Standaarden, is door de bomen het bos nog te zien?

Maat: px
Weergave met pagina beginnen:

Download "Standaarden, is door de bomen het bos nog te zien?"

Transcriptie

1 Standaarden, is door de bomen het bos nog te zien? Datum : Status : Definitief Teamnummer : 922 Studenten : Mark van der Beek, Ranil Korf en Hendrik Jan Smit Begeleider : Bart Bokhorst RE RA 1

2 Inhoudsopgave Hoofdstuk 1: Onderzoeksopzet Inleiding Onderzoeksvraag + deelvragen Overwegingen Methode De expertbrief Opbouw theorieonderzoek... 5 Hoofdstuk 2: ISO Inleiding ISO en Informatiebeveiliging... 6 Hoofdstuk 3: NIST Inleiding NIST en Informatiebeveiliging... 8 Hoofdstuk 4: ISF Inleiding ISF en Informatiebeveiliging Hoofdstuk 5: CoBiT Inleiding Het raamwerk Hoofdstuk 6: Vergelijking ISO / NIST / ISF / CoBiT Selectiecriteria Breedte criterium Overall conclusie Hoofdstuk 7: Vergelijking ISO en NIST SP Samenvatting van ISO onderwerpen versus NIST SP onderwerpen Vergelijking in detail ISO Hoofdstuk 6: Organisatie van informatiebeveiliging ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen ISO Hoofdstuk 8: Beveiliging van personeel ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen ISO Hoofdstuk 11: Toegangsbeveiliging ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen ISO Hoofdstuk 13: Information security incident management ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer ISO Hoofdstuk 15: Compliance Conclusie Hoofdstuk 8: Conclusies en reflectie Conclusies Beantwoording deelvraag Beantwoording deelvraag Beantwoording deelvraag Beantwoording deelvraag Overall conclusie Vervolgonderzoek Reflectie Bijlagen

3 Hoofdstuk 1: Onderzoeksopzet 1.1 Inleiding Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Ook binnen het werkveld informatiebeveiliging zijn diverse nationale maar ook internationale standaarden aanwezig. In de afgelopen periode lijkt het aantal standaarden binnen de informatieveiling zelfs exponentieel te groeien. In bijlage 4 is een overzicht (niet limitatief) gegeven van het scala aan standaarden. Door alle standaarden zien we soms door de bomen het bos niet meer. De input voor deze standaarden wordt allemaal geleverd door informatiebeveiligers en zijn gebaseerd op de hetzelfde gedachtegoed. Op basis van deze gegevens zou kunnen worden geconcludeerd dat alle standaarden inhoudelijk niet van elkaar verschillen. Middels ons afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging en hoe een keuze kan worden gemaakt voor een standaard. 1.2 Onderzoeksvraag + deelvragen Doelstelling: het geven van een praktisch advies aan de gebruikers van IBstandaarden. De probleemstelling die wij willen beantwoorden middels ons onderzoek is de volgende: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen: 1. Welke relevante standaarden / best practices zijn er op het gebied van informatiebeveiliging? 2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. 3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden? 4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP en ISO 27002? 1.3 Overwegingen Bij deelvraag 1 is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor NIST, ISO, ISF en COBIT. 3

4 Wij hebben voor NIST gekozen omdat deze binnen de opleiding wordt gebruikt. Voor ISO omdat deze standaard veel in de praktijk wordt toegepast. Voor de ISF omdat door deze standaard veel gebruik gemaakt wordt van ISO en zodoende goed vergelijkbaar kan zijn. Tenslotte hebben wij COBIT betrokken omdat deze standaard de afgelopen jaar sterk in opkomst is. Bij deelvraag 4 is gekozen om 2 specifieke standaarden van NIST en ISO te vergelijken. Wij hebben ISO en NIST gekozen, omdat NIST erg toegankelijk (gratis) is en gebruikt wordt binnen de opleiding. ISO hebben wij geselecteerd omdat deze standaarden veel worden gebruikt, zoals is vastgesteld op basis van informatie van experts uit de expertsessie. Binnen deze standaarden hebben wij gekozen om NIST SP en ISO met elkaar te vergelijken. Deze standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Ze bieden een (vergelijkbare) basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 1.4 Methode Om antwoord te geven op de deelvragen 1, 2 en 4 zullen we een theorieonderzoek uitvoeren. Om antwoord te geven op deelvraag 2 en 3 hebben we gekozen voor het schrijven van een expertbrief in de hoedanigheid van Ghost Writer. Deze mogelijkheid werd aangeboden door het Platform voor InformatieBeveiliging (PVIB). De Expertbrief is opgenomen als bijlage 6. Zoals uit voorgaande blijkt zal om antwoord te geven op deelvraag 2, naast de informatie uit de expertsessie, ook theorieonderzoek worden uitgevoerd. 1.5 De expertbrief Een expertbrief is een korte publicatie die op basis van een discussie tussen een aantal deskundigen aan een grotere gemeenschap ter beschikking wordt gesteld. Doel van deze publicatie is om hiermee een grotere groep personen aan het denken te zetten waardoor: De bewustwording voor het onderwerp wordt verhoogd; Er op basis van meningen van anderen een visie kan worden ontwikkeld; Kennisdeling plaatsvindt tussen deskundigen; Deze kennis vervolgens op een vrij toegankelijke wijze ter beschikking wordt gesteld, bijvoorbeeld via een Internet-gemeenschap of via de website van het PvIB die kennisdeling tot doelstelling heeft verheven. Het proces voor de totstandkoming van de expertbrief bestaat uit een voorbereidingsfase, de expertbriefsessie, de schrijf- en review-fase, de publicatiefase en de evaluatie van de expertbrief. Alle fases zijn uitgewerkt in draaiboeken die het organisatiecomité (facilitator, co-facilitator, probleemeigenaar en ghostwriter) gebruikt om het proces te begeleiden. Deze draaiboeken worden regelmatig aangepast op basis van nieuwe leerervaringen. 4

5 Om de expertbrief efficiënt tot stand te laten komen is er sprake van een duidelijke rolverdeling, welke allen het organisatiecomité vormen: Probleemeigenaar Ghostwriter Facilitator Co-facilitator Om tot de experbrief te komen zullen we de rol van Ghost Writer vervullen. Een Ghost Writer is een de schrijver die op basis van de gevoerde discussies een boeiend en prikkelend artikel schrijft. 1.6 Opbouw theorieonderzoek In het vervolg van dit theorieonderzoek zal antwoord worden gegeven op de deelvragen 1, 2 en 4. Hiertoe zullen in de navolgende hoofdstukken de diverse informatiebeveiligingsstandaarden: ISO (hoofdstuk 2), NIST (hoofdstuk 3), ISF (hoofdstuk 4) en COBIT (hoofdstuk 5) worden beschreven. Vervolgens zullen deze standaarden in hoofdstuk 6 aan een aantal criteria worden onderworpen om vast te stellen in hoeverre de standaarden van elkaar kunnen worden onderscheiden. Daarna zal in hoofdstuk 7 een vergelijking plaatsvinden tussen ISO en NIST SP , waarbij per hoofdonderwerp uit ISO steeds 1 maatregel in detail zal worden vergeleken met de bijhorende NIST SP maatregel(en). In onderstaande figuur zijn de diverse hoofdstukken uit dit theorieonderzoek, de verschillende deelvragen en onze centrale probleemstelling conceptueel in kaart gebracht. Theorieonderzoek Expertsessie Deelvraag 1 Hoofdstukken Deelvraag 2 Deelvraag 2 Hoofdstuk 6 Deelvraag 3 Expertbrief Deelvraag 4 Hoofdstuk 7 Probleemstelling: Welke standaarden kunnen waarvoor het best worden gebruikt? 5

6 Hoofdstuk 2: ISO Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk ISO nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke standaarden binnen ISO. 2.1 Inleiding ISO is ontstaan uit twee organisaties - ISA (Internationale Federatie van de Nationale Standaardiserende Verenigingen) gevestigd in New York in 1926, en UNSCC (United Nations Standards Coordinating Committee), opgezet in In oktober 1946, besloten de afgevaardigden van 25 landen, die bij het Instituut van Civiel ingenieurs in Londen samenkwamen, een nieuwe internationale organisatie op te richten, met als doel: Het vergemakkelijken van de internationale coördinatie en de standaardisering van industriële standaarden. De nieuwe organisatie, de Internationale Organisatie voor Normalisatie (ISO), startte officieel op 23 februari ISO is de grootste ontwikkelaar en uitgever van internationale standaarden ter wereld en heeft inmiddels meer dan internationale standaarden gepubliceerd. Tegenwoordig is ISO een netwerk van de nationale standaardeninstituten uit 157 landen, met een Centraal Secretariaat in Genève, Zwitserland, dat het systeem coördineert. De totale standaardenlijst van ISO bestaat uit tal van reeksen die verschillende onderwerpen omvatten zoals van ISO (waarin is vastgelegd hoeveel defecte pixels een beeldscherm mag bevatten), ISO 216 (voor het formaat van een vel papier, dat in de meeste landen in de wereld wordt gebruikt) tot aan ISO (standaard voor informatiebeveiliging) 2.2 ISO en Informatiebeveiliging ISO heeft een breed scala aan standaarden voor Informatiebeveiliging (zie bijlage 5 ISO Standaarden). Wij hebben er voor gekozen om ISO er uit te lichten. De inhoud sluit het beste aan bij de overige geselecteerde standaarden en maakt derhalve een vergelijking mogelijk. In de volgende paragraaf wordt de oorsprong en inhoud van ISO nader toegelicht. ISO en IEC (the International Electrotechnical Commission) hebben op het gebied van informatie technologie een samenwerkingsverband in de vorm van technische commissies. In deze commissies zijn nationale lichamen, die lid zijn van ISO of IEC, vertegenwoordigd. De voornaamste taak van deze gezamenlijke technische commissies is het ontwerpen van internationale standarden ten behoeve van de standaardisatie in de specifieke technische werkvelden. Ontwerpversies van internationale standaarden die zijn aangenomen door de gezamenlijke commissies, worden ter stemming voorgelegd aan de leden. Publicatie als internationale standaard vereist een goedkeuring van ten minste 75% van de stemmen die zijn uitgebracht. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Binnen deze commissie is een Managementsysteem voor informatiebeveiliging (ISMS) opgesteld. Deze standaard omvat een verzameling van internationale standaarden voor de vereisten voor 6

7 veiligheidsbeheer, risicobeheer, metriek en meting, en implementatie begeleiding van de informatiebeveiliging. Deze standaarden werden uitgegeven in ISO/IEC Samengevat houdt deze standaard in dat ontwerp en de implementatie van ISMS (ISO/IEC 27001) in een organisatie wordt beïnvloed door de behoeften en doelstellingen, veiligheidsvereisten, de bedrijfsprocessen, de grootte en de structuur van de organisatie. Deze en hun ondersteunende systemen worden geacht, eens in de zo veel tijd, aan verandering onderhevig te zijn. ISO procesbenadering 1 voor efficiënt en hanteerbaar informatiebeveiligingsbeheer, benadrukt onderstaande punten: a) het begrip van de informatiebeveiligingsvereisten van een organisatie en de behoefte om een beleid op te stellen en doelstellingen voor informatiebeveiliging; b) uitvoerbare en werkende controles om de informatiebeveiligingsrisico's van een organisatie in de context te beheren. c) de controle en het monitoren van de prestaties en de doeltreffendheid van ISMS; d) voortdurende verbetering die op de objectieve meting wordt gebaseerd. In veel gevallen wordt gelijktijdig met ISO/IEC de Code of Practice for Information Security management geïmplementeerd (ISO/IEC 27002). Deze biedt de organisatie bepaalde maatregelen die een organisatie kan gebruiken om informatiebeveiligingsrisico s in kaart te brengen en te minimaliseren. Deze maatregelen, die essentieel zijn voor een gedegen informatiebeveiliging binnen een organisatie, worden per onderwerp in ISO/IEC behandeld. Ieder hoofdonderwerp is verdeeld in verschillende paragrafen, beginnend met een doelstelling en bijbehorende samenvatting van de gewenste situatie. Vervolgens wordt in detail de maatregel beschreven. Onderstaand staan de hoofdonderwerpen genoemd: 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Beveiliging van Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10.Bedrijfscontinuiïteitsbeheer 11.Naleving Er behoort echter op te worden gewezen dat hoewel alle beheersmaatregelen in deze standaard belangrijk zijn, de relevantie van een beheersmaatregel altijd behoort te worden vastgesteld in het licht van de specifieke risico's waarmee de organisatie wordt geconfronteerd. Hoewel de bovengenoemde benadering dus wordt beschouwd als een goed uitgangspunt, moet deze niet worden toegepast in plaats van het selecteren van beheersmaatregelen op basis van een risicobeoordeling. 1 De toepassing van een systeem van processen binnen een organisatie, samen met de identificatie en interactie van deze processen, en hun beheer, kunnen als procesbenadering worden beschouwd. 7

8 Hoofdstuk 3: NIST Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het National Institute of Standards and Technology (NIST) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke publicaties van NIST. 3.1 Inleiding Van geautomatiseerde kassa s en nucleaire klokken naar mammogrammen en halfgeleiders, ontelbare producten en diensten steunen in zekere zin op de technologie, meetinstrumenten en standaarden verzorgd door het NIST. NIST is opgericht in NIST is een onderdeel van het Amerikaanse ministerie van Economische Zaken waar standaarden worden ontwikkeld ter bevordering van de innovatie (en industriële concurrentie) in de VS. Dit ter versterking van de economische veiligheid en ter verbetering van de kwaliteit van het leven in het algemeen. 3.2 NIST en Informatiebeveiliging In Amerika schaart zich men met betrekking tot informatiebeveiliging achter de Federal Information Security Act (FISMA). Deze wet werd door het parlement ( Congress ) aangenomen als onderdeel van de Electronic Government Act van De FISMA erkent het belang van informatiebeveiliging van de informatievoorziening van de federale overheden. Hierbij wordt informatiebeveiliging gedefinieerd als het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en informatiesystemen. De FISMA droeg het National Institute of Standards and Technology (NIST) op om standaarden te ontwikkelen die door alle federale overheden gebruikt kunnen worden om informatie en informatiesystemen te categoriseren (risicogebaseerd) en afhankelijk van deze risicoclassificatie adequate informatiebeveiliging toe te passen. Tevens dienden er minimale beveiligingseisen en implementatierichtlijnen te worden ontwikkeld ter ondersteuning. NIST heeft hiertoe standaarden, richtlijnen en andere publicaties ontwikkeld en uitgebracht om federale overheden te ondersteunen in het uitvoeren van de FISMA van Deze publicaties kunnen als volgt worden ingedeeld: Federal Information processing standards (FIPS) zijn ontwikkeld in overeenstemming met FISMA. FIPS zijn goedgekeurd door het Ministerie van Economische Zaken en zijn bindend. Begeleidende documenten en aanbevelingen zijn in de NIST Special Publications (SP) 800-series uitgebracht. Het Amerikaanse OMB (The Office of Management en Budget) heeft verklaard dat NIST richtlijnen gevolgd moeten worden. Andere security-verwante publicaties, waaronder interdepartementale en interne rapporten (NISTIRs) en ITL (Information Technology Library) bulletins, verzorgen technische en overige informatie over de activiteiten van NIST. Deze publicaties zijn enkel verplicht wanneer dit is gespecificeerd door de OMB. 8

9 NIST gaat uit van een risico-/impactanalyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in de driedeling hoog, gemiddeld en lage impact. De opgestelde standaarden betreffen baseline standaarden aangevuld met een impact-afhankelijke delta. Momenteel zijn er meer dan 250 NIST publicaties uitgebracht. Hieronder worden 2 belangrijke standaarden en richtlijnen nader toegelicht: FIPS Publication 200 ( Minimum Security Requirements for Federal Information and Information Systems ): specificeert de minimale beveiligingseisen (risicogebaseerd) voor informatie en informatiesystemen over zeventien onderkende beveiligingsgerelateerde gebieden ( control families ): 1. Access control; 2. Awareness and training; 3. Audit and accountability; 4.Certification, accreditation, and security assessments; 5. Configuration management; 6. Contingency planning; 7. Identification and authentication; 8. Incident response; 9. Maintenance; 10. Media protection; 11. Physical and environmental protection; 12. Planning; 13. Personnel security; 14. Risk assessment; 15. Systems and services acquisition; 16. System and communications protection; 17. System and information integrity. In NIST SP ( Recommended Security Controls for Federal Information Systems') worden de minimale beveiligingsmaatregelen (management, operationele en technische beveiligingsmaatregelen) opgesomd die getroffen dienen te zijn per risicoclassificatie: laag, gemiddeld en hoog. Dit per control family. Deze standaard biedt een basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 9

10 De diverse publicaties zijn staan niet op zichzelf; ze vormen gezamenlijk het beveiligingsproces. Schematisch kan een deel van de publicaties als volgt in kaart worden gebracht: Beveiligingserkenning (certificatie en accreditatie) De certificering en accreditering gebaseerd op de doeltreffendheid van beveiligingsmaatregelen en overblijvende risico SP Verificatie van de effectiviteit van de beveiligingsmaatregelen Het meten van de doeltreffendheid van de beveiligingsmaatregelen middels testen en evaluatie SP A (en SP ) Risicoanalyse Het analyseren van de bedreigingen voor en kwetsbaarheden van informatie en informatiesystemen en de potentiële impact dat het verlies van vertrouwelijkheid, integriteit of beschikbaarheid zou hebben SP Informatie en informatiesystemen Categorisatie van informatie en informatiesystemen Definieert categorieën van informatie en informatiesystemen conform de niveaus van risico voor vertrouwelijkheid, integriteit en beschikbaarheid; Deelt informatietypen in naar veiligheidscategorieën. FIPS 199 en SP Selectie en implementatie van beveiligingsmaatregelen Management, operationele en technische controles (d.w.z., voorzorgsmaatregelen en tegenmaatregelen) die bestaan of geïmplementeerd dienen te worden om informatie en informatiesystemen te beschermen FIPS 200 en SP Beveiligingsplan (planning) Documenteert de beveiligingseisen en beveiligingsmaatregelen die bestaan of geïmplementeerd dienen te worden voor de bescherming van informatie en informatiesystemen SP De vele NIST publicaties kunnen op drie manieren toegankelijk en overzichtelijk worden weergegeven: per onderwerp, beveiligingsgebieden en wettelijke vereisten. Alle verschillende NIST publicaties zijn (op de geschetste manieren) op de website 2 terug te vinden. Om een idee te krijgen van de vele publicaties die er geschreven zijn, zijn in onderstaande tabel de huidige aantallen opgenomen: Type publicatie aantal FIPS 18 NIST Special Publications (SP) series NIST Interagency Reports 47 (NISTIRs) ITL Security Bulletins

11 Hoofdstuk 4: ISF Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het Information Security Forum (ISF) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en de opbouw van de The Standard of Good Practice. 4.1 Inleiding Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices in informatiebeveiliging. Het ISF werd in 1989 opgericht als Europees security forum maar heeft haar missie en lidmaatschap in 1990 uitgebreid, zodat het nu honderden leden omvat, inclusief een groot aantal bedrijven uit de Fortune 500 uit Noord-Amerika, Azië en andere locaties over de wereld. Groepen van leden worden als clusters in Europa, Afrika, Azië, het Midden-Oosten en Noord-Amerika georganiseerd. Het ISF heeft het hoofdkwartier in Londen, Engeland gevestigd. Het ledenbestand van de ISF is internationaal en omvat grote organisaties in vervoer, financiële diensten, chemische/farmaceutisch, productie, overheid, detailhandel, media, telecommunicatie, energie, vervoer, en andere sectoren. De agenda van het ISF wordt volledig door haar leden bepaald, welke ook de volledige financiering regelen. 4.2 ISF en Informatiebeveiliging Het ISF richt zich op een aantal gebieden, waarop zij producten levert die verkrijgbaar zijn wanneer een organisatie lid is. Dit betreffen de volgende producten: 1. onderzoek en onderzoeksrapporten 2. Faciliteiten om kennis te delen 3. Tools en methodologie Onderzoek en onderzoeksrapporten Het ISF verricht onderzoek naar allerlei onderwerpen door het organiseren van workshops waarin experts worden uitgenodigd. Hierdoor zijn diverse rapporten beschikbaar over een breed scala aan onderwerpen, bijvoorbeeld: privacy, wireless network security etc. Faciliteiten om kennis te delen Het ISF heeft een internationaal programma met hierin werkgroepen, regionale bijeenkomsten, seminars en een wereldwijd congres. Deze programma s kunnen ook worden gebruikt voor trainingen. Tools en methodologie De ISF heeft een scala aan praktische tools en checklisten. Bijvoorbeeld: security status survey, security health check. De ISF Standard of Good practice for information security is echter gratis. Het doel van deze standaard is: organisaties, inclusief nietleden, te helpen om best practices te volgen en risico s te verminderen. Het resultaat is een belangrijke tool voor het verbeteren van de kwaliteit en doeltreffendheid van 11

12 security maatregelen door het opstellen van high level principes samen met een praktische handleiding. The Standard of Good Practice is een belangrijke publicatie uit het ISF programma. Het is ontwikkeld in een aantal jaren en is gebaseerd op drie hoofdgroepen van activiteiten. 1. Een intensief werkprogramma waarin experts participeren van het ISF management team welke onderzoeken verrichten. 2. Analyse en integratie van informatiebeveiliging gerelateerde standaarden (o.a. ISO and COBIT v4.1), wet- en regelgeving (o.a. Sarbanes-Oxley Act 2002, Payment Card Industry (PCI) Data Security Standard, Basel II 1998, en de EU (regelgeving inzake data protectie) 3. Betrokkenheid van ISF leden, waarbij gebruik wordt gemaakt van workshops, interviews en resultaten uit het informatiebeveiligingonderzoek. De standaard dekt zes belangrijke onderdelen van informatiebeveiliging, waarvan elk onderdeel is gericht op een bepaald type of omgeving. De standaard richt zich op de wijze waarop informatiebeveiliging de kritieke business processen van een organisatie ondersteunt. Deze processen zijn steeds meer afhankelijk van op IT gebaseerde business applicaties. Dus het aspect van informatiebeveiliging welke zich richt op de kritieke business applicaties staat centraal bij de opzet van de standaard. Zoals afgebeeld in figuur 1. Figuur 1: hoe aspecten van de standaard samenhangen. Computer Installations and Networks verzorgen de onderliggende infrastructuur waarop kritieke applicaties draaien. De End User Environment dekt de maatregelen die betrekking hebben op het beveiligen van bedrijfs- en desktopapplicaties, die worden gebruikt door individuele gebruikers om informatie te verwerken en voor het ondersteunen van de business. Systems Development is gericht op hoe nieuwe 12

13 applicaties worden ontwikkeld en Security Management richt zich op high-level besturing en beheersing van informatiebeveiliging. Een korte samenvatting van ieder onderdeel staat in de onderstaande tabel: Elk onderdeel binnen de standaard omvat een principe en een op hoog niveau beschreven doelstelling. Elk principe verzorgt een overzicht van wat moet worden gedaan om de standaard te implementeren en schetst de reden waarom deze acties noodzakelijk zijn. 13

14 De standaard bestaat uit zes verschillende aspecten. Onderstaande tabel toont het aantal gebieden en onderdelen van elk aspect. Na het principe en de op hoog niveau beschreven doelstelling worden vervolgens de gestelde eisen beschreven om het doel te bereiken. 14

15 Hoofdstuk 5: COBIT Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het COBIT-framework: de Control Objectives for Information and related Technology (COBIT), nader worden beschreven. Hierbij zal in worden gegaan op de uitgevende organisatie de Information Systems Audit and Control Association (ISACA), de relatie met informatiebeveiliging en de opbouw van de COBIT. 5.1 Inleiding De Information Systems Audit and Control Association (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. De ISACA is opgericht en 1967 en heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het professionaliseren van de leden van de vereniging. Dat gebeurt onder meer door het faciliteren van onderzoek op de vakgebieden en het inrichten van een register van professionals die voldoen aan de eisen om ingeschreven te kunnen worden. ISACA stelt verschillende onderzoeksrapporten en publicaties beschikbaar op het gebied van audit, compliance en governance. Eén van de bekendste publicaties is het COBIT-framework. Dit werd eind jaren negentig ontwikkeld door ISACA en het IT Governance Institute (ITGI) en het betreft een algemeen raamwerk voor algemene IT-beheersmaatregelen. 5.2 Het raamwerk Het COBIT Framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. Om de organisatiedoelstellingen te realiseren moet de informatie voldoen aan een zevental kwaliteitscriteria om de organisatie en haar bedrijfsprocessen goed aan te kunnen sturen. Deze criteria zijn effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid. De informatie wordt voortgebracht door IT-processen en vier categorieën van informatiemiddelen: informatie, applicaties, infrastructuur en mensen. De informatiemiddelen worden beheerst via IT-processen, die zijn ingedeeld in 4 domeinen: Planning en organisatie Acquisitie en Implementatie Levering en Ondersteuning Bewaking De domeinen komen op een logische manier overeen met de verschillende fasen in de levenscyclus van informatiesystemen. Binnen elk van de onderscheiden domeinen definieert COBIT een aantal beheersingsdoelstellingen op procesniveau, welke in onderstaande tabel zijn weergegeven. Tabel 1: De beheersdoelstelling op procesniveau in COBIT per domein (vrij vertaald): 15

16 Domein Planning en organisatie Acquisitie en Implementatie Levering en Ondersteuning Bewaking Beheersingsdoelstelling PO1. Definieer een strategisch plan PO2. Definieer de informatiearchitectuur PO3. Bepaal de technologische koers PO4. Definieer de IT-organisatie en de bijbehorende relaties PO5. Beheer de IT-investering PO6. Communiceer de doelstellingen en de koers van het management PO7. Beheer personele zaken PO8. Zorg voor naleving van externe vereisten PO9. Onderzoek relevante risico s PO10. Beheer projecten PO11. Beheer kwaliteit AI1. Identificeer mogelijke geautomatiseerde oplossingen voor het ondersteunen van de bedrijfsvoering AI2. Verwerf en onderhoud de toepassingsprogrammatuur AI3. Verwerf en onderhoud de technische infrastructuur AI4. Ontwikkel en onderhoud procedures AI5. Installeer en accrediteer systemen AI6. Beheer wijzigingen DS1. Definieer en beheer dienstenniveaus DS2. Beheer diensten die door derden worden geleverd DS3. Beheer prestaties en capaciteit DS4. Zorg voor continue dienstverlening DS5. Waarborg de systeemveiligheid DS6. Identificeer de kosten en wijs deze toe DS7. Leid gebruikers op DS8. Assisteer en adviseer klanten DS9. Beheer de configuratie DS10. Beheer problemen en incidenten DS11. Beheer gegevens DS12. Beheer faciliteiten DS13. Regel de dagelijkse bediening M1. Bewaak de processen M2. Beoordeel de effectiviteit van het interne beheer M3. Verkrijg zekerheid door het inschakelen van een onafhankelijke derde M4. Zorg voor een onafhankelijke beoordeling De beheersingsdoelstellingen op procesniveau zijn verder uitgewerkt in doelstellingen op het niveau van activeiten. In totaal telt het raamwerk meer dan 300 maatregelen. Bij elk van de 34 IT-processen kent COBIT een aantal managementinstrumenten zoals: Control objectives: de beheerdoelstellingen per IT-proces. Bij elk van de 34 processen horen meerdere detailed control objectives. Management handleiding (op activiteitniveau): de input en output van het proces en een RACI -chart (Responsible, Accountible, Consulted and/or Informed) Performance indicatoren en resultaatmetrieken. 16

17 Volwassenheidsniveaus van organisaties op een schaal van 0 tot en met 5, waarbij 0 staat voor 'non-existence' en 5 staat voor optimised'. Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd. Het IT Governance framework is er op gericht de organisatie een redelijke zekerheid te bieden dat de ondersteunende IT-processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. Onderstaande figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en informatiemiddelen. Figuur 1: COBIT Framework 4.1. (www.isaca.org) COBIT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd. 17

18 Hoofdstuk 6: Vergelijking ISO / NIST / ISF / COBIT Om een antwoord te geven op deelvraag twee zullen in dit hoofdstuk ISO, NIST, ISF en COBIT tegen een aantal ontwikkelde selectie criteria worden gehouden. Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. Eerst zullen de selectiecriteria worden beschreven en vervolgens zullen wij de standaarden tegenover deze criteria in een tabel beschrijven. Het breedte criterium zal dan vervolgens nog verder worden uitgewerkt waarbij leemtes op gebied van onderwerpen tussen ISO, NIST en ISF worden geidentificeerd ter onderbouwing van dit criterium. Het diepte criterium voor de NIST en ISO is verder uitgewerkt in hoofdstuk 7. COBIT hebben wij hierbij buiten beschouwing gelaten omdat de standaard geen beveiligingsstandaard alleen is en een ander doel beoogt. 6.1 Selectiecriteria 3 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP , ISF Standard of Good Practice en CoBiT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001). Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet perse een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde standaard betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een hogere score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht. Breedte Dekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging). Diepte: Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch). 3 De criteria zijn ontwikkeld en getoetst op basis van de expertsessie. De breedte en diepte criteria zijn verder op basis van literatuuronderzoek uitgewerkt. De resultaten van deze expertsessie zijn opgenomen in de expertbrief Een standaard Keuze van eind januari beschikbaar op De expertbrief is eveneens opgenomen als bijlage aan dit onderzoek. 18

19 Flexibiliteit: Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing. Ratio: Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen. Acceptatie: Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden. Taal: Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar? Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn. In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria. Het breedte criterium is nader uitgewerkt in paragraaf

20 Criteria ISO NIST COBIT ISF Breedte: Dekt de hoofdgebiede n van IB Onderwerpen overzichtelijk gerangschikt Diepte: Flexibiliteit: Ratio: Acceptatie: Taal: Kosten: Tactisch en operationeel Management cyclus is opgenomen in Weinig gebruik door anderen dan IB specialisten Doelstellingen hangen samen met richtlijnen Meest geaccepteerd e standaard in Nederland Nederlands en Engels Gehele reeks betaald Dekt de hoofdgebieden van IB Onderwerpen versnipperd behandeld Veel productstandaarden Tactisch en operationeel Tactisch niet heel uitgebreid uitgewerkt in NIST SP , echter wel verder, verspreid, uitgewerkt in overige NIST reeksen. Weinig gebruik door anderen dan IB specialisten. Op basis van een risk assessment kunnen de minimale beveiligingsmaa t- regelen worden geselecteerd (NIST SP 14, FIPS ). Verplicht voor US federale overheid Private sector beperkt. Beperkt op het gebied van IB Niet specifiek IB, gericht op de beheersing van IT in het algemeen Strategisch en tactisch Operationeel niet uitgewerkt. Verwijst naar ISO Kent ook specifieke COBIT Practices en Security Baselines Veel gebruik door anderen dan IB specialisten Verbondenheid met audit processen (auditor) Elementen hangen samen met business drivers en input en output Goede ondersteuning voor Sox compliance Breed geaccepteerd Dekt de hoofdgebieden van IB Periodieke update en eventuele aanpassingen Tactisch en operationeel Weinig gebruik door anderen dan IB specialisten Principes hangen samen met doelstellingen Niet breed geaccepteerd Met name geaccepteerd door leden ISF. Bv niet in US Engels Engels Engels Gehele reeks gratis Betaald De standaard (SGOP) is gratis. Overige producten tegen een betaald lidmaatschap. 20

Een Standaard keuze!

Een Standaard keuze! PvIB Expertbrief Januari 2009 ISSN 1872-4876, jaargang 5 Nr. 1 1 Een Standaard keuze! Mark van der Beek Ranil Korf Hendrik-Jan Smit Vincent Alwicher Bart Bokhorst Erno Duinhoven Bert van Ingen De aanleiding

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Informatiebeveiliging & ISO/IEC 27001:2013

Informatiebeveiliging & ISO/IEC 27001:2013 Informatiebeveiliging & ISO/IEC 27001:2013 Aart Bitter Haarlem, 18 maart 2014 Kwaliteitskring Noord-Holland www.information-security-governance.com Agenda 13:45-14:15 - Informatiebeveiliging Introductie

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Modellen, Raamwerken en Methode s

Modellen, Raamwerken en Methode s In Control of Under Control? De auditor in het informatiebeveiligingsbos. Leon Kuunders (lkuunders@trusted-id.nl) Gebaseerd op Alphabet Soup van Benjamin Tomhave. Gebruikt met toestemming. CCA-NCND 2.5

Nadere informatie

BUSINESS RISK MANAGEMENT

BUSINESS RISK MANAGEMENT BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3

Nadere informatie

HP ITSM Assessment Services HP Services

HP ITSM Assessment Services HP Services HP ITSM Assessment Services HP Services Uit HP s ervaring met duizenden enterprise-klasse IT-omgevingen blijkt dat periodieke evaluaties essentieel zijn voor uw operationele succes. U dient de juiste serviceniveaus

Nadere informatie

BENT U ER KLAAR VOOR?

BENT U ER KLAAR VOOR? ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP

Nadere informatie

Uw specialist in technisch management

Uw specialist in technisch management IP-Solutions Het technisch beheer van installaties staat onder druk. De toenemende concurrentie, kostendruk en veranderende wet- en regelgeving vraagt om grotere transparantie, flexibiliteit en efficiency.

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Introductie OHSAS 18001

Introductie OHSAS 18001 Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

8.5 Information security

8.5 Information security H08-Jb.IT Beheer 2006 18-10-2005 16:20 Pagina 321 8.5 Information security governance Casus bij financiële instellingen Na corporate governance en IT-governance duikt binnen (Nederlandse) organisaties

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

BUSINESS CONTINUITEIT

BUSINESS CONTINUITEIT BUSINESS CONTINUITEIT BUSINESS CONTINUITY MANAGEMENT Tine Bernaerts, Consultant risk management, Amelior Business Continuity Management volgens ISO 22301: Societal Security Business Continuity Management

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

Snel naar ISO20000 met de ISM-methode

Snel naar ISO20000 met de ISM-methode Snel naar ISO20000 met de ISM-methode Cross-reference Datum: 16 oktober 2012 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar ISO20000 met de ISM-methode! Organisaties moeten, door

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

NEN-ISO/IEC 27001 (nl)

NEN-ISO/IEC 27001 (nl) Nederlandse norm NEN-ISO/IEC 27001 (nl) Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Eisen (ISO/IEC 27001:2005,IDT) Information technology - Security

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Business Process Management

Business Process Management Business Process Management Prof. dr. Manu De Backer Universiteit Antwerpen Katholieke Universiteit Leuven Hogeschool Gent Wat is een bedrijfsproces? Een verzameling van (logisch) gerelateerde taken die

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

artikel SUSTAINGRAPH TECHNISCH ARTIKEL

artikel SUSTAINGRAPH TECHNISCH ARTIKEL SUSTAINGRAPH TECHNISCH ARTIKEL SUSTAINGRAPH is een Europees project, gericht (op het verbeteren van) de milieuprestaties van Europese Grafimediabedrijven binnen de productlevenscyclus van hun grafimedia

Nadere informatie

WHITE PAPER. Informatiebeveiliging

WHITE PAPER. Informatiebeveiliging WHITE PAPER Informatiebeveiliging Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen.

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Uitbesteding van processen

Uitbesteding van processen Certification Providers Uitbesteding van processen College van Belanghebbenden TTP.NL Over deze presentatie s Signalen van marktpartijen - twijfel of alle s op de juiste wijze omgaan met (buitenlandse)

Nadere informatie

De nieuwe ISO-normen: meer dan KAM-management alleen!

De nieuwe ISO-normen: meer dan KAM-management alleen! De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Goedgekeurd op 11 februari 2011

Goedgekeurd op 11 februari 2011 GROEP GEGEVENSBESCHERMING ARTIKEL 29 00327/11/NL WP 180 Advies 9/2011 betreffende het herziene voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Geïntegreerde ex ante impactanalyse bij de Europese Commissie

Geïntegreerde ex ante impactanalyse bij de Europese Commissie Geïntegreerde ex ante impactanalyse bij de Europese Commissie Peter Lelie Europese Commissie - DG EMPL 7-Oct-09 Directoraat-Generaal for Werkgelegenheid, Sociale Zaken en Gelijke Kansen Eenheid Sociale

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Maturity van security architectuur

Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Waarde creatie door Contract Management

Waarde creatie door Contract Management Waarde creatie door Contract Management Value Next voor opdrachtgever en opdrachtnemer Herman van den Hoogen M: 06-53.96.36.14 www.hoogen- Procurement.com Nick Piscaer M: 06-37.60.03.12 nick.piscaer@ziggo.nl

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

KPMG s Identity and Access Management Survey 2008

KPMG s Identity and Access Management Survey 2008 42 KPMG s Identity and Access Survey 2008 Ing. John Hermans RE, Emanuël van der Hulst, Pieter Ceelen MSc en Geo van Gestel MSc Ing. J.A.M. Hermans RE is director bij KPMG IT Advisory te Amstelveen. Binnen

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Energiezorg management systeem. Symposium Groene ICT

Energiezorg management systeem. Symposium Groene ICT Energiezorg management systeem Symposium Groene ICT Voorstellen Marco Kappe Directeur Service Delivery Vancis 2 fysieke datacenters Housing van de (nationale supercomputer) Leveren van Co locatie Leveren

Nadere informatie

Betekenis nieuwe GRI - Richtlijnen. Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006

Betekenis nieuwe GRI - Richtlijnen. Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006 Betekenis nieuwe GRI - Richtlijnen Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006 Opbouw presentatie 1. Uitgangspunten veranderingen G2 - > G3 2. Overzicht belangrijkste

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

EXIN IT Service Management Foundation Bridge

EXIN IT Service Management Foundation Bridge Voorbeeldexamen EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edition 201512 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Leerbronnen Informatieveiligheid. 13 november 2014

Leerbronnen Informatieveiligheid. 13 november 2014 Leerbronnen Informatieveiligheid 13 november 2014 V-ICT-OR zet door op Informatieveiligheid! Doelstellingen: 1 Bewustzijn 2 Opleiding en advies 3 Uitwisseling van kennis en ervaring 4 Referentiekader V-ICT-OR

Nadere informatie

EPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013

EPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013 EPD in the cloud Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013 ICT:... van tool naar strategie Strategische implicaties Administratieve functies Medisch- Individualisatie technische patiëntbenadering

Nadere informatie

1. Samenvatting. 2. Kwalificatie en certificatie van informatiebeveiligers

1. Samenvatting. 2. Kwalificatie en certificatie van informatiebeveiligers 1. Samenvatting In dit document wordt het CPP IT Security Engineer vergeleken met andere certificeringen (stand van zaken april 2013). Deze vergelijking heeft de Open Universiteit op eigen gezag gemaakt

Nadere informatie

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie