Haarlem, 18 maart 2014 Kwaliteitskring Noord-Holland www.information-security-governance.com Agenda 13:45-14:15 - Informatiebeveiliging Introductie
Nadere informatieInformatiebeveiliging & Privacy - by Design
Informatiebeveiliging & Privacy - by Design Steven Debets Verdonck, Klooster & Associates Even voorstellen e steven.debets@vka.nl m 0651588927 Informatiebeveiliging Informatiebeveiliging houdt zich bezig
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatieIncidenten in de Cloud. De visie van een Cloud-Provider
Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieNEN 7510: een ergernis of een hulpmiddel?
NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens
Nadere informatieSlide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof
Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld
Nadere informatieArchitecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security
Architecten-debat 21 juni 2006 PI GvIB Themamiddag Renato Kuiper Principal Consultant Information Security 1 De spreker Principal Consultant Information Security Hoofdredacteur Informatiebeveiliging 15
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieISO 9001: Business in Control 2.0
ISO 9001: 2015 Business in Control 2.0 Waarom Geintegreerd toepassen verschillende management normen Betere aansluiting normen op de strategie; zorgen voor een goede inbedding in de bedrijfsvoering WAAROM
Nadere informatieISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007
ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieCursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014
Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC Inhoud Toelichting
Nadere informatieDe nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1
De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC Standards and Regulations 1 Agenda 1. Schoten voor de boeg 2. Nut van de NEN7510 3. Uitgangspunten
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatieDisclosure belangen spreker
Disclosure belangen spreker (potentiële) belangenverstrengeling Voor bijeenkomst mogelijk relevante relaties met bedrijven Sponsoring of onderzoeksgeld Honorarium of andere (financiële) vergoeding Aandeelhouder
Nadere informatieBUSINESS RISK MANAGEMENT
BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3
Nadere informatieMissie organisatie scope status 2015 ketenborging.nl
Missie organisatie scope status 2015 ketenborging.nl Inhoud Missie, Organisatie & Scope Certificatieproces FSSC 22000-Q module Status Ketenborging.nl Integriteitsprogramma Onaangekondigde audits Productintegriteit
Nadere informatieMaster Class Risicoanalyse PvIB
Master Class Risicoanalyse PvIB oktober 2009 Jacques A. Cazemier jacques.cazemier@vka.nl Jacques A. Cazemier IT sinds 1975 Digitale elektronica Technisch (F-16, Jovial J3B2, Atlas) Administratief (Mimer
Nadere informatieCompliance risicoanalyse
Compliance risicoanalyse Leergang Compliance Professional 10 januari 2018 dr. mr. ir. Richard Hoff 1 2 3 4 Organisatie - een geheel van mensen en middelen dat bepaalde doelen wenst te bereiken doelen stellen
Nadere informatieINFORMATIEVEILIGHEID een uitdaging van ons allemaal
INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieControl driven cyber defense
Control driven cyber defense An introduction to 20 critical security controls for effective cyber defense ferdinand.hagethorn@snow.nl Engineer Agenda Informatiebeveiliging & IT-security Een technische
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieNS in beweging, Security als business enabler september 2008
NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie: April 2019 5. Beoogd gebruik Product/dienst A is ontworpen
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieImplementeren van complianceen risicomanagement met Panoptys
Implementeren van complianceen risicomanagement met Panoptys Michiel Bareman 11 september 2014 1 Panoptys is alziend Argus Panoptys was een reus uit de Griekse mythologie die over zijn gehele lichaam honderd
Nadere informatieFOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 25/2/2016. Biocide CLOSED CIRCUIT
1 25/2/2016 Biocide CLOSED CIRCUIT 2 Regulatory background and scope Biocidal products regulation (EU) nr. 528/2012 (BPR), art. 19 (4): A biocidal product shall not be authorised for making available on
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatiePrivacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer
Privacy & Data event 18 mei 2017 Privacy by Design Jan Rochat, Chief Technology Officer Wie ben ik? Ik heb wél iets te verbergen Toegepaste cryptografie & Security Rochat's view on Security: https://janrochat.wordpress.com
Nadere informatieBijlage IV Een betrouwbare internetstemvoorziening en de onderbouwing daarvan voor het publiek
Bijlage IV Een betrouwbare internetstemvoorziening en de onderbouwing daarvan voor het publiek 1. Achtergrond en aanleiding Vertrouwen van burgers in het verkiezingproces is een grondwettelijk fundament
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieInformatieveiligheid, de praktische aanpak
Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie
Nadere informatiePreserva'on metadata voor cer'ficering van Trusted Digital Repositories
Preserva'on metadata voor cer'ficering van Trusted Digital Repositories Paula Witkamp Data Archiving and Networked Services paula.witkamp@dans.knaw.nl Wat is DANS Het data archief Duurzame toegang Rol
Nadere informatieISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1
ISO/IEC 38500 Governance of InformationTechnology Yvette Backer ASL BiSL Foundation 16 juni 2016 ISO 38500 Governance of Information Technoloy 1 Achtergrond Yvette Backer Zelfstandig consultant en trainer,
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieHANDREIKING RISICOBEOORDELING
HANDREIKING RISICOBEOORDELING INFORMATIEBEVEILIGING VERSIE 1.0 COLOFON InEen, 31 mei 2017 Leden van InEen kunnen dit document voor eigen gebruik vrijelijk kopiëren en bewerken. Anderen kunnen daarvoor
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieIntroductie OHSAS 18001
Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational
Nadere informatieAgenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017
Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid
Nadere informatieHet wat en hoe van risicomanagement. LOKmml-bijeenkomst donderdag 24 maart 2016
Het wat en hoe van risicomanagement LOKmml-bijeenkomst donderdag 24 maart 2016 Opbouw presentatie Introductie Douwe Meetsma Normvereisten uit ISO 15189 en context Wat is Risico management Operationeel
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieBIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
BIO-Aanpak Kees Hintzbergen, Senior adviseur IB IBD Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Waar gaan we het over hebben Het goede nieuws! Uitgangpunten
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieLIO NOREA bijeenkomst 4 februari 2019
LIO NOREA bijeenkomst 4 februari 2019 DNB meting inzake informatiebeveiliging door Self Assessments CZ 4-2-2019 "Het COBIT model is net een set winterbanden" Soms doen ze wat maar echt nodig heb je ze
Nadere informatieSecurity Awareness Sessie FITZME, tbv de coaches
Security Awareness Sessie FITZME, tbv de coaches 21 mei 2019 Bart van der Kallen, CISM, CIPP/E AGENDA Wie ik ben Aanleiding voor deze sessie De norm: NEN 7510 / ISO 27001 De (invulling van de) komende
Nadere informatieTon van Bergeijk Standardization Consultant IT & Telecom Nederlands Normalisatie-instituut
Ton van Bergeijk Standardization Consultant IT & Telecom Nederlands Normalisatie-instituut Ede, 11 mei 2006 Fundamentele normen voor computerruimtes 1 (c) Copyright [2005], Nederlands Normalisatie-instituut,
Nadere informatieWorking capital management. De toenemende druk op Credit Control
Working capital management De toenemende druk op Credit Control Content Introductie (5 slides) Stelling Het dilemma van Credit Control Wat is werk kapitaal Positie Credit Control binnen de onderneming
Nadere informatiePublished in: Onderwijs Research Dagen 2013 (ORD2013), mei 2013, Brussel, Belgie
Samenwerkend leren van leerkrachten : leeropbrengsten gerelateerd aan activiteiten en foci van samenwerking Doppenberg, J.J.; den Brok, P.J.; Bakx, A.W.E.A. Published in: Onderwijs Research Dagen 2013
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieGeneral info on using shopping carts with Ingenico epayments
Inhoudsopgave 1. Disclaimer 2. What is a PSPID? 3. What is an API user? How is it different from other users? 4. What is an operation code? And should I choose "Authorisation" or "Sale"? 5. What is an
Nadere informatieIdentity & Access Management & Cloud Computing
Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information
Nadere informatieCode of Conduct CSR certificering
Code of Conduct CSR certificering 1 Opzet van de training 1. Introductie 2. Context van het programma 3. 4. Certificatie traject 5. Vragen 2 Introductie Doel van de training Na afloop in staat zijn om:
Nadere informatieCopyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see
op basis van ISO27002 Courseware 2017 Van Haren Publishing Colofon Titel: op basis van ISO 27002 Courseware Auteurs: Hans Baars, Jule Hintzbergen, André Smulders en Kees Hintzbergen Uitgever: Van Haren
Nadere informatieGDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering
GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering FLAGIS Studienamiddag Donderdag 15 maart 2018 - Leuven - KU Leuven Ivan Stuer Afdelingshoofd IT Informatie Vlaanderen
Nadere informatieLaat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014
Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging
Nadere informatieIT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieVeilig mobiel werken. Workshop VIAG 7 oktober 2013
1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde
Nadere informatieISO/IEC in een veranderende IT wereld
ISO/IEC 20000 in een veranderende IT wereld Dolf van der Haven, Verizon Enterprise Solutions 16 juni 2016 ISO/IEC 20000 in een veranderende IT wereld 1 Achtergrond Dolf van der Haven ITSM Guru with a Human
Nadere informatieWORKSHOP MONARC (GEOPTIMALISEERDE RISICOANALYSEMETHODE CASES)
WORKSHOP MONARC (GEOPTIMALISEERDE RISICOANALYSEMETHODE CASES) OPLEIDING MONARC V2.0 19 SEPTEMBER 2018 VERTALING EN UPDATE UITGEVOERD DOOR PETER GEELEN @ CCB SECURITYMADEIN.LU Juridische vorm: E.S.V. (Economisch
Nadere informatieUNECE/UNESCAP Workshop on. Electronic Trade Documents. Ulaanbaatar, Mongolia, October 2009
/UNESCAP Workshop on Electronic Trade Documents Ulaanbaatar, Mongolia, October 2009 Presentation Need for digital paper documents Developing Electronic documents for SW Using Digital Paper in Supply Chains
Nadere informatieBeleidslijn informatieveiligheid en privacy Draadloze netwerken
Beleidslijn informatieveiligheid & privacy : Beleidslijn informatieveiligheid en privacy Draadloze netwerken (BLD WIREL) INHOUDSOPGAVE 1. INLEIDING... 3 2. VEILIGE DRAADLOZE NETWERKEN... 3 BIJLAGE A: DOCUMENTBEHEER...
Nadere informatieTijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief
Tijd voor verandering: Lean Security Simpeler, sneller, goedkoper, flexibeler en toch effectief Lean Security Mei 2013 Informatiebeveiliging Het inrichten van informa>ebeveiliging blijkt iedere keer weer
Nadere informatieDigital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services
Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf
Nadere informatieContinuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes
Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatie2 e webinar herziening ISO 14001
2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar
Nadere informatieINFORMATIEBIJEENKOMST 20 september 2016
INFORMATIEBIJEENKOMST 20 september 2016 Programma 19.00 uur Ontvangst en welkom 19.15 uur Welkomstwoord - Arjen Buit 19.30 uur Wet bescherming persoonsgegevens en meldplicht datalekken - Lucas Vousten
Nadere informatieStakeholders in ISO 9001:2015 Alleen de klanten is al moeilijk genoeg!
Stakeholders in ISO 9001:2015 Alleen de klanten is al moeilijk genoeg! Bob Alisic ActinQ V 1.5 bob.alisic@actinq.nl 1 Wie zijn de stakeholders van een organisatie? Definitie volgens ISO 9000:2005 Interested
Nadere informatie