Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013

Maat: px

Weergave met pagina beginnen:

Download "Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013"

Greta Simons
8 jaren geleden
Aantal bezoeken:

1 Presentatie ISO27001 in de praktijk MOA bijeenkomst 16 mei 2013

2 Even voorstellen Rob de Leur Business partner ORBEDO Procesmanagement Informatiebeveiliging Risicomanagement

3 Informatiebeveiliging - korte introductie - Informatiebeveiliging richt zich op het betrouwbaar functioneren van informatiesystemen en daarmee de betrouwbaarheid van de informatie. Het in voldoende mate waarborgen van: Beschikbaarheid Juistheid Vertrouwelijkheid

en daarmee de betrouwbaarheid van de informatie.

4 ISMS ISO27001 Internationale standaard voor informatiebeveiliging Raamwerk om informatiebeveiliging structureel in te richten en blijvend te verbeteren Risicogedreven, bedrijfsdoelen en -processen staan centraal Een eigen Information Security Management System: Vanuit eigen kwaliteitsoogpunt Als onderscheidend vermogen Omdat de klant het eist Vertrouwen hebben en geven dat belangrijke informatie in veilige handen is!

centraal Een eigen Information Security Management System: Vanuit eigen kwaliteitsoogpunt Als

5 Een kantoor

6 Opzet ISO Complexe norm - Opdeling Algemeen deel (PDCA) à la ISO9001 Bijlage met 133 beheersmaatregelen Uitsluitingen mogelijk Eigen scope bepaling

7 Onderdelen van informatiebeveiliging

8 Opzet ISO27001 centraal Gelijk andere managementsystemen Plan Do Check Act risico gedreven Beheer: Documenten Registraties Directie verantwoordelijkheid Beheer middelen Training, bewustzijn en bekwaamheid Interne ISMS audits Directiebeoordeling Continue verbeteren Corrigerend Preventief

verantwoordelijkheid Beheer middelen Training, bewustzijn en

9 Zonder inzicht geen uitzicht Klantvragen Waar staan we? Hoeveel tijd gaat het ons kosten? Hoeveel geld gaat het ons kosten qua begeleiding en certificering? Mogelijke tijdslijnen?

10 Fasering ISO27001 traject ISO27001 Gap Analyse IB statuut Risico-analyse Opzet ISMS Doorvoeren beheersmaatregelen Bijhouden Statement of Applicability Interne audits + Directiebeoordeling Certificering (optioneel) Go/No Go Richtlijn Nuancering Structuur Inhoud Status Check Bevestiging

Statement of Applicability Interne audits + Directiebeoordeling

11 Werkwijze Stuurgroep Begeleider Bedrijf ISMS Projectmanagement / Begeleiden Resources IB functionaris Templates Uitvoering

12 Rol begeleider Projectmanagement Begeleiding aktie-verantwoordelijken Aansturing en beoordeling resultaten Inbreng ISO27001 toolbox Training ISO27001 auditoren Begeleiding IB functionaris Begeleiding o.b.v. nacalculatie of fixed price

resultaten Inbreng ISO27001 toolbox Training ISO27001

13 Aanpak in blokken

ISO27001 Gap Analyse Doel Inzicht in benodigde tijd Inzicht in kosten begeleiding Mogelijke planning Gerealiseerd = vastgelegd en geïmplementeerd

14 ISO27001 Gap Analyse Doel Inzicht in benodigde tijd Inzicht in kosten begeleiding Mogelijke planning Gerealiseerd = vastgelegd en geïmplementeerd Volledig gerealiseerd Deels gerealiseerd Nog niet gerealiseerd Volledig inzicht in: Status Benodigde tijd Kostenplaatje Adequate informatie voor besluitvorming!

Volledig gerealiseerd Deels gerealiseerd Nog niet gerealiseerd Volledig

15 Blok Beleid IB statuut Beleidsmatige uitgangspunten op alle beheersdoelstellingen Richtinggevend voor beheersmaatregelen Basis voor medewerkersboekje

16 Blok Beleid risico analyse Basis: informatiesoorten en middelen Output: geclassificeerde informatiesoorten met dreigingen en gewogen beheersmaatregelen Uitvoeren impact analyse: potentiële schade Uitvoeren dreigingen analyse: potentiële gevaren Juistheid, vertrouwelijkheid en beschikbaarheid Sprint methodiek

beheersmaatregelen Uitvoeren impact analyse: potentiële schade Uitvoeren

17 ORBEDO Risico Analyse I Gereed Overzicht Extra Informatiesoorten Risico aspecten Risico niveaus Risico gebieden Integriteit Hoog Kosten RA Impact analyse Vertrouwelijkheid Beschikbaarheid Middel Laag Imago Juridisch RESULTAAT Geclassificeerde informatiesoorten o.b.v. de risico score totaal en per risico aspect Hoog risicovol Gemiddeld risicovol Laag risicovol Concretiseren VB Kosten Laag tot Middel tot Hoog vanaf

Juridisch RESULTAAT Geclassificeerde informatiesoorten o.b.v.

18 ORBEDO Risico Analyse I Gereed Overzicht RA Informatiesoorten Dreigingenanalyse Risico aspecten Integriteit Vertrouwelijkheid Beschikbaarheid Extra Dreigingen niveaus Waarschijnlijk Mogelijk Nihil RESULTAAT I Geïnventariseerde dreigingen met dreiging niveau voor de informatiesoorten RESULTAAT II Overzicht voor en per Hoog en Gemiddeld risicovolle informatiesoort met koppeling dreigingen en beheersdoelstellingen en indicatie van restrisico

Geïnventariseerde dreigingen met dreiging niveau voor de informatiesoorten RESULTAAT II Overzicht voor en per

19 Blok ISMS Verschijningsvorm: papier of digitaal Prima werkende free software WIKI toepassingen Toegankelijkheid op basis van autorisaties Versiebeheer Wijzigingsbeheer Inrichting systeemprocedures (à la ISO9001) Directiebeoordeling Interne audits, corrigerende en preventieve maatregelen Document- en registratiebeheer

Wijzigingsbeheer Inrichting systeemprocedures (à la ISO9001)

20 Personeel Screening Informatiebeveiligingsbewustzijn Geïnformeerd zijn (bv. Procedures en calamiteitenplan) Onderwerp bij functionerings- en beoordelingsgesprekken Signaleren (potentiële) risico s In- en uitdienst protocol

21 Derden Klanten Contractueel De klanteisen op het gebied van informatiebeveiliging Het niveau van informatiebeveiliging van de organisatie Sanctiebeleid Wijze van communicatie en monitoring Leveranciers Contractueel De eisen die de organisatie stelt op het gebied van informatiebeveiliging Het niveau van informatiebeveiliging van de leverancier Sanctiebeleid Wijze van communicatie en monitoring

22 Blok Fysiek Toegang pand (sleutel, keycard, sensor) Personeel, bezoekers en rokers (stok tussen de deur) Toegang (speciale) ruimten Computer servers, netwerk, noodstroom Expeditieruimten, achterdeur, nooduitgang Ontsluiten en sluiten pand Sleutelprocedure en adequaat beheer In en uitdiensttreding Plaatsing en onderhoud apparatuur Inbraak en rook detectie

23 Blok Fysiek Meenemen bedrijfseigendommen Laptops, smartphones, USB sticks Verwijderen apparatuur Verschoond van informatie programmatuur

24 Blok ICT Gebruik en toegang (servers, netwerk, applicatie, werkplek) Antivirus, Firewall, Autorisatie Registratie beveiligingsincidenten Centraal meldpunt (Helpdesk/ Servicedesk) Problemen oplossen en herhaling voorkomen Registratie bedrijfsmiddelen Eigenaren Onderlinge relaties Organiseren wijzigingen Eigenaren bedrijfsmiddelen betrekken Plannen, uitvoeren en accepteren

25 Blok ICT Beheren van de juiste versies (contracten, programma s) Applicatiebeheer (autorisatie, toegang, gebruik) Aanschaf voorwaarden, licenties Functiescheiding (ontwikkelaar en uitvoerder) Logging voor reconstructie Continuïteit (stroomuitval, back-up/restore en uitwijk) Capaciteit (toe en afname server, netwerk en disk) Geïntegreerd beheren Best practice (ITIL, ITSM, BISL en ASL) Opensource middelen (OTRS, WIKI)

26 ICT ontwikkelingen. In the cloud

27 ICT ontwikkelingen. In the cloud Hoe is de opslag beveiligd? Wie kan er bij? Waar wordt de data opgeslagen? Hoe is de communicatie afgeschermd? Hoe groter de omgeving, des te groter het aantal (potentiële) cybercriminelen Cloud leveranciers monitoren?!

28 Doorvoeren beheersmaatregelen Richting is bepaald (IB statuut) Dreigingniveau vastgesteld (Risico-analyse) Niet alle beheersmaatregelen (133) even zwaar aanzetten Validatie voor weging beheersmaatregelen Beheersmaatregelen kunnen uitgesloten worden

29 Bijhouden Statement of Applicability Overzichtdocument Vertaling per beheersmaatregel van implementatie Verwijzing naar onderliggende informatie Verantwoordelijke per beheersmaatregel SoA volgt ontwikkeling ISMS Statusdocument voor stuurgroep Onderdeel van certificaat

30 ORBEDO SOA I Gereed Extra Overzicht Beheersdoelstellingen met Beheersmaatregelen Van toepassing Verantwoordelijke Verklaring Referentie Validatie Beleid Contractueel Risico Analyse Doeltreffendheid vaststelling Meet methode Procesverwijzing Interne audits

31 ISO27001 Certificering Keuze voor best passende Wel of niet geaccrediteerd Kennis van vakgebied Prijsstelling 2 fasen Fase 1: documentstudie Fase 2: interviews Contract voor 3 jaar Uitgifte o.b.v. getoetste scope incl. SoA

32 Wie is verantwoordelijk voor de informatiebeveiliging?

33 Top 10 succesfactoren 1. Beleid 2. Managementsteun 3. Organisatie 4. Passende maatregelen 5. Cultuur 6. Kennis 7. Budget 8. Communicatie 9. Awareness 10. Evaluatie en onderhoud

34 Hints & Tips Stel realistisch ambitieniveau vast Integreer zoveel mogelijk in bestaande managementsystemen Gebruik bestaande bekende middelen en processen Gefaseerd = Beheerst Maak er geen verplichtnummer van maar een uitdaging Communiceren = betrekken = draagvlak

Vergelijkbare documenten

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen