Inspiratiesessie informatiebeveiliging
|
|
- Erna de Haan
- 5 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Inspiratiesessie informatiebeveiliging Hartelijk welkom 1 DNV GL SAFER, SMARTER, GREENER
2 Programma 16:45 Leo Benschop ControlSolutions ISO 27001, NEN 7510, ISAE 3402 verklaringen en AVG compliance 17:15 Sjoerd van de Meerendonk BMGrip Implementatie en beheer van efficiënt geïntegreerde systemen 17:45 Rob Jansen DNV GL Business Assurance Nut en noodzaak van certificering 18:15 Netwerkborrel 2 DNV GL
3 Wie is DNV GL? 3 DNV GL
4 Internationaal en onafhankelijk ,000 years offices countries employees 4 DNV GL
5 DNV GL Business Assurance Eén van s werelds meest vooraanstaande certificerende instellingen en actief in: Managementsysteemcertificatie Product Certificatie Persoonscertificatie Training Assessments Consulting Zo n uitgegeven certificaten wereldwijd. In Benelux zo n 100 certificeringsschema s waaronder ook: ISO 9001 ISO ISO HKZ NEN 7510 ISO ISO ISO CSA STAR Veel ervaring en een goede reputatie in alle sectoren. Alle vereiste erkenningen en accreditaties. Duurzaam, innovatief en vaak betrokken bij de ontwikkeling van nieuwe initiatieven. Unieke klantgerichte werkwijze Risk Based Certification. 5 DNV GL
6 Certificaten en verklaringen Welke en waarom? Ten behoeve van de DNV GL Inspiratiesessie 15 november 2018
7 Certificaten en verklaringen Certificaten: ISO27001 NEN7501 Verklaringen ISAE 3000 type 1, type2 ISAE 3402 type 1, type2 SSAE 18 SOC 1 type 1, type2 SOC 2 type 1, type2 SOC 3 type 1, type2?
8 ISO27001 ISO standaard voor Informatiebeveiliging Toepasbaar voor alle organisaties Wereldwijd erkend Bevat een set met verplichte vereisten/ normen (HLS) en een set met normen die van toepassing kunnen zijn (Annex A) Relevantie Annex A wordt bepaald via de scope en risicoanalyse
9 NEN7510 NEN standaard voor Informatiebeveiliging in de zorg Toepasbaar voor zorgorganisaties en hun leveranciers Alleen in Nederland erkend Bevat een set met verplichte normen (NEN7510-1) en een set met normen die van toepassing kunnen zijn (NEN7510-2) Bevat specifieke normen voor de zorgsector (zorgspecifieke beheersmaatregelen)
10 Speelveld klant -serviceorganisatie - auditor Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands
11 ISAE3000 Assuranceverklaring over niet-financiële informatie Toegepast voor audits van interne controle, duurzaamheid en naleving van wet- en regelgeving. ISAE 3000 kent twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de auditor (op eigen briefpapier) Vorm en normvrij
12 ISAE3402 Assuranceverklaring over financiële informatie (jaarrekening gerelateerd) ISAE 3402 kent ook twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de serviceorganisatie, maar bevatten tevens het oordeel en de testresultaten van de auditor. Vorm en normvrij
13 Oordeel Auditor over doelstellingen Op basis van de beheersmaatregelen Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands
14 SSAE18 (SOC 1) Assuranceverklaring over financiële informatie (jaarrekening gerelateerd): inhoudelijk gelijk aan de ISAE 3402 SSAE 18 kent ook twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de service-organisatie, maar bevatten tevens het oordeel en de testresultaten van de auditor. Vorm en normvrij
15 SSAE18 (SOC 2) Assuranceverklaring over niet-financiële informatie Toegepast voor audits van interne controle, duurzaamheid en naleving van weten regelgeving. SOC 2kent twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de service-organisatie, maar bevatten tevens het oordeel en de testresultaten van de auditor. Vormvrij (gelijk aan ISAE 3402) Verplicht normenkader (Trusted Service Criteria)
16 SSAE18 (SOC 3) SOC 3 is een verkorte versie van de SOC 2-rapportage.
17 ISAE3402 Systeembeschrijving Management verklaring Testresultaten Oordeel Overige Informatie Serviceorganisatie Service Auditor Rapportage Klantorganisatie(s)
18 Verschillen - certificaten en verklaringen Certificaat Het bewijs (op 1 A4) dat (het managementsysteem van) een organisatie voldoet aan een set met criteria (standaard) Getoetst door een onafhankelijke deskundige auditor Afgegeven door een geaccrediteerde organisatie Verklaring Het bewijs (in een gedetailleerde rapportage) dat een specifieke dienst van een organisatie is getoetst aan een set met criteria (standaard) en het oordeel hierover. Afgegeven door een onafhankelijke deskundige auditor (RE/RA) Een certificaat moet behaald worden, een verklaring wordt altijd afgegeven.
19 ISO annex A Verschillen tussen certificaten en verklaringen Scope Scope ISO27001 certificering Scope verklaring onderdeel 1 ISMS organisatie
20 Verschillen tussen certificaten en verklaringen Object van onderzoek ISO27001/NEN7510 Het informatiebeveiligingsmanagementsysteem plus de beheersingsmaatregelen van de organisatie (Annex A). Verklaring De beheersmaatregelen met betrekking tot de door de klant uitbestede dienst(en).
21 Verschillen tussen certificaten en verklaringen Kwaliteitsaspecten ISO27001/NEN7510 Beschikbaarheid; Integriteit; Vertrouwelijkheid. Verklaringen Zelf te kiezen, bijvoorbeeld: Juistheid, Volledigheid, Tijdigheid, Exclusiviteit, Correcte werking. * Met uitzondering van een SOC2 verklaring, deze heeft een verplicht kader: de trusted services criteria
22 Verschillen tussen certificaten en verklaringen Normen ISO27001/NEN7510 De ISO27001/NEN7510 standaard: Managementsysteem Annex A. Verklaringen Een beperkte set van specifieke normen per dienst. * Met uitzondering van een SOC2 verklaring, deze heeft een verplicht kader: de trusted services criteria
23 Verschillen tussen certificaten en verklaringen Diepgang van de audit ISO27001/NEN7510 De audit is gericht op het functioneren van het managementsysteem. Verklaringen De audit is gericht op de opzet en het bestaan of de werking van de maatregelen. Werking kent een minimale periode
24 Verschillen tussen certificaten en verklaringen Focus ISO27001/NEN7510 Prospectief: Het certificaat wordt afgegeven voor drie jaar, uitgaande van de kwaliteit van het managementsysteem. Verklaringen Retrospectief: De verklaring wordt afgegeven voor een periode in het verleden (maximaal 12 maanden). Er is geen sprake van een verwachting voor de toekomst.
25 Verschillen tussen certificaten en verklaringen Risicodekking ISO27001/NEN7510 Dynamisch: Risicodekking uitgevoerd door: Risk based periodieke auditplanning (3 jaar); Evaluatie resultaten voorgaande audit(s); Verklaringen Statisch: Risicodekking uitgevoerd door: Selectie maatregelen op basis van risicoanalyse voor specifieke klant(en); Omvang steekproef
26 Verschillen tussen certificaten en verklaringen Risicomanagement ISO27001/NEN7510 Onvolkomenheden onderzoeken op stelselmatigheid en organisatiebreed afhandelen met behulp van het managementsysteem. Verklaringen Onvolkomenheden lokaal afhandelen. Geen noodzaak om te onderzoeken of onvolkomenheden ook elders in de organisatie voorkomen
27 Waarom certificaten en verklaringen Toenemende behoefte aan zekerheid bij klantorganisaties door toename van uitbesteding Behoefte aan een oordeel door een Auditor Onafhankelijk Deskundig (gecertificeerd, gekwalificeerd) Uitvoeren van audits Het onderzoeksgebied Certificaat of verklaring: de klant bepaalt!
28 En de AVG? Ook op het gebied van privacy is steeds meer behoefte aan zekerheid Een certificaat zegt dat de beveiliging op orde is (dat is dus geen absolute zekerheid) Maar.. Er is (nog) geen privacy certificaat op de markt Een verklaring kan zich wel toespitsen op de AVG Het NOREA Privacy Control Framework is gericht op AVG compliance In de Trusted Services Criteria zijn privacydoelstellingen opgenomen
29 Achtergrond - Control Solutions International Opgericht in 1991, >20 jaar ervaring >500 clienten, zowel profit als not-for-profit en overheid >30 kantoren wereldwijd Mission statement Wij streven naar het aanbieden van een breed scala van diensten op het gebied van audit risk en compliance, in nauwe samenwerking met onze clienten. We zijn uw business partner! Onze wereldwijde aanwezigheid maakt lokale ondersteuning eenvoudig Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands
30 Praktisch Onze aanpak is effectief en efficiënt We vertellen niet alleen wat, maar we focussen met name op hoe. Onze prioriteiten liggen in lijn met die van u. Professioneel We luisteren goed, maar blijven kritisch. We zijn transparant in onze communicatie. Pleziering We zijn pas klaar als u tevreden bent. Onze prijs-kwaliteitsverhouding is uitstekend. Wij zijn direct en praktisch en we staan met beide benen op de grond Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands
31 Voor meer informatie: ControlSolutions International BV Beechavenue PW Schiphol-Rijk AMSTERDAM NEDERLAND T: +31(0) F: +31(0) Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands
32 Programma 16:45 Leo Benschop ControlSolutions ISO 27001, NEN 7510, ISAE 3402 verklaringen en AVG compliance 17:15 Sjoerd van de Meerendonk BMGrip Implementatie en beheer van efficiënt geïntegreerde systemen 17:45 Rob Jansen DNV GL Business Assurance Nut en noodzaak van certificering 18:15 Netwerkborrel 32 DNV GL
33 Implementeren van informatiebeveiliging Praktische tips Ten behoeve van de DNV GL Inspiratiesessie Sjoerd van de Meerendonk 15 november 2018
34 Even voorstellen Sjoerd van de Meerendonk Partner & Senior consultant Information Security / Privacy Financiele dienstverlening ICT Telecom Zorg Kennisintensieve dienstverlening Member of ISACA CISA Member of The BCI AMBCI Member of PECB - CDPO Inspiratiesessie informatiebeveiliging DNV GL 34
35 Mijn doel Delen van mijn implementatie ervaringen Op het gebied van information security en privacy Inspiratiesessie informatiebeveiliging DNV GL 35
36 Inhoud 1. Implementatie speelveld 2. Succesfactoren voor implementatie 3. Vragen Inspiratiesessie informatiebeveiliging DNV GL 36
37 1. Implementatie speelveld Relatie tussen wetten en normen AVG / UAVG ISO / NEN / ISAE Detail Contractvorming en communicatie met buitenwereld : o.a. Verwerkingsregister Privacyverklaring Datalekken proces Detail > 100 technische en organisatorische maatregelen Globaal Technische en organisatorische maatregelen Globaal Voldoen aan wet- en regelgeving Inspiratiesessie informatiebeveiliging DNV GL 37
38 1. Implementatie speelveld Relatie tussen AVG en ISO / NEN 7510 / ISAE 3402 Externe omgeving Raakvlak externeinterne omgeving Aanstelling (externe) FG Privacy bewustwording (communicatieplan) Privacy- en IB beleid Privacyverklaring op website) Verwerkingsregister Bewaartermijnen Privacy gedragscode interne omgeving organisatie Technische en organisatorische maatregelen (Inclusief risicoanalyses en DPIA s) Model toestemmingsverklaring Geschoond overzicht partners en leveranciers Indeling partners en leveranciers in AVG rollen Verwerkings- en samenwerkingsovk met leveranciers en partners Datalek proces Proces verzoeken tot inzage, rectificatie, wissing, enz. Inspiratiesessie informatiebeveiliging DNV GL 38
39 7. Implementatie speelveld Technische en organisatorische maatregelen ICT maatregelen logisch toegangsbeheer; encryptie; logging; anti-malware; back-up / redundantie; capaciteitsbeheer; scheiding netwerken; OTAP; testen; enz.; Facilitaire maatregelen fysieke toegangsbeveiliging; fysieke beveiligingszones; beveiligde gebieden; beveiliging (mobiele) apparatuur; beveiliging bekabeling; clear desk en clear screen; enz. HR maatregelen functiescheiding; screening; geheimhouding; bewustzijn & training; aanvaardbaar gebruik middelen; disciplinaire procedure; enz. Inspiratiesessie informatiebeveiliging DNV GL 39
40 1. Implementatie speelveld Spanningsveld Beschikbaarheid, Integriteit en Vertrouwelijkheid Inspiratiesessie informatiebeveiliging DNV GL 40
41 2. Succesfactoren Succesvol implementeren door: Helder beleid 2.1 Lean projectmanagement Enz. 2.2 Digitaal managementsysteem Aansluiting bij andere projecten Commitment directie 2.3 Actieve bewustwording Inspiratiesessie informatiebeveiliging DNV GL 41
42 2.1 Lean projectmanagement Risicoanalyse op processen en middelen Diep inzicht in risico s Alleen slimme maatregelen Integraal managementsysteem Overzicht in onderlinge verbanden Slim verdelen werklast Beperk belasting van mensen Beperk aantal documenten Inspiratiesessie informatiebeveiliging DNV GL 42
43 Risicoanalyse 1. Stakeholders 3. Business Impact Analyse 2. Procesanalyse 4. Risicoanalyse Inspiratiesessie informatiebeveiliging DNV GL 43
44 Integraal managementsysteem Handboek ISO NEN 7510 NEN 7512 NEN 7513 AVG UAVG ISAE 3402 VIPP MedMij Documenten DPIA / RA Normen Audit Afwijkingen Taken Inspiratiesessie informatiebeveiliging DNV GL 44
45 Slim verdelen werklast Gedragsverandering aan de voorkant (weinig werklast voor veel mensen) Gedragsregels Clean desk clear Screen - Bewustwording Medewerkers ICT Facilitair HR Verkoop / Inkoop Privacy by design en default aan de achterkant (veel werklast voor weinig mensen) Protocollen Technische maatregelen Inspiratiesessie informatiebeveiliging DNV GL 45
46 Beperk aantal documenten Door te clusteren op informatiebebeveiligingsthema en kritieke middelen ICT protocol Kritiek: IT infrastructuur IT werkplek Applicaties Maatregelen: logisch toegangsbeheer; encryptie; logging; antimalware; back-up / redundantie; capaciteitsbeheer; scheiding netwerken; OTAP; testen. Facilitair protocol Kritiek: Kantoren Behandelruimten IT ruimten HR ruimten Maatregelen: fysieke toegangsbeveiliging; fysieke beveiligingszones; beveiligde gebieden; beveiliging (mobiele) apparatuur; beveiliging bekabeling; HR protocol Kritiek: Directie Kernfuncties Maatregelen: functiescheiding; screening; geheimhouding; bewustzijn & training; aanvaardbaar gebruik middelen; disciplinaire procedure; Inspiratiesessie informatiebeveiliging DNV GL 46
47 2.2 Digitaal managementsysteem 1. Integrale tooling Dashbord, Handboek, Documenten, Normen, Audits, Risico-DPIA, Afwijkingen 2. Bedienen verschillende gebruikers Toegankelijk, beheersbaar, schaalbaar 3. Voorbeeld: SmartManSys Tooling is noodzakelijke voorwaarde, geen voldoende voorwaarde Inspiratiesessie informatiebeveiliging DNV GL 47
48 Tooling - Dashboard Inspiratiesessie informatiebeveiliging DNV GL 48
49 Tooling - Handboek Inspiratiesessie informatiebeveiliging DNV GL 49
50 Tooling - Normen Inspiratiesessie informatiebeveiliging DNV GL 50
51 Tooling - Audit Inspiratiesessie informatiebeveiliging DNV GL 51
52 Tooling DPIA / RA Inspiratiesessie informatiebeveiliging DNV GL 52
53 Tooling Afwijkingen (o.a. datalekken) Inspiratiesessie informatiebeveiliging DNV GL 53
54 Tooling Taken (verbeteren) Inspiratiesessie informatiebeveiliging DNV GL 54
55 2.3 Actieve bewustwording 360 graden aanpak is het meest effectief Directie: Kick-off Staf: Train medewerkers - E-learning Medewerkers onderling: clean desk clear screen ronden om de werkvloer Klanten en leveranciers: feedback op incidenten, klachten, datalekken Inspiratiesessie informatiebeveiliging DNV GL 55
56 3. Vragen Vragen? Dank voor uw aandacht! Inspiratiesessie informatiebeveiliging DNV GL 56
57 Meer informatie Sjoerd van de Meerendonk Telefoon: Bouw & Van de Meerendonk / SmartManSys Middenburcht MT Vleuten Telefoon: info@bmgrip.nl / Inspiratiesessie informatiebeveiliging DNV GL 57
58 Programma 16:45 Leo Benschop ControlSolutions ISO 27001, NEN 7510, ISAE 3402 verklaringen en AVG compliance 17:15 Sjoerd van de Meerendonk BMGrip Implementatie en beheer van efficiënt geïntegreerde systemen 17:45 Rob Jansen DNV GL Business Assurance Nut en noodzaak van certificering 18:15 Netwerkborrel 58 DNV GL
59 Nut en noodzaak van informatiebeveiliging volgens ISO & NEN 7510 DNV GL Business Assurance Benelux Rob Jansen 59 DNV GL SAFER, SMARTER, GREENER
60 Informatiebeveiliging; Waar gaat dat over? 60 DNV GL SAFER, SMARTER, GREENER
61 Voor uw beeldvorming Data Gegevens zonder context en zonder waarde. Informatie Een (bedrijfs)middel dat waarde heeft doordat het in een bepaalde context geplaatst kan worden. Informatie kan in verschillende vormen bestaan (op papier, elektronische opslag, per post, elektronische media op film worden getoond of mondeling worden uitgewisseld). Informatiebeveiliging Het beschermen en behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. 61 DNV GL
62 De elementen van informatiebeveiliging Vertrouwelijkheid eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen. Integriteit eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. Beschikbaarheid kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. DNV GL
63 Waarom is informatiebeveiliging nu belangrijk? 63 DNV GL SAFER, SMARTER, GREENER
64 Belangrijke redenen Globalisering en samensmelting van informele en zakelijke structuren en netwerken. Relatief veel ongewenste praktijkvoorbeelden in de media. Steeds specifiekere wet- en regelgeving. Individuen worden zich steeds meer bewust van hun eigen risico s. Organisaties willen en moeten risico s beter beperken, beheersen, vermijden of uitbesteden. Het ontbreekt nog vaak aan een alles omvattende en systematische benadering. 64 DNV GL
65 Praktijkvoorbeelden 65 DNV GL
66 Praktijkvoorbeelden Steeds vaker zijn bedrijven en websites het slachtoffer van DDoS aanvallen. Uit onderzoek van het Amerikaanse security bedrijf Prolexic blijkt dat het aantal DDoS-aanvallen flink toeneemt. Er is zelfs sprake van een verdubbeling ten opzichte van DNV GL
67 Praktijkvoorbeelden Wereldwijde aanval met ransomware treft ook deel Rotterdamse haven 27 juni 2017: Dinsdag zijn wereldwijd bedrijven en instellingen getroffen door een aanval met ransomware, ook wel gijzelsoftware genoemd. Containeroverslagbedrijf APM Terminals, dat onder meer in de haven van Rotterdam actief is, was een van de eerste bedrijven die melding maakten van een IT-storing. Volgens cyberveiligheidsbedrijf Fox-IT zijn meer Nederlandse bedrijven getroffen door de cyberaanval, genaamd Petya. Volgens de Russische antivirusreus Kaspersky Lab gaat het echter niet om een nieuwe variant van dit oude virus. In Nederland zijn onder de slachtoffers pakketbezorger TNT en medicijnfabrikant MSD, die fabrieken heeft in andere landen. In het buitenland gaat het onder meer om banken en overheidsinstanties in Oekraïne en Rusland. 67 DNV GL
68 Praktijkvoorbeelden Pas op voor virus Facebook Messenger 30 juni 2018: Mensen krijgen het virus-bericht via Messenger binnen, met twee verbaasde emoticons en vervolgens hun naam en een link naar YouTube. Als je op de link klikt, is er een kans dat je gehackt kan worden. Zo meldt Metro. Gebruikers van de app krijgen van een Facebookvriend het bericht in hun inbox. Daarom lijkt het allemaal vrij onschuldig. Door op de link te klikken, haal je schadelijke software binnen. 68 DNV GL
69 Kortom. 69 DNV GL
70 Het reikt verder dan IT systemen 70 DNV GL
71 Belang van goede informatiebeveiliging Inzicht in en beperking van risico s. Zekerheid Garantie van correcte informatie op het juiste moment voor het juiste publiek. Borging van de continuïteit van de dienstverlening. Voldoen aan wet- en regelgeving. Juist handelen als er een incident is. Reputatie en vertrouwen. Kwetsbaarheid is nog vaak te groot. Factor mens grootste uitdaging. 71 DNV GL
72 Een managementsysteem volgens ISO en/of NEN DNV GL SAFER, SMARTER, GREENER
73 ISO versus NEN 7510 ISO Internationaal vastgestelde en erkende norm, geschikt voor certificering. NEN 7510 Gebaseerd op de ISO Locaal vastgestelde en erkende norm, geschikt voor zorg gerelateerde certificering. Voorzien beiden in eisen (criteria) voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Managementsysteem voor Informatiebeveiliging Een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging. Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie. 73 DNV GL
74 Wat hebben de normen te bieden? Gelijke (High Level) structuur als andere ISO normen waardoor implementatie, certificatie en beheer van gecombineerde managementsystemen effecienter is dan voorheen. Evolutie; Steeds volwassener, door ervaring en feedback uit eerdere versies ontstaan. Alle in- en externe stakeholders, dus ook wet- en regelgeving als vertrekpunt. Risicobeoordeling en behandeling staat centraal. Een systematische benadering en continue verbetering volgens Plan, Do, Check, Act. 74 DNV GL
75 Certificering volgens ISO en/of NEN DNV GL SAFER, SMARTER, GREENER
76 Waarom certificeren? Intern Transparantie in de beveiligingsrisico s binnen de organisatie. Bewustwording, betrokkenheid en gedragsverandering bij medewerkers m.b.t. de risico s en maatregelen. Certificatie-audits door ervaren professionals geven waardevolle feedback. Certificatie dus jaarlijkse beoordelingen door derde partij Vreemde ogen dwingen en stok achter de deur. Extern Voldoen aan wet- en regelgeving. Bewijs aan stakeholders juiste manier van informatieverwerking en overdracht. Risicobeperking dus meer zekerheid voor klanten/clienten en andere stakeholders. Externe beoordeling maakt de kwaliteit van informatiebeveiliging aantoonbaar. 76 DNV GL
77 Wat wordt er van de organisatie verwacht (1)? Kennis van, en ervaring met de norm(en). Eventuele intergratie met bestaand managementsysteem. Planmatig implementatietraject van het ISMS. Vastgestelde kaders waarbinnen het ISMS functioneert: Gehele organisatie of een deel ervan. Werkterrein van certificatie (de scope). De context in kaart brengen Alle in- en externe partijen met eisen en verwachtingen. Eisen vanuit AVG/GDPR zijn ook onlosmakelijk verbonden. Beleid vaststellen en communiceren. Vaststellen wat de organisatie wil bereiken op het gebied van informatiebeveiliging SMART doelstellingen. 77 DNV GL
78 Wat wordt er van de organisatie verwacht (2)? Inrichting van het ISMS o.b.v. een volledige risico beoordeling: Vaststelling van passende methodiek. Risico acceptatiecriteria vaststellen. Risico s identificeren, analyseren en evalueren. Ownership van risico s. Maatregelen uit de norm verplicht gebruiken, uitsluitingen moeten onderbouwd worden. Organisatorische én technische maatregelen waaronder: Veilig personeel. Beheer van bedrijfsmiddelen. Toegangsbeveiliging. Cryptografie. Fysieke beveiliging en beveiliging van de omgeving. Beveiliging bedrijfsvoering. Communicatiebeveiliging. Acquisitie, ontwikkeling en onderhoud van informatiesystemen. Leveranciersrelaties. Beheer van informatiebeveiligingsincidenten. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer. 78 DNV GL
79 Wat wordt er van de organisatie verwacht (3)? Organisatorische inrichting van de behandeling van de risico s. Mensen en middelen beschikbaar? Kennis, awareness en communicatie. Budget voor investeringen. Vereiste en gewenste documentatie ontwikkelen en beheren. Processen, protocollen en instructies. Registraties, logging en dossiers. Rekening houdend met vertrouwelijkheid, integriteit en beschikbaarheid. Verklaring van toepasselijkheid (Statement of Applicability): Transparantie aangaande de relevante beheersmaatregelen en vermeld op certificaat. Certificering bij een werkend, dus volledig geïmplementeerd managementsysteem (ISMS): Dus ook interne audits en een directiebeoordeling. Minimaal 3 maanden in werking. Aantoonbaarheid van onderhoud van het ISMS. 79 DNV GL
80 Het certificatieproces Optioneel: Nulmeting, proefaudits of positiebepaling Fase 1: Kennismaking en documentatiebeoordeling Fase 2: Certificeringsaudit Periodieke audit Periodieke audit Hercertificerings audit Certificaat 3 jaar geldig 80 DNV GL
81 Voorbeelden certificaten 81 DNV GL
82 Heeft u nog vragen? 82 DNV GL SAFER, SMARTER, GREENER
83 Hartelijk dank voor uw aandacht! Voor meer informatie over certificering: SAFER, SMARTER, GREENER The trademarks DNV GL, DNV, the Horizon Graphic and Det Norske Veritas are the properties of companies in the Det Norske Veritas group. All rights reserved. 83 DNV GL
Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER
Hartelijk welkom! 1 SAFER, SMARTER, GREENER 1. Wie is DNV GL? 2. Certificering van managementsystemen 2 SAFER, SMARTER, GREENER Geboren uit 3 Sinds 1864 uitgegroeid naar wereldwijde TIC dienstverlener
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieSecurity Awareness Sessie FITZME, tbv de coaches
Security Awareness Sessie FITZME, tbv de coaches 21 mei 2019 Bart van der Kallen, CISM, CIPP/E AGENDA Wie ik ben Aanleiding voor deze sessie De norm: NEN 7510 / ISO 27001 De (invulling van de) komende
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieDe maatregelen in de komende NEN Beer Franken
De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatieNEN 7510: een ergernis of een hulpmiddel?
NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens
Nadere informatieDe nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1
De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC Standards and Regulations 1 Agenda 1. Schoten voor de boeg 2. Nut van de NEN7510 3. Uitgangspunten
Nadere informatieHet treffen van adequate organisatorische en technische beveiligingsmaatregelen Nieuwsjaarscongres Adfiz Ing. Luuk Akkermans CISA CISM 11 januari 2018 I. Informatiebeveiliging Waarom is informatiebeveiliging
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieBusiness Continuity Management
Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatieThema-audit Informatiebeveiliging bij lokale besturen
Thema-audit Informatiebeveiliging bij lokale besturen I. Audit Vlaanderen Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatieDus uw collega s zijn niet verantwoordelijk voor kwaliteit?
DNV GL - Business Assurance Certificering en Training Dus uw collega s zijn niet verantwoordelijk voor kwaliteit? Dhr. Jacques van Unnik, Senior Principal Trainer / Lead Auditor Business development manager
Nadere informatieTerug naar de bedoeling met ISO 9001:2015
Walvis ConsultingGroep Brengt kwaliteit tot leven Voor kwaliteit van mens en organisatie Terug naar de bedoeling met ISO 9001:2015 Ronald Zwart Vennoot, senior consultant en auditor ronald.zwart@walviscg.nl
Nadere informatieHoezo dé nieuwe ISO-normen?
De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal
Nadere informatieISO9001:2015, in vogelvlucht. Door Tjarko Vrugt
ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieBENT U ER KLAAR VOOR?
ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP
Nadere informatieHoe implementeer je de NEN7510?
Hoe implementeer je de NEN7510? Inspiratiesessie NEN 7510 / ISO 27001 Aart Bitter, 12 september 2012 www.information-security-governance.com Keep It Simple (1) Doe een risicoanalyse en kies beveiligingsmaatregelen
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieVVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord
VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling
Nadere informatieDe ISO High Level Structure (HLS) en de nieuwe ISO 22000
De ISO High Level Structure (HLS) en de nieuwe ISO 22000 26 september 2018 Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl Welke onderwerpen kunt u
Nadere informatieReadiness Assessment ISMS
Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC
Nadere informatieAanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018
Aanpak AVG Rob Hendriks Hoofd ICT 23 januari 2018 - voorbereiding - aanpak - actiepunten - aandachtspunten agenda wat, maar niet hoe https://autoriteitpersoonsgegevens.nl 1. het AVG-team: directiesecretaris
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieCERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011
CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011 Henk Swaters Wim Olijslager LISA - DSM AANLEIDING CERTIFICERING De UT vindt het belangrijk om aan te tonen dat wij zorgvuldig omgaan met gegevens
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieZekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014
Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor
Nadere informatieGDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn
Even voorstellen Maarten de Rooij IT Business Professional, ACA IT-Solutions IT Consultant rol Analyse & advies Proces begeleiding Data privacy specialisme Tijdslijn Wet bescherming persoonsgegevens 1
Nadere informatieToezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?
Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieZet de stap naar certificering!
NEN 7510 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen
Nadere informatieLloyd s Register, LRQA België & Nederland Gent, 23 april 2014
Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014 Kris Winters Marcel de Bruijn Jürgen van Dueren den Hollander Maurits Dekker Improving performance, reducing risk Wie is Lloyd s Register,
Nadere informatieDe volgende stap naar certificering!
ISO 50001 CERTIFICERING De volgende stap naar certificering! 2 - Kader, bureau voor kwaliteitszorg b.v. Inleiding Hartelijk dank voor uw interesse in de begeleiding naar ISO 50001 certificering. Met ISO
Nadere informatiestaat is om de AVG na te komen.
Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieWho are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL
Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieIT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieEn nu aan de slag met de nieuwe norm(en)
En nu aan de slag met de nieuwe norm(en) Blinde paniek, of logisch nadenken? drs. ing. Matthijs Dierick, Principal Lead Auditor, DNV GL 20 juni 2017 1 DNV GL 2015 20 juni 2017 SAFER, SMARTER, GREENER Die
Nadere informatieVoorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond
Voorwoord Digitalisering in de maatschappij leidt tot toenemende beschikbaarheid van data en potentieel dus tot nieuwe of rijkere informatie. Digitalisering speelt ook een grote rol binnen het onderwijs,
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatiePrivacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin
www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis
Nadere informatiePatiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510
Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO 27001 / NEN 7510 dataveiligheid Waveland.nu Doel van deze bijeenkomst: Inzicht in drie onderwerpen: 1. beveiligen van patiëntengegevens
Nadere informatieIT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18
IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK Secure by design IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK Secure by design Oplossingen voor betere AVG compliance Herco van Brug, Maart
Nadere informatiePrivacy Maturity Scan (PMS)
Privacy Maturity Scan (PMS) Versie 1.0 / Wijzigingsdatum 02-03-2018 Uw vraag Als organisatie wilt u minimaal voldoen aan de wet- en regelgeving en u wilt zich optimaal voorbereiden op de nieuwe Europese
Nadere informatieinfo@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve
Nadere informatiePresentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013
Presentatie ISO27001 in de praktijk MOA bijeenkomst 16 mei 2013 Even voorstellen Rob de Leur Business partner ORBEDO Procesmanagement Informatiebeveiliging Risicomanagement Informatiebeveiliging - korte
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieAndré Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag
André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieBoels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer
Boels Zanders De kracht van ambitie Privacy Implementatie van de AVG Rens Jan Kramer Rens Jan Kramer Advocaat Intellectuele eigendom, ICT, Media- en Reclamerecht +31 (0)88 30 40 149 +31 (0)6 46 18 67 23
Nadere informatieZet de stap naar certificering!
ISO 27001 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor een continue verbetering van processen, producten en diensten.
Nadere informatieICT Accountancy. Praktijkdag Webwinkels en Boekhouden
ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst
Nadere informatieVergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015
ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International
Nadere informatieDe volgende stap naar certificering!
ISO 9001 CERTIFICERING De volgende stap naar certificering! 2 - Kader, bureau voor kwaliteitszorg b.v. Inleiding Fijn dat u geïnteresseerd bent in ISO 9001 certificering. Naast het voldoen aan de eisen
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieDrs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA
Nadere informatieISO Informatiebeveiliging
ISO 27001 Informatiebeveiliging 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 27001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieInformation Security Management System ISMS ISO / NEN 7510
Information Security Management System ISMS ISO 27001 / NEN 7510 Uw (digitale) Informatie beveiligen 2 Uw (digitale) Informatie beveiligen Belang van uw patiënten Bescherming van uw onderneming Wettelijke
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieBeveilig klanten, transformeer jezelf
Beveilig klanten, transformeer jezelf Managed Services Providers Hacks, ransomware en datalekken zijn dagelijks in het nieuws. Bedrijven moeten in 2018 voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieDe nieuwe ISO-normen: meer dan KAM-management alleen!
De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in
Nadere informatieDe volgende stap naar certificering!
ISO 14001 CERTIFICERING De volgende stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor een continue verbetering van processen, producten en diensten.
Nadere informatieInformatiebeveiligingsbeleid Drukkerij van der Eems
Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit
Nadere informatieDatabeveiliging en Hosting Asperion
Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatieHoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?
Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieInformatie is overal: Heeft u er grip op?
Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel
Nadere informatieGeen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.
Geen ISO 27001 zonder pragmatiek! Implementeren van een ISMS, niets nieuws. Agenda Introductie Beveiligingsproces Framework (ISO 27001) IB organisatie en processen ISMS informatiesysteem Lessons learned
Nadere informatieUw tandartspraktijk. Een goudmijn voor internetcriminelen
Uw tandartspraktijk Een goudmijn voor internetcriminelen Wat gaan we doen? De digitale data-explosie Nieuwe privacywetgeving (a giant leap for mankind) Wat wilt u onze hacker vragen? Help! Uw praktijk
Nadere informatieINTEGRATIE VAN MANAGEMENTSYSTEMEN. Leen Scheers Senior consultant
Welkom INTEGRATIE VAN MANAGEMENTSYSTEMEN Leen Scheers Senior consultant GEGEVEN bedrijven wensen verschillende managementsystemen met certificaten meerdere invalshoeken (KVM), zowel op managementniveau
Nadere informatieHRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie
HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)
Nadere informatiePraktijk Datum opgesteld/herzien Versie
Privacybeleid Praktijk Datum opgesteld/herzien Versie Toelichting: Een privacybeleid is een intern document dat wordt gebruikt binnen uw praktijk. Het is een omschrijving van het beleid rond werken met
Nadere informatieIn jouw schoenen. Een praktische invulling van informatiebeveiliging
In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij
Nadere informatieGenerieke systeemeisen
Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene
Nadere informatieNTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015
NTA 8620 versus ISO-systemen Mareille Konijn Voorstellen Mareille Konijn Lid van de NEN-werkgroep Senior HSE consultant Industry, Energy & Mining T: 088 348 21 95 M: 06 50 21 34 27 mareille.konijn@rhdhv.com
Nadere informatie#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?
#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging? Gunther Schryvers, Audit Vlaanderen Lies Van Cauter, Audit Vlaanderen. Informatiebeveiliging bij lokale besturen: een uitdaging
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieWie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING
NEN Introductie-evenement ISO 19011 AUDITING IN BEWEGING Effectief Auditprogramma Edwin Martherus, GoRisk Beatrixgebouw Utrecht, 20 sept 2018 GoRisk Wie ben ik? Ø Technisch, bedrijfskundig, financieel
Nadere informatieIT-Ernity Holding B.V. P1 RAPPORT. Managementsysteem Certificatie ISO 9001:2008, ISO/IEC 27001:2013, NEN 7510:2011
P1 RAPPORT IT-Ernity Holding B.V. Managementsysteem Certificatie ISO 9001:2008, ISO/IEC 27001:2013, NEN 7510:2011 Datum van de Audit: Projectnummer: DNV GL Teamleider: Auditteam: 13-feb-2017-15-feb-2017
Nadere informatieVan VCA naar OHSAS 18001:2007 naar ISO/CD 45001.2
Van VCA naar OHSAS 18001:2007 naar ISO/CD 45001.2 Jacques Schouwenaars 13 oktober 2015 Onderwerpen Verschillen VCA en OHSAS 18001? ISO/CD 45001.2 Aandachtsgebieden tijdens certificatieaudits Voordelen
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatie