Op het gebied van informatiebeveiliging is eenzelfde

Maat: px
Weergave met pagina beginnen:

Download "Op het gebied van informatiebeveiliging is eenzelfde"

Transcriptie

1 Artikel Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens Service Management is het beheersen van alle aspecten die van invloed zijn op de ICT-dienstverlening op zodanige wijze dat de met de klant afgesproken kwaliteit en kosten worden gewaarborgd [Sch04]. Het bekendste voorbeeld hiervan is ITIL. ITIL is ontstaan doordat organisaties steeds meer afhankelijk werden van de IT om de bedrijfsdoelstellingen te realiseren. Deze toenemende afhankelijkheid leidde tot een groeiende behoefte om de IT-dienstverlening beter af te stemmen op de bedrijfsdoelstellingen en de eisen en verwachtingen van de klanten. De IT moest van intern gericht naar extern gericht groeien. Drs. Vincent Jentjes is consultant informatiebeveiliging bij Hintech Security Informatiebeveiliging Bij informatiebeveiliging draait het om het verantwoord en bewust stellen van betrouwbaarheidseisen aan processen en systemen. Procesverantwoordelijken moeten in staat worden gesteld om deze verantwoordelijkheid te kunnen nemen. Dit artikel schetst een Security Service Management Framework dat een organisatie de mogelijkheid biedt om informatiebeveiliging vanuit een Service Management gedachte in te richten, te exploiteren en te beheren. Met behulp van dit security framework kunnen procesverantwoordelijken gefundeerd keuzes maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten. Op het gebied van informatiebeveiliging is eenzelfde trend waar te nemen. Informatiebeveiliging wordt, onder andere gevoed door wet- en regelgeving (SOX, Voorschrift Informatiebeveiliging Rijksdienst, Wet bescherming persoonsgegevens), een steeds belangrijker onderwerp in organisaties. In de praktijk blijkt het lastig om de informatiebeveiliging goed en werkend te implementeren. Eén van de redenen hiervoor is dat informatiebeveiliging zich begeeft in verschillende werelden. Informatiebeveiliging is van oudsher een ICT aangelegenheid. Het heeft zich vanuit hier ontwikkeld tot een specialistisch vakgebied met eigen functionarissen (security officers en managers), een eigen jargon, verenigingen en vakbladen. De aansluiting met de business is hierdoor wel eens lastig te maken. De business, veelal vertegenwoordigd door de proceseigenaar of procesverantwoordelijke, heeft de verantwoordelijkheid over het te treffen beveiligingsniveau. Door het specialistische karakter van het vakgebied, de verschillende zienswijzen (risicomanagement versus businessmanagement) sluiten deze werelden niet naadloos op elkaar aan. Het gedegen opzetten en inrichten van de informatiebeveiliging vereist dan ook een goede afstemming met betrekking tot de eisen en verwachtingen van de klant. Met Service Management, afgestemd op het vakgebied van de informatiebeveiliging, kan een organisatie informatiebeveiligingsdiensten aanbieden die zijn toegesneden op de behoefte van de klant. Hierdoor worden de twee verschillende werelden dichter bijeen gebracht. Dit artikel schetst een Service Management framework, afgestemd op informatiebeveiliging, vanuit de volgende vraagstelling: Op welke manier kan Service Management worden ingericht zodat het een bijdrage levert aan de inrichting, exploitatie en het beheer van informatiebeveiliging en de hierop afgestemde beveiligingsdienstverlening? Om deze vraag te kunnen beantwoorden, worden eerst de uitgangspunten van het Service Management framework, genaamd het Information Security Management Framework (ISMF) beschreven. Aan de hand van deze uitgangspunten wordt het ISMF verder uitgewerkt. Het artikel wordt afgesloten met een beschrijving van de toepassingsmogelijkheden van het ISMF. Uitgangspunten ISMF Het ISMF vindt haar oorsprong in het afstudeerreferaat Uitbesteden van informatiebeveiliging van de opleiding 12 de EDP-Auditor nummer

2 Bewaken EDP-auditing aan de Erasmus Universiteit te Rotterdam [Jen06]. In het referaat zijn de uitkomsten beschreven van een onderzoek naar de mogelijke manieren om niet alleen de technische kant / hard controls van informatiebeveiliging (de managed security services) uit te besteden, maar ook de procedurele en soft controls (bewustwording, naleving gedragsregels). Het ISMF wordt in dit referaat gehanteerd als een framework dat organisaties voorbereidt op eventuele uitbesteding van informatiebeveiliging. Het ISMF heeft een voorbeeld genomen aan ITIL (Information Technology Infrastructure Library) en ASL (Application Services Library). Beide modellen zijn gebaseerd op best practices en voorbeelden van Service Management modellen die veel organisaties gebruiken om (onderdelen van) de IT-organisatie in te richten en te beheren. ITIL is een algemeen aanvaarde standaard om technisch beheer in te richten. In dezelfde lijn der gedachte is ASL (Application Services Library) ontwikkeld. ASL richt zich op het beheer van de applicaties. ITIL en ASL hebben als kenmerk dat ze bestaan uit verschillende, op elkaar afgestemde processen, waarbij taken, verantwoordelijkheden, bevoegdheden en resultaatsverplichtingen duidelijk zijn vastgelegd. Echter, daar waar ITIL zich richt op het beheren en exploiteren van de IT-infrastructuur en ASL op de applicatie gerelateerde aspecten hiervan, daar richt het ISMF zich op het inrichten, exploiteren en beheren van de informatiebeveiliging van toepassing op de gehele organisatie. Het ISMF verschilt bijvoorbeeld van ITIL Security Management (ITIL SM) doordat het proces ITIL SM alleen kan functioneren bij het bestaan en de (goede) werking van de andere ITIL processen [Ko04]. ITIL SM geeft aanwijzingen aan de ITIL processen met betrekking tot de inrichting van de beveiligingsgerichte activiteiten. De ISMF processen daarentegen zijn opzichzelfstaande, onafhankelijke processen die de klant ondersteunen bij de verschillende aspecten van beveiliging. Het ISMF is gebaseerd op de volgende uitgangspunten: De procesbenadering De activiteiten voor de ontwikkeling, exploitatie en beheersing van informatiebeveiliging zijn gegroepeerd in processen. Het voordeel van een procesbenadering is dat het ISMF organisatieonafhankelijk is. Door de groepering van de activiteiten in tien beveiligingsprocessen is het mogelijk om de processen los van de feitelijke organisatievorm te beschrijven. Zo kunnen de activiteiten die deel uitmaken van het risicoanalyseproces, bijvoorbeeld uitgevoerd worden bij afdelingen als ICT, management, P&O, et cetera. Verschillende afdelingen van de organisatie nemen dus onderdelen van het proces op zich. Hiernaast biedt de procesbenadering grote voordelen voor het sturen op de kwaliteit (effectiviteit en efficiëntie) van het proces. Omdat een proces een afgebakend geheel is, kunnen de activiteiten en taken, verantwoordelijkheden en bevoegdheden van procesmanagers duidelijk vastgelegd worden. Hierdoor is het mogelijk met behulp van prestatie-indicatoren vaste meetpunten in het proces in te bouwen. Een model dat veelal wordt gebruikt bij het sturen op de kwaliteit is de PDCA-cirkel van Deming. Door herhaaldelijk de stappen Plan, Do, Check en Act - te doorlopen kan de kwaliteit van het proces worden verbeterd. Het ISMF past de PDCAcirkel op twee manieren toe. Per ISMF proces wordt de PDCA-cirkel toegepast om het proces te optimaliseren. Door de afspraken met de klant regelmatig te evalueren, kan het proces beter afgestemd worden op de behoefte van de klant. Hiernaast wordt de PDCA-cirkel toegepast om de kwaliteit van de informatiebeveiliging te borgen en te vergroten. Doordat het ISMF voor iedere stap uit de Plan, Do, Check, Act-cirkel één of meerdere processen definieert wordt de cirkel voor het totaal tevens doorlopen (zie figuur 1). Zo worden in de strategische processen het beleid en de informatiebeveiligings-strategie opgesteld. Hiermee wordt de Plan-fase uit de Deming cirkel afgedekt. De implementatieen beheerprocessen zorgen voor de implementatie en het onderhoud van de informatiebeveiliging. Deze processen zorgen door de invullen van de Do-fase uit de Deming cirkel. De ISMF managementprocessen dragen zorg voor de coördinatie en controle op de informatiebeveiliging. Onderdeel hiervan is het controleren of de security doelstellingen wel volgens de planning en normen zijn gehaald. Hiermee wordt de Check opgepakt. Als laatste dragen de verbeterprocessen bij tot het bijstellen van de informatiebeveiligingsdoelstellingen; de Act-fase. De servicegedachte Figuur 1: Deming cirkel ACT PLAN DO CHECK Het proces van het effectief en efficiënt beheren en beheersen van de kwaliteit van de dienstverlening aan de klant speelt een belangrijke rol. De klant bepaalt het gewenste niveau van beveiliging en de af te nemen beveiligingsdiensten. Als insteek geldt het leveren van continue dienstverle- 13 de EDP-Auditor nummer

3 ning door het maken van goede afspraken over het service level en een zo spoedig mogelijk herstel van het afgesproken service level bij de constatering van een afwijking. De focus is dus dienstverlening en de service die geleverd wordt. Een toekomstgerichte visie Tijdig anticiperen op ontwikkelingen draagt zorg voor continuïteit van de ondersteuning en voorkomt desinvesteringen. Toekomstgericht denken is essentieel voor informatiebeveiliging. Informatiebeveiliging is niet zomaar van de ene op de andere dag ingevoerd in een organisatie. Veelal is het een proces dat jaren in beslag neemt. Bedreigingen aangaande de afhankelijkheid en kwetsbaarheid veranderen iedere dag. Het is daarom ook zaak om bij de inrichting en het onderhoud van de informatiebeveiliging voorbereid te zijn op de veranderende omgeving. Het hebben van een toekomstvisie en een beveiligingsstrategie is daarom essentieel. Scheiding tussen beheer en onderhoud / vernieuwing Veelal wordt het onderscheid tussen beheer en vernieuwing niet zo expliciet gemaakt. Hierdoor wordt aan het beheer van informatiebeveiliging te weinig aandacht besteed. Immers, wanneer informatiebeveiliging eenmaal is geïmplementeerd, dient het beheerd te worden. Niet alleen het beheer op ICT-vlak (updates van firewalls, virusscanners, en dergelijke) is van essentieel belang, maar ook het beheer op het menselijk aspect van informatiebeveiliging is belangrijk. Het informatiebeveiligingsbewustzijn bijvoorbeeld verdient constante aandacht. Naast beheer verdient het vernieuwen en aanpassen van de informatiebeveiliging aan de veranderende (organisatie)omgeving aandacht. Het Information Security Management Framework Bovenstaande uitgangspunten zijn samengebracht in het Information Security Management Framework. Het framework bestaat uit tien processen. De processen komen niet allemaal voort uit de informatiebeveiliging. Veel ervan zijn afkomstig van terreinen als management en dienstverlening. De tien processen zijn ingedeeld vijf clusters, verdeeld over strategisch, tactisch en operationeel niveau (zie figuur 2). Strategische processen Het beveiligingsbeleid is veelal het vertrekpunt voor de inbedding van de informatiebeveiliging in de organisatie. Het is het essentiële instrument voor de aansturing en coördinatie van de verschillende beveiligingsprocessen in de organisatie. Het beleid wordt opgesteld op basis van onder andere de missie, strategie en doelstellingen van de onderneming onder verantwoordelijkheid van het businessmanagement. Naast het beleid zal de beveiligingsstrategie bepaald moeten worden. In deze strategie wordt uiteengezet hoe informatiebeveiliging wordt ingezet in de organisatie. De strategische processen richten zich op de ontwikkeling van een toekomstvisie op de informatiebeveiliging, de vertaling van die visie naar beleid en de inrichting van de beveiligingsorganisatie. Afhankelijk van de organisatie, het ambitieniveau, et cetera worden processen uit het ISMF gekozen en ingericht. Figuur 2: Information Security Management Framework 14 de EDP-Auditor nummer

4 In dit cluster wordt het volgende proces onderscheiden: - Security Policy & Strategic Management (SPSM) Het doel van het proces Security Policy & Strategic Management is om informatiebeveiliging beleidsmatig en strategisch vorm te geven. In dit proces wordt het beveiligingsbeleid gedefinieerd en de informatiebeveiligingsstrategie opgesteld. Met het beveiligingsbeleid wordt bepaald waaraan de informatiebeveiliging dient te voldoen, wat het ambitieniveau is en welke ISMF-processen ingericht worden. De informatiebeveiligingsstrategie schrijft voor hoe de informatiebeveiliging past binnen de organisatiedoelstellingen en strategie. Managementprocessen Groot probleem, ingegeven door de complexiteit van informatiebeveiliging, is vaak het overzicht bewaren in de gedefinieerde risico s, de beveiligingsmaatregelen, de implementatiestatus, et cetera. De managementprocessen hebben een bewakende en planmatige invalshoek. Planning, kwaliteitbewaking, risicomanagement, afspraken met klanten en leveranciers zijn in dit cluster de aandachtspunten. In dit cluster worden de volgende processen onderscheiden: - Security Quality & Audit Management (SQAM) Het doel van het proces Security Quality & Audit Management is het evalueren van en rapporteren over de effectiviteit en kwaliteit van de ISMF processen. Hiernaast biedt dit proces ondersteuning bij de voorbereiding voor een onafhankelijke audit op de informatiebeveiliging zelf. De verantwoordelijkheid over dit proces wordt belegd bij een Security Quality Manager. Deze stelt een Security Audit Programma op aan de hand van het gedefinieerde beleid, strategie en de Security Service Level Dossiers (zie proces SSLM). De per proces gedefinieerde prestatie-indicatoren vormen een belangrijk meetinstrument voor het meten van de effectiviteit en kwaliteit van het proces. Hiernaast wordt gebruik gemaakt van het Security Programma en werkplannen (zie proces SPM), die gedefinieerd worden in het Security Planning proces. De Security Quality Manager rapporteert zijn bevindingen aan de security procesmanagers, aan klanten en aan het management. - Security Service Level Management (SSLM) Informatiebeveiliging is geen opzichzelfstaand proces. Informatiebeveiliging is van toepassing op alle processen in de organisatie. Dit betekent dat voor ieder proces in de organisatie bepaalde beveiligingsactiviteiten uitgevoerd moeten worden. Het doel van het proces Security Service Level Management is het (maken en) beheren van de afspraken tussen de (security)dienstverleners en de klantenorganisatie - proces- en systeemeigenaren (intern/extern) - met betrekking tot de te leveren beveiligingsdiensten en betrouwbaarheidseisen. Binnen de Service Level wordt onderscheid gemaakt tussen twee soorten dienstverleners. Ten eerste zijn er dienstverleners in de organisatie die diensten verlenen waaraan de klant betrouwbaarheidseisen kan stellen. Hierbij kan gedacht worden aan de afdeling P&O die met de klant afspraken maakt over de exclusiviteiteisen die aan personeelsdossiers worden gesteld. Of de IT-afdeling die afspraken maakt over de beschikbaarheid van een bepaald systeem. Echter, als de IT-organisatie gebruik maakt van ITIL Service Level Management, dan dient de beveiligingsparagraaf als input voor de ICT-gerelateerde diensten. Ten tweede zijn er de dienstverleners, vaak vormgegeven in de vorm van een beveiligingsorganisatie, die de klant ondersteunen bij het onderwerp informatiebeveiliging. In de producten en dienstencatalogus (welke is afgeleid van de output van de ISMF processen) staat beschreven welke producten en diensten worden geleverd. Hierbij kan gedacht worden aan ondersteuning bij bijvoorbeeld het opstellen van het beveiligingsbeleid, het uitvoeren van risicoanalyses en bewustwordingsprogramma s. De Security Service Level Manager stemt de eisen en wensen van de klant af op het gedefinieerde beveiligingsbeleid. De afspraken komen in het Security Service Level Dossier (SSLD) te staan. In dit dossier staan naast de afspraken verwijzingen naar de werkplannen (zie proces SPM) waarin op detailniveau staat beschreven hoe en wanneer de afspraken gerealiseerd worden. - Security Program Management (SPM) Informatiebeveiliging kan uitgroeien tot een zeer complex geheel. Zeker in grote organisaties, met verschillende locaties, voorzien van verschillende IT-infrastructuren en -systemen, kan informatiebeveiliging het nodige beslag gaan leggen op de financiële en personele capaciteit. Immers, hoe meer locaties, infrastructuren en systemen, hoe meer risicoanalyses uitgevoerd worden en hoe meer beveiligingsmaatregelen geïmplementeerd moeten worden. SPM zorgt voor het implementatiemanagement van de informatiebeveiliging. Het proces heeft als doel het plannen, afstemmen en begeleiden van de verschillende implementaties. In dit proces vindt het management over de implementatie van de informatiebeveiliging plaats. Er worden door de Security Planner implementatiewerkplannen opgesteld, rapportages over de totale implementatiestatus afgegeven, et cetera. De Security Planner draagt zorg voor het Security Programma bestaande uit een samenhangend portfolio aan werkplannen. Een werkplan is een plan waarin op een projectmatige wijze staat aangegeven wie, wat in een bepaalde tijd voor activiteiten moet ondernemen. In het Security Programma staat de prioritering, en de samenhang van en afstemming tussen de werkplannen. Input voor het Security Programma en werkplannen zijn het beveiligingsbeleid, de strategie en het SSLD. 15 de EDP-Auditor nummer

5 - Security Risk Management (SRM) Het doel van dit proces is om voor objecten, processen en diensten het risicoprofiel (norm) en de beveiligingsmaatregelen te definiëren, te managen en wijzigingen hierop efficiënt en effectief af te handelen. Security Risk Management ondersteunt de klant en het management bij het bepalen van de te aanvaarden risico s en de te treffen beveiligingsmaatregelen. Hierbij kan gedacht worden aan het uitvoeren van Afhankelijk en Kwetsbaarheidsanalyses (A&K). Beheerprocessen Informatiebeveiliging houdt zich helaas niet vanzelf in stand. Er doen zich altijd incidenten voor die niet voorzien zijn. Hiernaast verslapt de aandacht voor informatiebeveiliging op den duur. Dagelijks beheer is dan ook noodzakelijk wil men op het gedefinieerde betrouwbaarheidsniveau blijven. De beheerprocessen dragen zorg voor het dagelijkse beheer van de informatiebeveiliging door een optimale inzet van de in gebruik zijnde informatiebeveiligingproducten en -diensten te realiseren. In dit cluster worden de volgende processen onderscheiden: - Security Incident Management (SIM) Het process Security Incident Management is meer dan alleen het registreren van incidenten. Het doel van dit proces is om het vooraf gedefinieerde kwaliteitsniveau van de informatiebeveiliging te handhaven door afwijkingen van de normsituatie zo snel mogelijk te detecteren en te verhelpen. Security Incident Management zorgt voor het aannemen, registreren, afhandelen en afsluiten van beveiligingsincidenten. Een onderdeel van Security Incident Management is, wat in ITIL termen wordt aangeduid als Problem Management, het analyseren en oplossen van repeterende (veel voorkomende) incidenten. De Security Incident Manager probeert bij veel voorkomende incidenten te achterhalen wat de achterliggende oorzaak is en doet hiervoor verbetervoorstellen aan het management en de klant. Wanneer een organisatie het ITIL proces Incident Management heeft ingericht, vervangt dit het aannemen, registreren, afhandelen en afsluiten van incidenten van het proces Security Incident Management. Er moet wel een koppeling gelegd worden met het proces Security Incident Management om repeterende incidenten te op te lossen en de aansluiting op de overig ISMF processen te maken. - Security Configuration Management (SCM) Om informatiebeveiliging te kunnen beheren en managen, is het van vitaal belang dat er betrouwbare en accurate informatie beschikbaar is over alle aspecten van de informatiebeveiliging. Het doel van het proces Security Configuration Management is te zorgen voor deze accurate en betrouwbare informatie. Ter ondersteuning van dit proces wordt gebruik gemaakt van de Security Configuration Database. In de Security Configuration Database worden onder andere de volgende zaken bijgehouden: - Beleid en strategie documenten. - Lijst van objecten, processen en diensten (assets). - Risicoprofielen per object, proces en dienst. - De beveiligingsmaatregelen gedefinieerd per object, proces, dienst. - Het Security Service Level Dossier. - De status van implementatie, programma s en werkplannen. - Beveiligingsincidenten. - Het Auditprogramma. De database wordt beheerd en ingericht door de Security Configuration Manager. De Security Configuration Manager vult de database, verleent toegang tot de database en verzorgt op aanvraag statusrapportages. Security Configuration Management is de spil in het management van de informatiebeveiliging. Ieder ISMF-proces levert informatie aan en krijgt informatie uit de database. De Security Configuration Database is een andere dan de CMDB die binnen ITIL wordt gebruikt. In de CMDB die in het ITIL proces Configuration Management wordt gebruikt, worden onder andere alle CI s met classificatie geregistreerd. De Security Configuration Database richt zich enkel op het beheer van de (informatie)beveiliging. - Security Awareness Management (SAM) In veel informatiebeveiligingsimplementatietrajecten wordt gebruik gemaakt van een bewustwordingscampagne om het bewustzijn inzake informatiebeveiliging te verhogen. Helaas is een bewustwordingscampagne veelal een eenmalige actie. Wanneer het bewustwordingsprogramma is afgesloten, daalt het bewustzijn al weer heel snel. Het doel van het proces Security Awareness Management is het opleiden, bewustmaken en bewust houden van alle medewerkers in de organisatie aangaande de informatiebeveiliging. De Security Awareness Manager stelt een lange termijn bewustwordingsprogramma op. Belangrijke input voor het bewustwordingsprogramma komt uit het proces Security Incident Management en Security Opportunities & Threats Management. Tevens voert de Security Awareness Manager eigen onderzoeken uit naar de status van het bewustzijn. Het Awareness programma wordt afgestemd met de overige communicatie-uitingen in de organisatie en met het proces Security Program Management. De Security Awareness Manager adviseert de Security Planner bij het opstellen van het Security Programma en de werkplannen. Het doel hiervan is dat bewustwording van informatiebeveiliging een integraal onderdeel van de implementatie wordt. Hiernaast adviseert de Security Awareness Manager de Security Implementation Manager bij de praktische uitvoering van de werkplannen met betrekking tot de bewustwording. Hierbij moet gedacht worden aan het adviseren over communicatiemiddelen, communicatiekanalen, et cetera. Implementatieprocessen De daadwerkelijke implementatie van de beveiligingsnorm 16 de EDP-Auditor nummer

6 vergt, gezien de complexiteit en hoeveelheid aan beveiligingsmaatregelen, een projectmatige aanpak. De implementatieprocessen richten zich op de implementatie van beveiligingsmaatregelen, volgens tijd, geld en budget. In dit cluster wordt het volgende proces onderscheiden: - Security Implementation Management (SIM) In het proces Security Planning worden werkplannen opgesteld, die in het proces Security Implementation Management uitgevoerd worden. Het doel van dit proces is het implementeren van de beveiligingsmaatregelen op lokaal / asset niveau op een projectmatige wijze. Afhankelijk van de grootte van het werkplan wordt dit projectmatig opgepakt. Per werkplan bestaat er een proces Security Implementation Management, met als verantwoordelijke de Security Implementation Manager. De Security Implementation Manager is de projectleider die zorgt voor de uitvoering van het werkplan. Hij rapporteert aan de Security Planner. Verbeterprocessen Informatiebeveiliging is een continu proces. Bedreigingen in de omgeving veranderen constant. Het aanpassen en verbeteren van de informatiebeveiliging is hierdoor uitermate belangrijk. De verbeterprocessen richten zich op het proactief zoeken naar mogelijke bedreigingen en het doen van verbetervoorstellen. In dit cluster wordt het volgende proces onderscheiden: - Security Opportunities and Threats (SOT) Het doel van dit proces is om nieuwe bedreigingen en kansen te herkennen en voorstellen te doen tot verbetering van de informatiebeveiliging. Dit proces kijkt voornamelijk naar de toekomst en probeert trends en nieuwe bedreigingen in de buitenwereld waar te nemen, te voorspellen en verbetervoorstellen te doen. Praktisch voorbeeld is het lid zijn van een CERT. Hiernaast communiceert het proces bijvoorbeeld over de impact van nieuwe wet en regelgeving naar het management. Toepassingsmogelijkheden van het ISMF Het ISMF kan, zoals gezegd, worden toegepast om informatiebeveiliging op een gestructureerde manier in te richten, te exploiteren en te beheren. Hiernaast kan het ISMF nog voor een aantal andere doeleinden worden toegepast: - Het vormgeven van een Security Service Organisation. - Als voorbereiding op of als inrichting van uitbesteding van informatiebeveiliging. - Audit normenkader. Security Service Organisation Het ISMF is uitermate geschikt om een informatiebeveiligingsbeheerorganisatie / Security Service Organisation (SSO) in te richten. Het grote voordeel van een SSO, ingericht volgens de ISMF processen, is dat de informatiebeveiliging op een servicegerichte manier aangeboden kan worden. De klant wordt in staat gesteld om zelf betrouwbaarheidseisen aan processen en systemen te stellen en hier verantwoording voor te nemen. De SSO ondersteunt de klant hierbij op strategisch, tactisch en operationeel niveau in de organisatie. Afhankelijk van de wensen van de organisatie kan een SSO beveiligingsproducten en -diensten via de bijbehorende processen leveren. In tabel 1 zijn de ISMF processen weergegeven met een aantal mogelijke te leveren producten en diensten. De te leveren producten en diensten worden in het Security Service Level Dossier vastgelegd. De gemaakte afspraken worden meetbaar door prestatie-indicatoren per product of dienst te definiëren. Neem als voorbeeld de ondersteuning bij het uitvoeren van risicoanalyses in het proces Security Risk Management. Tussen de klant en de SSO worden afspraken gemaakt over het aantal uit te voeren risicoanalyses per tijdseenheid, de manier van rapporteren, het aantal reviews over door de klant zelf uitgevoerde risicoanalyses, et cetera. Afhankelijk van de wensen van de klant worden bepaalde producten en diensten ingekocht. Uitbesteden van informatiebeveiliging Uitbesteden is het, op basis van een contract, voor lange duur overdragen naar een externe partij van de management- of beheerverantwoordelijkheid van één of meer dienstverleningstaken [KV04]. Hierbij kan al dan niet sprake zijn van de overdracht van medewerkers en middelen naar de uitbestedingsleverancier. Een logische stap na het inrichten van een SSO is deze over te dragen naar een externe partij. De gedachte hierachter is dat informatiebeveiliging een steeds prominentere rol in de organisatie inneemt en hierdoor steeds meer op de budgetten van de primaire processen drukt. Uitbesteding van informatiebeveiliging zou kunnen leiden tot kostenreductie en verhoging van de kwaliteit. Het uitbesteden van informatiebeveiliging gebeurt voornamelijk op het ICT-beveiligingsvlak in de vorm van managed security services (diensten die zich onder andere richten op het inrichten, onderhouden en monitoren van firewalls, virusscanners en overige netwerkbeveiliging). Omdat deze diensten relatief goed meetbaar zijn, zijn goede afspraken te maken over de resultaatverplichtingen. Informatiebeveiliging is echter breder. Naast technische aspecten zijn de procedurele en menselijke aspecten minstens zo belangrijk. Ook hiervoor geldt dat de uitbestedingsleverancier moet kunnen waarborgen dat de aangegane verplichtingen nagekomen kunnen worden. Vanwege onder andere de borging in het proces Security Awareness Management (SAM), is het ISMF een instrument om ook de procedurele en menselijke aspecten gestructureerd (kwantificeerbaar en kwalificeerbaar) uit te voeren. In het afstudeerreferaat Uitbesteden van informatiebeveiliging [Jen06] wordt het onderwerp uitbesteden van informatiebeveiliging verder uitgewerkt. 17 de EDP-Auditor nummer

7 Proces Product / dienst Uitleg product / dienst SPSM SQAM - Beleidsdocument Informatiebeveiliging - Advisering over het beleid - Security Audit Programma - Resultaten uitgevoerde audits Beleid en strategie t.a.v. informatiebeveiliging Advisering over het opstellen en uitvoeren van het beleid inzake informatiebeveiliging. Het lange en korte termijn auditprogramma t.b.v. de kwaliteit van de informatiebeveiliging. Rapporten per uitgevoerde audit SSLM SPM SIM - Security Service Level Dossiers - Klantrapportages - Advisering - Security Programma - Implementatie werkplannen - Rapportages implementaties - Incident registraties en verwerkingen - Incident rapportages - Escalatie procedures - Workarounds Dossier met gemaakte afspraken tussen klant en dienstverlener (SLA voor de security ondersteuning) Rapportages per proces over de geleverde dienstverlening. Deze staan los van de audit rapporten. Advisering van klanten over de af te nemen security diensten Het lange termijn projectprogramma ter ondersteuning en afstemming van de verschillende informatiebeveiligingsprojecten. De implementatieplannen (IB-plannen) per business unit. De voortgangsrapportages inzake de implementatie van de informatiebeveiliging. Servicepunt voor het registreren en verwerken van beveiligingsincidenten. Rapportages over de beveiligingsincidenten (aantal, repeterende, etc.) Advisering over de escalatieprocedures bij grote incidenten. SCM - Rapportages - Producten uit alle Security processen - Vragen beantwoorden Adviseren over en zoeken naar workarounds bij incidenten die primaire en secundaire processen verstoren. Op verzoek het uitdraaien van allerlei rapportages (statussen, voortgangen, etc.) Verzamelen van alle producten afkomstig uit alle security processen. Op verzoek het beantwoorden van vragen over de security processen. SAM SIM SRM SOT - Awareness programma s - Workshops risicomanagement - Managementgames Onderzoeksrapportages bewustzijn Statusrapportages Advisering bij opstellen implementatieplan - A&K Risicoanalyses - Beveiligingsplan Calamiteitenplan Beveiligingsmaatregelen Rapportages CERT Het geven van advies over, en opstellen van, bewustwordingsprogramma s. Op verzoek geven van risicomanagement workshops. Op verzoek geven van managementgames. Uitvoeren van audits naar het beveiligingsbewustzijn en hierover rapporteren aan de klant / opdrachtgever Voortgangsrapportages, Issue log, etc. Advisering bij opstellen implementatieplan / IB-plan (Ondersteunen bij) uitvoeren van A&K-analyses Adviseren over / opstellen van beveiligingplan Adviseren over / opstellen van calamiteitenplan Adviseren over / opstellen van beveiligingsmaatregelen / baselines (ISO 17799, NEN7510, Wbp) Rapporteren over potentiële nieuw bedreigingen. Tabel 1: ISMF processen en diensten 18 de EDP-Auditor nummer

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

ITIL en/of eigen verantwoordelijkheid

ITIL en/of eigen verantwoordelijkheid ITIL en/of eigen verantwoordelijkheid Leo Ruijs 20 SEPTEMBER 2011 INNOVATIEDAG MANSYSTEMS Service8 B.V. Stelling ITIL BEPERKT DE EIGEN VERANTWOORDELIJKHEID VAN MEDEWERKERS EN HEEFT DAARMEE EEN NEGATIEVE

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

6 Auditsoftware onder de loep Chris Wauters en Gert van der Pijl

6 Auditsoftware onder de loep Chris Wauters en Gert van der Pijl de EDP-Auditor Colofon De EDP-Auditor is een uitgave van de Nederlandse Orde van Register EDP-Auditors Redactieraad drs. J.P. Harmens RE RA drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA prof. ir. E.F.

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Stop met procesgericht ICT-beheer. Betere resultaten door eigen verantwoordelijkheid

Stop met procesgericht ICT-beheer. Betere resultaten door eigen verantwoordelijkheid Stop met procesgericht ICT-beheer Betere resultaten door eigen verantwoordelijkheid Wie is Leo Ruijs? Leo Ruijs, Service 8-2 - Ontwikkelingen vakgebied 1950-1970 Beheer als specialisatie 1970-1990 ICT

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Klachten en Meldingen. Managementdashboard

Klachten en Meldingen. Managementdashboard Welkom bij de demonstratie van het Welkom bij de systeem demonstratie van Welkom bij de systeem demonstratie van het Management Klachten en Meldingen System Managementdashboard Systemen van Inception Borgen

Nadere informatie

Betere dienstverlening door eigen verantwoordelijkheid. Stop met procesgericht ICT-beheer!

Betere dienstverlening door eigen verantwoordelijkheid. Stop met procesgericht ICT-beheer! Betere dienstverlening door eigen verantwoordelijkheid Stop met procesgericht ICT-beheer! Agenda 19.00 Welkom 19.05 Terugblik op presentatie Service managersdag 2011 19.30 Gelaagdheid in dienstverlening

Nadere informatie

Examen BiSLF Business Information Management Foundation

Examen BiSLF Business Information Management Foundation Examen BiSLF Business Information Management Foundation Publicatiedatum Startdatum 1 januari 2006 1 oktober 2005 Doelgroep De doelgroep voor deze module heeft in zijn of haar functie een rol bij het aansturen,

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Een framework voor applicatiebeheer

Een framework voor applicatiebeheer Een framework voor applicatie Mark Smalley ASL-Foundation www.aslfoundation.org SPIder, Utrecht, 10 juni 2003 Agenda Positionering applicatie Wat is ASL Waarom ASL Hoe ziet ASL eruit Samenwerking domeinen

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Prestatiecontracten, de toekomst? Ap Borsje 06-51398334 Koert Meuldijk 06-51398322 Senior consultants exploitatie

Prestatiecontracten, de toekomst? Ap Borsje 06-51398334 Koert Meuldijk 06-51398322 Senior consultants exploitatie Prestatiecontracten, de toekomst? Ap Borsje 06-51398334 Koert Meuldijk 06-51398322 Senior consultants exploitatie Quadrance Wat is Quadrance en wie zijn wij? Adviesbureau vastgoed exploitatie: 16 medewerkers,

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen Management van IT Han Verniers PrincipalConsultant Han.Verniers@Logica.com Logica 2008. All rights reserved Programma Management van IT Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Advies Service Management

Advies Service Management Advies Service Management Service Management binnen Cronus op basis van ITIL Auteurs: Anton Post en Dennis Westhuis Klas: M2B SLB groep: 10PSH Datum: 03-03-07 Vak: ISERPU Revisie Inleverdatum 1 12-03-07

Nadere informatie

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud Toegevoegde waarde vanuit inhoud De Organisatie 1 De Organisatie Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met een uitgebreide expertise in business-

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Business Service Management Eén ERP-oplossing voor al uw beheer

Business Service Management Eén ERP-oplossing voor al uw beheer WHITEPaPER: BUSINESS SERVICE MANAGEMENT Business Service Management Eén ERP-oplossing voor al uw beheer IT SERVIcE PRoVIDER auteur: Herman Rensink WHITEPAPER: BUSINESS SERVICE MANAGEMENT 2 Met GENSYS levert

Nadere informatie

Waarde creatie door Contract Management

Waarde creatie door Contract Management Waarde creatie door Contract Management Value Next voor opdrachtgever en opdrachtnemer Herman van den Hoogen M: 06-53.96.36.14 www.hoogen- Procurement.com Nick Piscaer M: 06-37.60.03.12 nick.piscaer@ziggo.nl

Nadere informatie

ORGANISEREN BINNEN FM

ORGANISEREN BINNEN FM Marjon Klootwijk KWALITEITSDOCUMENTEN ORGANISEREN BINNEN FM De hoeveelheid documenten neemt alsmaar toe en het overzicht in het aantal en soorten documenten verdwijnt geleidelijk. De relaties of de interdependentie

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Functioneel applicatiebeheer in het ziekenhuis

Functioneel applicatiebeheer in het ziekenhuis Functioneel applicatiebeheer in het ziekenhuis Auteur : Liesbeth van Erp Review : Hugo Roomans, Winnifred de Keizer Versie : 1.0 Datum : 1 oktober 2009 Bruggebouw Bos en Lommerplein 280 Postbus 9204 1006

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Geef handen en voeten aan performance management

Geef handen en voeten aan performance management Geef handen en voeten aan performance management De laatste jaren is het maken van concrete afspraken over de ICT-serviceverlening steeds belangrijker geworden. Belangrijke oorzaken hiervoor zijn onder

Nadere informatie

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

getronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer

getronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer getronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer Kennismaking 1 Beheer Van project naar beheer Grootschalige Vernieuwing Applicatiebeheer

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

BluefieldFinance. BluefieldFinance. Sense Template. Toegevoegde waarde vanuit inhoud

BluefieldFinance. BluefieldFinance. Sense Template. Toegevoegde waarde vanuit inhoud Sense Template BluefieldFinance Toegevoegde waarde vanuit inhoud De Organisatie Opgericht 2007 Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met

Nadere informatie

Ontwikkelaar ICT. Context. Doel

Ontwikkelaar ICT. Context. Doel Ontwikkelaar ICT Doel Ontwikkelen en ontwerpen van ICT-producten, binnen overeen te komen dan wel in een projectplan vastgelegde afspraken ten aanzien van tijd, budget en kwaliteit, opdat overeenkomstig

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Doen of laten? Een dag zonder risico s is een dag niet geleefd Doen of laten? Een dag zonder risico s is een dag niet geleefd Wie, wat en hoe Eric Lopes Cardozo & Rik Jan van Hulst sturen naar succes Doel Delen van inzichten voor praktisch operationeel risico management

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Whitepaper implementatie workflow in een organisatie

Whitepaper implementatie workflow in een organisatie Whitepaper implementatie workflow in een organisatie Auteur: Remy Stibbe Website: http://www.stibbe.org Datum: 01 mei 2010 Versie: 1.0 Whitepaper implementatie workflow in een organisatie 1 Inhoudsopgave

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

RISICOMANAGEMENT. Wat voegt risicomanagement toe?

RISICOMANAGEMENT. Wat voegt risicomanagement toe? RISICOMANAGEMENT Risicomanagement ondersteunt op een gestructureerde manier het behalen van doelstellingen en het opleveren van projectresultaten. Dit kan door risico s expliciet te maken, beheersmaatregelen

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Het ITIL Foundation Examen

Het ITIL Foundation Examen Het ITIL Foundation Examen Proefexamen A, versie 5.2 Meerkeuzevragen Instructies 1. Alle 40 vragen moeten worden ingevuld. 2. Alle antwoorden moeten op het bijgeleverde antwoordformulier worden ingevuld.

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen 1 Waarom? : Succesvol zijn is een keuze! Organisaties worden door haar omgeving meer en meer gedwongen om beter te presteren. Voornamelijk wordt dit ingegeven door de klant die haar eisen en wensen m.b.t.

Nadere informatie

Service van begin tot eind. De kwaliteit en service van Business Volume Service (BVS)

Service van begin tot eind. De kwaliteit en service van Business Volume Service (BVS) Service van begin tot eind De kwaliteit en service van Business Volume Service (BVS) INHOUD 1 VOORWOORD 2 MISSIE BVS 3 KWALITEITSBELEID 4 ORGANISATIESTRUCTUUR 5 HET KWALITEITSSYSTEEM 5.1 NORMEN 5.2 ELEMENTEN

Nadere informatie

EXIN IT Service Management Foundation Bridge

EXIN IT Service Management Foundation Bridge Voorbeeldexamen EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edition 201512 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

NORTHWAVE Intelligent Security Operations

NORTHWAVE Intelligent Security Operations Intelligent Security Operations UW BUSINESS BETER BESCHERMD DOOR GEDREVEN EXPERTS Northwave (2006) helpt u bij het realiseren van een slim en integraal proces van informatiebeveiliging. Dat biedt u betere

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

HOOFDSTUK 5. De ITIL-servicelevenscyclus. 5.1 Introductie. MS Office. ITIL V3 een kennismaking ITIL =

HOOFDSTUK 5. De ITIL-servicelevenscyclus. 5.1 Introductie. MS Office. ITIL V3 een kennismaking ITIL = HOOFDSTUK 5 5.1 Introductie een kennismaking ITIL = Information Technology Aan het eind van de vorige eeuw groeide informatievoorziening snel. Het werd nodig dat die informatievoorziening goed beheerd

Nadere informatie

18 november 2013 Jo De Landtsheer Senior Consultant

18 november 2013 Jo De Landtsheer Senior Consultant 18 november 2013 Jo De Landtsheer Senior Consultant Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, digitale kopie, scan of op welke wijze dan ook

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

ASL grote stap naar INK-niveau III

ASL grote stap naar INK-niveau III procesmodellen ASL grote stap naar INK-niveau III Grote bijdrage aan volwassenheid primaire processen Er is een groot aantal procesmodellen, volwassenheidsmodellen en combinaties daarvan, zoals Itil, CMM

Nadere informatie

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie