Standaarden, is door de bomen het bos nog te zien?
|
|
- Christel Maes
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Standaarden, is door de bomen het bos nog te zien? Datum : Status : Definitief Teamnummer : 922 Studenten : Mark van der Beek, Ranil Korf en Hendrik Jan Smit Begeleider : Bart Bokhorst RE RA 1
2 Inhoudsopgave Hoofdstuk 1: Onderzoeksopzet Inleiding Onderzoeksvraag + deelvragen Overwegingen Methode De expertbrief Opbouw theorieonderzoek... 5 Hoofdstuk 2: ISO Inleiding ISO en Informatiebeveiliging... 6 Hoofdstuk 3: NIST Inleiding NIST en Informatiebeveiliging... 8 Hoofdstuk 4: ISF Inleiding ISF en Informatiebeveiliging Hoofdstuk 5: CoBiT Inleiding Het raamwerk Hoofdstuk 6: Vergelijking ISO / NIST / ISF / CoBiT Selectiecriteria Breedte criterium Overall conclusie Hoofdstuk 7: Vergelijking ISO en NIST SP Samenvatting van ISO onderwerpen versus NIST SP onderwerpen Vergelijking in detail ISO Hoofdstuk 6: Organisatie van informatiebeveiliging ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen ISO Hoofdstuk 8: Beveiliging van personeel ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen ISO Hoofdstuk 11: Toegangsbeveiliging ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen ISO Hoofdstuk 13: Information security incident management ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer ISO Hoofdstuk 15: Compliance Conclusie Hoofdstuk 8: Conclusies en reflectie Conclusies Beantwoording deelvraag Beantwoording deelvraag Beantwoording deelvraag Beantwoording deelvraag Overall conclusie Vervolgonderzoek Reflectie Bijlagen
3 Hoofdstuk 1: Onderzoeksopzet 1.1 Inleiding Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Ook binnen het werkveld informatiebeveiliging zijn diverse nationale maar ook internationale standaarden aanwezig. In de afgelopen periode lijkt het aantal standaarden binnen de informatieveiling zelfs exponentieel te groeien. In bijlage 4 is een overzicht (niet limitatief) gegeven van het scala aan standaarden. Door alle standaarden zien we soms door de bomen het bos niet meer. De input voor deze standaarden wordt allemaal geleverd door informatiebeveiligers en zijn gebaseerd op de hetzelfde gedachtegoed. Op basis van deze gegevens zou kunnen worden geconcludeerd dat alle standaarden inhoudelijk niet van elkaar verschillen. Middels ons afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging en hoe een keuze kan worden gemaakt voor een standaard. 1.2 Onderzoeksvraag + deelvragen Doelstelling: het geven van een praktisch advies aan de gebruikers van IBstandaarden. De probleemstelling die wij willen beantwoorden middels ons onderzoek is de volgende: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen: 1. Welke relevante standaarden / best practices zijn er op het gebied van informatiebeveiliging? 2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. 3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden? 4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP en ISO 27002? 1.3 Overwegingen Bij deelvraag 1 is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor NIST, ISO, ISF en COBIT. 3
4 Wij hebben voor NIST gekozen omdat deze binnen de opleiding wordt gebruikt. Voor ISO omdat deze standaard veel in de praktijk wordt toegepast. Voor de ISF omdat door deze standaard veel gebruik gemaakt wordt van ISO en zodoende goed vergelijkbaar kan zijn. Tenslotte hebben wij COBIT betrokken omdat deze standaard de afgelopen jaar sterk in opkomst is. Bij deelvraag 4 is gekozen om 2 specifieke standaarden van NIST en ISO te vergelijken. Wij hebben ISO en NIST gekozen, omdat NIST erg toegankelijk (gratis) is en gebruikt wordt binnen de opleiding. ISO hebben wij geselecteerd omdat deze standaarden veel worden gebruikt, zoals is vastgesteld op basis van informatie van experts uit de expertsessie. Binnen deze standaarden hebben wij gekozen om NIST SP en ISO met elkaar te vergelijken. Deze standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Ze bieden een (vergelijkbare) basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 1.4 Methode Om antwoord te geven op de deelvragen 1, 2 en 4 zullen we een theorieonderzoek uitvoeren. Om antwoord te geven op deelvraag 2 en 3 hebben we gekozen voor het schrijven van een expertbrief in de hoedanigheid van Ghost Writer. Deze mogelijkheid werd aangeboden door het Platform voor InformatieBeveiliging (PVIB). De Expertbrief is opgenomen als bijlage 6. Zoals uit voorgaande blijkt zal om antwoord te geven op deelvraag 2, naast de informatie uit de expertsessie, ook theorieonderzoek worden uitgevoerd. 1.5 De expertbrief Een expertbrief is een korte publicatie die op basis van een discussie tussen een aantal deskundigen aan een grotere gemeenschap ter beschikking wordt gesteld. Doel van deze publicatie is om hiermee een grotere groep personen aan het denken te zetten waardoor: De bewustwording voor het onderwerp wordt verhoogd; Er op basis van meningen van anderen een visie kan worden ontwikkeld; Kennisdeling plaatsvindt tussen deskundigen; Deze kennis vervolgens op een vrij toegankelijke wijze ter beschikking wordt gesteld, bijvoorbeeld via een Internet-gemeenschap of via de website van het PvIB die kennisdeling tot doelstelling heeft verheven. Het proces voor de totstandkoming van de expertbrief bestaat uit een voorbereidingsfase, de expertbriefsessie, de schrijf- en review-fase, de publicatiefase en de evaluatie van de expertbrief. Alle fases zijn uitgewerkt in draaiboeken die het organisatiecomité (facilitator, co-facilitator, probleemeigenaar en ghostwriter) gebruikt om het proces te begeleiden. Deze draaiboeken worden regelmatig aangepast op basis van nieuwe leerervaringen. 4
5 Om de expertbrief efficiënt tot stand te laten komen is er sprake van een duidelijke rolverdeling, welke allen het organisatiecomité vormen: Probleemeigenaar Ghostwriter Facilitator Co-facilitator Om tot de experbrief te komen zullen we de rol van Ghost Writer vervullen. Een Ghost Writer is een de schrijver die op basis van de gevoerde discussies een boeiend en prikkelend artikel schrijft. 1.6 Opbouw theorieonderzoek In het vervolg van dit theorieonderzoek zal antwoord worden gegeven op de deelvragen 1, 2 en 4. Hiertoe zullen in de navolgende hoofdstukken de diverse informatiebeveiligingsstandaarden: ISO (hoofdstuk 2), NIST (hoofdstuk 3), ISF (hoofdstuk 4) en COBIT (hoofdstuk 5) worden beschreven. Vervolgens zullen deze standaarden in hoofdstuk 6 aan een aantal criteria worden onderworpen om vast te stellen in hoeverre de standaarden van elkaar kunnen worden onderscheiden. Daarna zal in hoofdstuk 7 een vergelijking plaatsvinden tussen ISO en NIST SP , waarbij per hoofdonderwerp uit ISO steeds 1 maatregel in detail zal worden vergeleken met de bijhorende NIST SP maatregel(en). In onderstaande figuur zijn de diverse hoofdstukken uit dit theorieonderzoek, de verschillende deelvragen en onze centrale probleemstelling conceptueel in kaart gebracht. Theorieonderzoek Expertsessie Deelvraag 1 Hoofdstukken Deelvraag 2 Deelvraag 2 Hoofdstuk 6 Deelvraag 3 Expertbrief Deelvraag 4 Hoofdstuk 7 Probleemstelling: Welke standaarden kunnen waarvoor het best worden gebruikt? 5
6 Hoofdstuk 2: ISO Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk ISO nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke standaarden binnen ISO. 2.1 Inleiding ISO is ontstaan uit twee organisaties - ISA (Internationale Federatie van de Nationale Standaardiserende Verenigingen) gevestigd in New York in 1926, en UNSCC (United Nations Standards Coordinating Committee), opgezet in In oktober 1946, besloten de afgevaardigden van 25 landen, die bij het Instituut van Civiel ingenieurs in Londen samenkwamen, een nieuwe internationale organisatie op te richten, met als doel: Het vergemakkelijken van de internationale coördinatie en de standaardisering van industriële standaarden. De nieuwe organisatie, de Internationale Organisatie voor Normalisatie (ISO), startte officieel op 23 februari ISO is de grootste ontwikkelaar en uitgever van internationale standaarden ter wereld en heeft inmiddels meer dan internationale standaarden gepubliceerd. Tegenwoordig is ISO een netwerk van de nationale standaardeninstituten uit 157 landen, met een Centraal Secretariaat in Genève, Zwitserland, dat het systeem coördineert. De totale standaardenlijst van ISO bestaat uit tal van reeksen die verschillende onderwerpen omvatten zoals van ISO (waarin is vastgelegd hoeveel defecte pixels een beeldscherm mag bevatten), ISO 216 (voor het formaat van een vel papier, dat in de meeste landen in de wereld wordt gebruikt) tot aan ISO (standaard voor informatiebeveiliging) 2.2 ISO en Informatiebeveiliging ISO heeft een breed scala aan standaarden voor Informatiebeveiliging (zie bijlage 5 ISO Standaarden). Wij hebben er voor gekozen om ISO er uit te lichten. De inhoud sluit het beste aan bij de overige geselecteerde standaarden en maakt derhalve een vergelijking mogelijk. In de volgende paragraaf wordt de oorsprong en inhoud van ISO nader toegelicht. ISO en IEC (the International Electrotechnical Commission) hebben op het gebied van informatie technologie een samenwerkingsverband in de vorm van technische commissies. In deze commissies zijn nationale lichamen, die lid zijn van ISO of IEC, vertegenwoordigd. De voornaamste taak van deze gezamenlijke technische commissies is het ontwerpen van internationale standarden ten behoeve van de standaardisatie in de specifieke technische werkvelden. Ontwerpversies van internationale standaarden die zijn aangenomen door de gezamenlijke commissies, worden ter stemming voorgelegd aan de leden. Publicatie als internationale standaard vereist een goedkeuring van ten minste 75% van de stemmen die zijn uitgebracht. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Binnen deze commissie is een Managementsysteem voor informatiebeveiliging (ISMS) opgesteld. Deze standaard omvat een verzameling van internationale standaarden voor de vereisten voor 6
7 veiligheidsbeheer, risicobeheer, metriek en meting, en implementatie begeleiding van de informatiebeveiliging. Deze standaarden werden uitgegeven in ISO/IEC Samengevat houdt deze standaard in dat ontwerp en de implementatie van ISMS (ISO/IEC 27001) in een organisatie wordt beïnvloed door de behoeften en doelstellingen, veiligheidsvereisten, de bedrijfsprocessen, de grootte en de structuur van de organisatie. Deze en hun ondersteunende systemen worden geacht, eens in de zo veel tijd, aan verandering onderhevig te zijn. ISO procesbenadering 1 voor efficiënt en hanteerbaar informatiebeveiligingsbeheer, benadrukt onderstaande punten: a) het begrip van de informatiebeveiligingsvereisten van een organisatie en de behoefte om een beleid op te stellen en doelstellingen voor informatiebeveiliging; b) uitvoerbare en werkende controles om de informatiebeveiligingsrisico's van een organisatie in de context te beheren. c) de controle en het monitoren van de prestaties en de doeltreffendheid van ISMS; d) voortdurende verbetering die op de objectieve meting wordt gebaseerd. In veel gevallen wordt gelijktijdig met ISO/IEC de Code of Practice for Information Security management geïmplementeerd (ISO/IEC 27002). Deze biedt de organisatie bepaalde maatregelen die een organisatie kan gebruiken om informatiebeveiligingsrisico s in kaart te brengen en te minimaliseren. Deze maatregelen, die essentieel zijn voor een gedegen informatiebeveiliging binnen een organisatie, worden per onderwerp in ISO/IEC behandeld. Ieder hoofdonderwerp is verdeeld in verschillende paragrafen, beginnend met een doelstelling en bijbehorende samenvatting van de gewenste situatie. Vervolgens wordt in detail de maatregel beschreven. Onderstaand staan de hoofdonderwerpen genoemd: 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Beveiliging van Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10.Bedrijfscontinuiïteitsbeheer 11.Naleving Er behoort echter op te worden gewezen dat hoewel alle beheersmaatregelen in deze standaard belangrijk zijn, de relevantie van een beheersmaatregel altijd behoort te worden vastgesteld in het licht van de specifieke risico's waarmee de organisatie wordt geconfronteerd. Hoewel de bovengenoemde benadering dus wordt beschouwd als een goed uitgangspunt, moet deze niet worden toegepast in plaats van het selecteren van beheersmaatregelen op basis van een risicobeoordeling. 1 De toepassing van een systeem van processen binnen een organisatie, samen met de identificatie en interactie van deze processen, en hun beheer, kunnen als procesbenadering worden beschouwd. 7
8 Hoofdstuk 3: NIST Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het National Institute of Standards and Technology (NIST) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke publicaties van NIST. 3.1 Inleiding Van geautomatiseerde kassa s en nucleaire klokken naar mammogrammen en halfgeleiders, ontelbare producten en diensten steunen in zekere zin op de technologie, meetinstrumenten en standaarden verzorgd door het NIST. NIST is opgericht in NIST is een onderdeel van het Amerikaanse ministerie van Economische Zaken waar standaarden worden ontwikkeld ter bevordering van de innovatie (en industriële concurrentie) in de VS. Dit ter versterking van de economische veiligheid en ter verbetering van de kwaliteit van het leven in het algemeen. 3.2 NIST en Informatiebeveiliging In Amerika schaart zich men met betrekking tot informatiebeveiliging achter de Federal Information Security Act (FISMA). Deze wet werd door het parlement ( Congress ) aangenomen als onderdeel van de Electronic Government Act van De FISMA erkent het belang van informatiebeveiliging van de informatievoorziening van de federale overheden. Hierbij wordt informatiebeveiliging gedefinieerd als het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en informatiesystemen. De FISMA droeg het National Institute of Standards and Technology (NIST) op om standaarden te ontwikkelen die door alle federale overheden gebruikt kunnen worden om informatie en informatiesystemen te categoriseren (risicogebaseerd) en afhankelijk van deze risicoclassificatie adequate informatiebeveiliging toe te passen. Tevens dienden er minimale beveiligingseisen en implementatierichtlijnen te worden ontwikkeld ter ondersteuning. NIST heeft hiertoe standaarden, richtlijnen en andere publicaties ontwikkeld en uitgebracht om federale overheden te ondersteunen in het uitvoeren van de FISMA van Deze publicaties kunnen als volgt worden ingedeeld: Federal Information processing standards (FIPS) zijn ontwikkeld in overeenstemming met FISMA. FIPS zijn goedgekeurd door het Ministerie van Economische Zaken en zijn bindend. Begeleidende documenten en aanbevelingen zijn in de NIST Special Publications (SP) 800-series uitgebracht. Het Amerikaanse OMB (The Office of Management en Budget) heeft verklaard dat NIST richtlijnen gevolgd moeten worden. Andere security-verwante publicaties, waaronder interdepartementale en interne rapporten (NISTIRs) en ITL (Information Technology Library) bulletins, verzorgen technische en overige informatie over de activiteiten van NIST. Deze publicaties zijn enkel verplicht wanneer dit is gespecificeerd door de OMB. 8
9 NIST gaat uit van een risico-/impactanalyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in de driedeling hoog, gemiddeld en lage impact. De opgestelde standaarden betreffen baseline standaarden aangevuld met een impact-afhankelijke delta. Momenteel zijn er meer dan 250 NIST publicaties uitgebracht. Hieronder worden 2 belangrijke standaarden en richtlijnen nader toegelicht: FIPS Publication 200 ( Minimum Security Requirements for Federal Information and Information Systems ): specificeert de minimale beveiligingseisen (risicogebaseerd) voor informatie en informatiesystemen over zeventien onderkende beveiligingsgerelateerde gebieden ( control families ): 1. Access control; 2. Awareness and training; 3. Audit and accountability; 4.Certification, accreditation, and security assessments; 5. Configuration management; 6. Contingency planning; 7. Identification and authentication; 8. Incident response; 9. Maintenance; 10. Media protection; 11. Physical and environmental protection; 12. Planning; 13. Personnel security; 14. Risk assessment; 15. Systems and services acquisition; 16. System and communications protection; 17. System and information integrity. In NIST SP ( Recommended Security Controls for Federal Information Systems') worden de minimale beveiligingsmaatregelen (management, operationele en technische beveiligingsmaatregelen) opgesomd die getroffen dienen te zijn per risicoclassificatie: laag, gemiddeld en hoog. Dit per control family. Deze standaard biedt een basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 9
10 De diverse publicaties zijn staan niet op zichzelf; ze vormen gezamenlijk het beveiligingsproces. Schematisch kan een deel van de publicaties als volgt in kaart worden gebracht: Beveiligingserkenning (certificatie en accreditatie) De certificering en accreditering gebaseerd op de doeltreffendheid van beveiligingsmaatregelen en overblijvende risico SP Verificatie van de effectiviteit van de beveiligingsmaatregelen Het meten van de doeltreffendheid van de beveiligingsmaatregelen middels testen en evaluatie SP A (en SP ) Risicoanalyse Het analyseren van de bedreigingen voor en kwetsbaarheden van informatie en informatiesystemen en de potentiële impact dat het verlies van vertrouwelijkheid, integriteit of beschikbaarheid zou hebben SP Informatie en informatiesystemen Categorisatie van informatie en informatiesystemen Definieert categorieën van informatie en informatiesystemen conform de niveaus van risico voor vertrouwelijkheid, integriteit en beschikbaarheid; Deelt informatietypen in naar veiligheidscategorieën. FIPS 199 en SP Selectie en implementatie van beveiligingsmaatregelen Management, operationele en technische controles (d.w.z., voorzorgsmaatregelen en tegenmaatregelen) die bestaan of geïmplementeerd dienen te worden om informatie en informatiesystemen te beschermen FIPS 200 en SP Beveiligingsplan (planning) Documenteert de beveiligingseisen en beveiligingsmaatregelen die bestaan of geïmplementeerd dienen te worden voor de bescherming van informatie en informatiesystemen SP De vele NIST publicaties kunnen op drie manieren toegankelijk en overzichtelijk worden weergegeven: per onderwerp, beveiligingsgebieden en wettelijke vereisten. Alle verschillende NIST publicaties zijn (op de geschetste manieren) op de website 2 terug te vinden. Om een idee te krijgen van de vele publicaties die er geschreven zijn, zijn in onderstaande tabel de huidige aantallen opgenomen: Type publicatie aantal FIPS 18 NIST Special Publications (SP) series NIST Interagency Reports 47 (NISTIRs) ITL Security Bulletins
11 Hoofdstuk 4: ISF Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het Information Security Forum (ISF) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en de opbouw van de The Standard of Good Practice. 4.1 Inleiding Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices in informatiebeveiliging. Het ISF werd in 1989 opgericht als Europees security forum maar heeft haar missie en lidmaatschap in 1990 uitgebreid, zodat het nu honderden leden omvat, inclusief een groot aantal bedrijven uit de Fortune 500 uit Noord-Amerika, Azië en andere locaties over de wereld. Groepen van leden worden als clusters in Europa, Afrika, Azië, het Midden-Oosten en Noord-Amerika georganiseerd. Het ISF heeft het hoofdkwartier in Londen, Engeland gevestigd. Het ledenbestand van de ISF is internationaal en omvat grote organisaties in vervoer, financiële diensten, chemische/farmaceutisch, productie, overheid, detailhandel, media, telecommunicatie, energie, vervoer, en andere sectoren. De agenda van het ISF wordt volledig door haar leden bepaald, welke ook de volledige financiering regelen. 4.2 ISF en Informatiebeveiliging Het ISF richt zich op een aantal gebieden, waarop zij producten levert die verkrijgbaar zijn wanneer een organisatie lid is. Dit betreffen de volgende producten: 1. onderzoek en onderzoeksrapporten 2. Faciliteiten om kennis te delen 3. Tools en methodologie Onderzoek en onderzoeksrapporten Het ISF verricht onderzoek naar allerlei onderwerpen door het organiseren van workshops waarin experts worden uitgenodigd. Hierdoor zijn diverse rapporten beschikbaar over een breed scala aan onderwerpen, bijvoorbeeld: privacy, wireless network security etc. Faciliteiten om kennis te delen Het ISF heeft een internationaal programma met hierin werkgroepen, regionale bijeenkomsten, seminars en een wereldwijd congres. Deze programma s kunnen ook worden gebruikt voor trainingen. Tools en methodologie De ISF heeft een scala aan praktische tools en checklisten. Bijvoorbeeld: security status survey, security health check. De ISF Standard of Good practice for information security is echter gratis. Het doel van deze standaard is: organisaties, inclusief nietleden, te helpen om best practices te volgen en risico s te verminderen. Het resultaat is een belangrijke tool voor het verbeteren van de kwaliteit en doeltreffendheid van 11
12 security maatregelen door het opstellen van high level principes samen met een praktische handleiding. The Standard of Good Practice is een belangrijke publicatie uit het ISF programma. Het is ontwikkeld in een aantal jaren en is gebaseerd op drie hoofdgroepen van activiteiten. 1. Een intensief werkprogramma waarin experts participeren van het ISF management team welke onderzoeken verrichten. 2. Analyse en integratie van informatiebeveiliging gerelateerde standaarden (o.a. ISO and COBIT v4.1), wet- en regelgeving (o.a. Sarbanes-Oxley Act 2002, Payment Card Industry (PCI) Data Security Standard, Basel II 1998, en de EU (regelgeving inzake data protectie) 3. Betrokkenheid van ISF leden, waarbij gebruik wordt gemaakt van workshops, interviews en resultaten uit het informatiebeveiligingonderzoek. De standaard dekt zes belangrijke onderdelen van informatiebeveiliging, waarvan elk onderdeel is gericht op een bepaald type of omgeving. De standaard richt zich op de wijze waarop informatiebeveiliging de kritieke business processen van een organisatie ondersteunt. Deze processen zijn steeds meer afhankelijk van op IT gebaseerde business applicaties. Dus het aspect van informatiebeveiliging welke zich richt op de kritieke business applicaties staat centraal bij de opzet van de standaard. Zoals afgebeeld in figuur 1. Figuur 1: hoe aspecten van de standaard samenhangen. Computer Installations and Networks verzorgen de onderliggende infrastructuur waarop kritieke applicaties draaien. De End User Environment dekt de maatregelen die betrekking hebben op het beveiligen van bedrijfs- en desktopapplicaties, die worden gebruikt door individuele gebruikers om informatie te verwerken en voor het ondersteunen van de business. Systems Development is gericht op hoe nieuwe 12
13 applicaties worden ontwikkeld en Security Management richt zich op high-level besturing en beheersing van informatiebeveiliging. Een korte samenvatting van ieder onderdeel staat in de onderstaande tabel: Elk onderdeel binnen de standaard omvat een principe en een op hoog niveau beschreven doelstelling. Elk principe verzorgt een overzicht van wat moet worden gedaan om de standaard te implementeren en schetst de reden waarom deze acties noodzakelijk zijn. 13
14 De standaard bestaat uit zes verschillende aspecten. Onderstaande tabel toont het aantal gebieden en onderdelen van elk aspect. Na het principe en de op hoog niveau beschreven doelstelling worden vervolgens de gestelde eisen beschreven om het doel te bereiken. 14
15 Hoofdstuk 5: COBIT Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het COBIT-framework: de Control Objectives for Information and related Technology (COBIT), nader worden beschreven. Hierbij zal in worden gegaan op de uitgevende organisatie de Information Systems Audit and Control Association (ISACA), de relatie met informatiebeveiliging en de opbouw van de COBIT. 5.1 Inleiding De Information Systems Audit and Control Association (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. De ISACA is opgericht en 1967 en heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het professionaliseren van de leden van de vereniging. Dat gebeurt onder meer door het faciliteren van onderzoek op de vakgebieden en het inrichten van een register van professionals die voldoen aan de eisen om ingeschreven te kunnen worden. ISACA stelt verschillende onderzoeksrapporten en publicaties beschikbaar op het gebied van audit, compliance en governance. Eén van de bekendste publicaties is het COBIT-framework. Dit werd eind jaren negentig ontwikkeld door ISACA en het IT Governance Institute (ITGI) en het betreft een algemeen raamwerk voor algemene IT-beheersmaatregelen. 5.2 Het raamwerk Het COBIT Framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. Om de organisatiedoelstellingen te realiseren moet de informatie voldoen aan een zevental kwaliteitscriteria om de organisatie en haar bedrijfsprocessen goed aan te kunnen sturen. Deze criteria zijn effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid. De informatie wordt voortgebracht door IT-processen en vier categorieën van informatiemiddelen: informatie, applicaties, infrastructuur en mensen. De informatiemiddelen worden beheerst via IT-processen, die zijn ingedeeld in 4 domeinen: Planning en organisatie Acquisitie en Implementatie Levering en Ondersteuning Bewaking De domeinen komen op een logische manier overeen met de verschillende fasen in de levenscyclus van informatiesystemen. Binnen elk van de onderscheiden domeinen definieert COBIT een aantal beheersingsdoelstellingen op procesniveau, welke in onderstaande tabel zijn weergegeven. Tabel 1: De beheersdoelstelling op procesniveau in COBIT per domein (vrij vertaald): 15
16 Domein Planning en organisatie Acquisitie en Implementatie Levering en Ondersteuning Bewaking Beheersingsdoelstelling PO1. Definieer een strategisch plan PO2. Definieer de informatiearchitectuur PO3. Bepaal de technologische koers PO4. Definieer de IT-organisatie en de bijbehorende relaties PO5. Beheer de IT-investering PO6. Communiceer de doelstellingen en de koers van het management PO7. Beheer personele zaken PO8. Zorg voor naleving van externe vereisten PO9. Onderzoek relevante risico s PO10. Beheer projecten PO11. Beheer kwaliteit AI1. Identificeer mogelijke geautomatiseerde oplossingen voor het ondersteunen van de bedrijfsvoering AI2. Verwerf en onderhoud de toepassingsprogrammatuur AI3. Verwerf en onderhoud de technische infrastructuur AI4. Ontwikkel en onderhoud procedures AI5. Installeer en accrediteer systemen AI6. Beheer wijzigingen DS1. Definieer en beheer dienstenniveaus DS2. Beheer diensten die door derden worden geleverd DS3. Beheer prestaties en capaciteit DS4. Zorg voor continue dienstverlening DS5. Waarborg de systeemveiligheid DS6. Identificeer de kosten en wijs deze toe DS7. Leid gebruikers op DS8. Assisteer en adviseer klanten DS9. Beheer de configuratie DS10. Beheer problemen en incidenten DS11. Beheer gegevens DS12. Beheer faciliteiten DS13. Regel de dagelijkse bediening M1. Bewaak de processen M2. Beoordeel de effectiviteit van het interne beheer M3. Verkrijg zekerheid door het inschakelen van een onafhankelijke derde M4. Zorg voor een onafhankelijke beoordeling De beheersingsdoelstellingen op procesniveau zijn verder uitgewerkt in doelstellingen op het niveau van activeiten. In totaal telt het raamwerk meer dan 300 maatregelen. Bij elk van de 34 IT-processen kent COBIT een aantal managementinstrumenten zoals: Control objectives: de beheerdoelstellingen per IT-proces. Bij elk van de 34 processen horen meerdere detailed control objectives. Management handleiding (op activiteitniveau): de input en output van het proces en een RACI -chart (Responsible, Accountible, Consulted and/or Informed) Performance indicatoren en resultaatmetrieken. 16
17 Volwassenheidsniveaus van organisaties op een schaal van 0 tot en met 5, waarbij 0 staat voor 'non-existence' en 5 staat voor optimised'. Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd. Het IT Governance framework is er op gericht de organisatie een redelijke zekerheid te bieden dat de ondersteunende IT-processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. Onderstaande figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en informatiemiddelen. Figuur 1: COBIT Framework 4.1. ( COBIT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd. 17
18 Hoofdstuk 6: Vergelijking ISO / NIST / ISF / COBIT Om een antwoord te geven op deelvraag twee zullen in dit hoofdstuk ISO, NIST, ISF en COBIT tegen een aantal ontwikkelde selectie criteria worden gehouden. Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. Eerst zullen de selectiecriteria worden beschreven en vervolgens zullen wij de standaarden tegenover deze criteria in een tabel beschrijven. Het breedte criterium zal dan vervolgens nog verder worden uitgewerkt waarbij leemtes op gebied van onderwerpen tussen ISO, NIST en ISF worden geidentificeerd ter onderbouwing van dit criterium. Het diepte criterium voor de NIST en ISO is verder uitgewerkt in hoofdstuk 7. COBIT hebben wij hierbij buiten beschouwing gelaten omdat de standaard geen beveiligingsstandaard alleen is en een ander doel beoogt. 6.1 Selectiecriteria 3 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP , ISF Standard of Good Practice en CoBiT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001). Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet perse een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde standaard betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een hogere score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht. Breedte Dekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging). Diepte: Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch). 3 De criteria zijn ontwikkeld en getoetst op basis van de expertsessie. De breedte en diepte criteria zijn verder op basis van literatuuronderzoek uitgewerkt. De resultaten van deze expertsessie zijn opgenomen in de expertbrief Een standaard Keuze van eind januari beschikbaar op De expertbrief is eveneens opgenomen als bijlage aan dit onderzoek. 18
19 Flexibiliteit: Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing. Ratio: Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen. Acceptatie: Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden. Taal: Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar? Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn. In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria. Het breedte criterium is nader uitgewerkt in paragraaf
20 Criteria ISO NIST COBIT ISF Breedte: Dekt de hoofdgebiede n van IB Onderwerpen overzichtelijk gerangschikt Diepte: Flexibiliteit: Ratio: Acceptatie: Taal: Kosten: Tactisch en operationeel Management cyclus is opgenomen in Weinig gebruik door anderen dan IB specialisten Doelstellingen hangen samen met richtlijnen Meest geaccepteerd e standaard in Nederland Nederlands en Engels Gehele reeks betaald Dekt de hoofdgebieden van IB Onderwerpen versnipperd behandeld Veel productstandaarden Tactisch en operationeel Tactisch niet heel uitgebreid uitgewerkt in NIST SP , echter wel verder, verspreid, uitgewerkt in overige NIST reeksen. Weinig gebruik door anderen dan IB specialisten. Op basis van een risk assessment kunnen de minimale beveiligingsmaa t- regelen worden geselecteerd (NIST SP 14, FIPS ). Verplicht voor US federale overheid Private sector beperkt. Beperkt op het gebied van IB Niet specifiek IB, gericht op de beheersing van IT in het algemeen Strategisch en tactisch Operationeel niet uitgewerkt. Verwijst naar ISO Kent ook specifieke COBIT Practices en Security Baselines Veel gebruik door anderen dan IB specialisten Verbondenheid met audit processen (auditor) Elementen hangen samen met business drivers en input en output Goede ondersteuning voor Sox compliance Breed geaccepteerd Dekt de hoofdgebieden van IB Periodieke update en eventuele aanpassingen Tactisch en operationeel Weinig gebruik door anderen dan IB specialisten Principes hangen samen met doelstellingen Niet breed geaccepteerd Met name geaccepteerd door leden ISF. Bv niet in US Engels Engels Engels Gehele reeks gratis Betaald De standaard (SGOP) is gratis. Overige producten tegen een betaald lidmaatschap. 20
Een Standaard keuze!
PvIB Expertbrief Januari 2009 ISSN 1872-4876, jaargang 5 Nr. 1 1 Een Standaard keuze! Mark van der Beek Ranil Korf Hendrik-Jan Smit Vincent Alwicher Bart Bokhorst Erno Duinhoven Bert van Ingen De aanleiding
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatieWat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant
Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management
Nadere informatieWho are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL
Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness
Nadere informatieINVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY
INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het
Nadere informatieCobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1
CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieBedrijfscontinuïteit met behulp van een BCMS
Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieAuteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT
Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieReadiness Assessment ISMS
Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC
Nadere informatieBusiness Continuity Management
Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatieDe maatregelen in de komende NEN Beer Franken
De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m
Nadere informatieNaar een nieuw Privacy Control Framework (PCF)
Naar een nieuw Privacy Control Framework (PCF) Ed Ridderbeekx 22 november 2017 Een stukje geschiedenis 2001: Raamwerk Privacy Audit (door Samenwerkingsverband Audit Aanpak onder verantwoordelijkheid CPB)
Nadere informatieInformatiebeveiliging & ISO/IEC 27001:2013
Informatiebeveiliging & ISO/IEC 27001:2013 Aart Bitter Haarlem, 18 maart 2014 Kwaliteitskring Noord-Holland www.information-security-governance.com Agenda 13:45-14:15 - Informatiebeveiliging Introductie
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieSeriously Seeking Security
Seriously Seeking Security The Quest for the Holy Grail? Aart Bitter 27 november 2007 SBIT congres: Taking Security Seriously Aart.Bitter@information-security-governance.com Agenda Taking Security Seriously
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieArchitecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security
Architecten-debat 21 juni 2006 PI GvIB Themamiddag Renato Kuiper Principal Consultant Information Security 1 De spreker Principal Consultant Information Security Hoofdredacteur Informatiebeveiliging 15
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...
Nadere informatieInformatiebeveiliging & Privacy - by Design
Informatiebeveiliging & Privacy - by Design Steven Debets Verdonck, Klooster & Associates Even voorstellen e steven.debets@vka.nl m 0651588927 Informatiebeveiliging Informatiebeveiliging houdt zich bezig
Nadere informatie2 e webinar herziening ISO 14001
2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar
Nadere informatieHET GAAT OM INFORMATIE
Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieISO 20000 @ CTG Europe
ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieBeleidslijn informatieveiligheid en privacy Draadloze netwerken
Beleidslijn informatieveiligheid & privacy : Beleidslijn informatieveiligheid en privacy Draadloze netwerken (BLD WIREL) INHOUDSOPGAVE 1. INLEIDING... 3 2. VEILIGE DRAADLOZE NETWERKEN... 3 BIJLAGE A: DOCUMENTBEHEER...
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieLIO NOREA bijeenkomst 4 februari 2019
LIO NOREA bijeenkomst 4 februari 2019 DNB meting inzake informatiebeveiliging door Self Assessments CZ 4-2-2019 "Het COBIT model is net een set winterbanden" Soms doen ze wat maar echt nodig heb je ze
Nadere informatieVergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015
ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International
Nadere informatieISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1
ISO/IEC 38500 Governance of InformationTechnology Yvette Backer ASL BiSL Foundation 16 juni 2016 ISO 38500 Governance of Information Technoloy 1 Achtergrond Yvette Backer Zelfstandig consultant en trainer,
Nadere informatieDe laatste ontwikkelingen op het gebied van NEN-EN normering de nieuwe norm is compleet
De laatste ontwikkelingen op het gebied van NEN-EN 50600 normering de nieuwe norm is compleet Niek van der Pas Voorzitter NEN commissie: Computerruimten en datacenters Nederland NEN 'Computerruimtes en
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieISO 9001: Business in Control 2.0
ISO 9001: 2015 Business in Control 2.0 Waarom Geintegreerd toepassen verschillende management normen Betere aansluiting normen op de strategie; zorgen voor een goede inbedding in de bedrijfsvoering WAAROM
Nadere informatieBeschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016
Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN
Nadere informatieHet Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV
Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie
Nadere informatieCertificering NDT personeel Aerospace industrie
Certificering NDT personeel Aerospace industrie en de rol die de NANDT Board hierbij vervult Pieter Troost (Review Board) 13/11/2018 1 Onderwerpen Introductie kwalificatie en certificatie van NDT personeel
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieHet wat en hoe van risicomanagement. LOKmml-bijeenkomst donderdag 24 maart 2016
Het wat en hoe van risicomanagement LOKmml-bijeenkomst donderdag 24 maart 2016 Opbouw presentatie Introductie Douwe Meetsma Normvereisten uit ISO 15189 en context Wat is Risico management Operationeel
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieHP ITSM Assessment Services HP Services
HP ITSM Assessment Services HP Services Uit HP s ervaring met duizenden enterprise-klasse IT-omgevingen blijkt dat periodieke evaluaties essentieel zijn voor uw operationele succes. U dient de juiste serviceniveaus
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatieIntroductie OHSAS 18001
Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational
Nadere informatieHartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER
Hartelijk welkom! 1 SAFER, SMARTER, GREENER 1. Wie is DNV GL? 2. Certificering van managementsystemen 2 SAFER, SMARTER, GREENER Geboren uit 3 Sinds 1864 uitgegroeid naar wereldwijde TIC dienstverlener
Nadere informatieSlide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof
Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieJAARLIJKSE EMAS ONTMOETING
JAARLIJKSE EMAS ONTMOETING Revisie van Bijlagen I, II en III en integratie van de Norm ISO 14001-2015 Sébastien Paquot Europese Commissie Agenda 1. Goedkeuring van de herziene bijlagen voornaamste wijzigingen
Nadere informatieOpleiding PECB IT Governance.
Opleiding PECB IT Governance www.bpmo-academy.nl Wat is IT Governance? Information Technology (IT) governance, ook wel ICT-besturing genoemd, is een onderdeel van het integrale Corporate governance (ondernemingsbestuur)
Nadere informatieUw specialist in technisch management
IP-Solutions Het technisch beheer van installaties staat onder druk. De toenemende concurrentie, kostendruk en veranderende wet- en regelgeving vraagt om grotere transparantie, flexibiliteit en efficiency.
Nadere informatieWIN[S] ANALYSE. Eerste stap naar een Efficiëntere werkplek. 1 of of 81
WIN[S] ANALYSE Eerste stap naar een Efficiëntere werkplek. 1 of 81 1 of 81 HALLO! WIJ ZIJN UFIRST ONZE AMBITIE NL ORGANISATIES (BE)GELEIDEN TOT EEN HOGERE PEFORMANTIE DOOR EFFICIËNTE WERKPLEKDIENSTEN EN
Nadere informatieGDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering
GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering FLAGIS Studienamiddag Donderdag 15 maart 2018 - Leuven - KU Leuven Ivan Stuer Afdelingshoofd IT Informatie Vlaanderen
Nadere informatie4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen
4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied
Nadere informatieBUSINESS RISK MANAGEMENT
BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3
Nadere informatieNEN 7510: een ergernis of een hulpmiddel?
NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieISO Informatiebeveiliging
ISO 27001 Informatiebeveiliging 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 27001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieBENT U ER KLAAR VOOR?
ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP
Nadere informatieStappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006
Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieControl driven cyber defense
Control driven cyber defense An introduction to 20 critical security controls for effective cyber defense ferdinand.hagethorn@snow.nl Engineer Agenda Informatiebeveiliging & IT-security Een technische
Nadere informatieNS in beweging, Security als business enabler september 2008
NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieData Protection Impact Assessment (DPIA)
Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatieRaad voor Accreditatie. De overgang van BS OHSAS 18001:2007 naar ISO 45001:2018
Raad voor Accreditatie De overgang van BS OHSAS 18001:2007 naar ISO 45001:2018 Documentcode: RvA-T048-NL Versie 1, 20-12-2017 Een Rv A-Toelichting beschrijf t het beleid en/of de werkwijze v an de Rv A
Nadere informatieSnel naar ISO20000 met de ISM-methode
Snel naar ISO20000 met de ISM-methode Cross-reference Datum: 16 oktober 2012 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar ISO20000 met de ISM-methode! Organisaties moeten, door
Nadere informatieLaat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014
Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging
Nadere informatieVan principes naar normenkaders. Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV
Van principes naar normenkaders Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV 1 Inhoud Inleiding Beschrijving scriptiecontext Onderkende principes RBAC Levenscyclus van systemen Conclusies en
Nadere informatieModellen, Raamwerken en Methode s
In Control of Under Control? De auditor in het informatiebeveiligingsbos. Leon Kuunders (lkuunders@trusted-id.nl) Gebaseerd op Alphabet Soup van Benjamin Tomhave. Gebruikt met toestemming. CCA-NCND 2.5
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatiePinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening
PinkSCAN Verbeter de kwaliteit van uw IT dienstverlening De business stelt steeds hogere eisen aan de kwaliteit van de IT dienstverlening. Nieuwe service modellen vereisen aanpassingen in de wijze waarop
Nadere informatieAdvies inzake Risicobenadering
dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatiePrivacy & Data event Johan Rambi 18 Mei 2017
Privacy & Data event 2017 Johan Rambi 18 Mei 2017 Alliander is een data gedreven netbeheerder (DSO) Wat is Privacy? Wat is Privacy? Eerbiediging van de persoonlijke levenssfeer Ook wel: het recht
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieBusiness Process Management
Business Process Management Prof. dr. Manu De Backer Universiteit Antwerpen Katholieke Universiteit Leuven Hogeschool Gent Wat is een bedrijfsproces? Een verzameling van (logisch) gerelateerde taken die
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatieDe nieuwe ISO norm 2015 Wat nu?!
De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar
Nadere informatieWHITE PAPER STAKEHOLDERMANAGEMENT
WHITE PAPER STAKEHOLDERMANAGEMENT Van strategie naar implementatie in 4 stappen. 2018 leansixsigmatools.nl versie 3.00-2019-2020 Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding-GelijkDelen
Nadere informatieGeen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.
Geen ISO 27001 zonder pragmatiek! Implementeren van een ISMS, niets nieuws. Agenda Introductie Beveiligingsproces Framework (ISO 27001) IB organisatie en processen ISMS informatiesysteem Lessons learned
Nadere informatieartikel SUSTAINGRAPH TECHNISCH ARTIKEL
SUSTAINGRAPH TECHNISCH ARTIKEL SUSTAINGRAPH is een Europees project, gericht (op het verbeteren van) de milieuprestaties van Europese Grafimediabedrijven binnen de productlevenscyclus van hun grafimedia
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatie