Inspiratiesessie informatiebeveiliging

Transcriptie

1 Inspiratiesessie informatiebeveiliging Hartelijk welkom 1 DNV GL SAFER, SMARTER, GREENER

2 Programma 16:45 Leo Benschop ControlSolutions ISO 27001, NEN 7510, ISAE 3402 verklaringen en AVG compliance 17:15 Sjoerd van de Meerendonk BMGrip Implementatie en beheer van efficiënt geïntegreerde systemen 17:45 Rob Jansen DNV GL Business Assurance Nut en noodzaak van certificering 18:15 Netwerkborrel 2 DNV GL

3 Wie is DNV GL? 3 DNV GL

4 Internationaal en onafhankelijk ,000 years offices countries employees 4 DNV GL

5 DNV GL Business Assurance Eén van s werelds meest vooraanstaande certificerende instellingen en actief in: Managementsysteemcertificatie Product Certificatie Persoonscertificatie Training Assessments Consulting Zo n uitgegeven certificaten wereldwijd. In Benelux zo n 100 certificeringsschema s waaronder ook: ISO 9001 ISO ISO HKZ NEN 7510 ISO ISO ISO CSA STAR Veel ervaring en een goede reputatie in alle sectoren. Alle vereiste erkenningen en accreditaties. Duurzaam, innovatief en vaak betrokken bij de ontwikkeling van nieuwe initiatieven. Unieke klantgerichte werkwijze Risk Based Certification. 5 DNV GL

6 Certificaten en verklaringen Welke en waarom? Ten behoeve van de DNV GL Inspiratiesessie 15 november 2018

7 Certificaten en verklaringen Certificaten: ISO27001 NEN7501 Verklaringen ISAE 3000 type 1, type2 ISAE 3402 type 1, type2 SSAE 18 SOC 1 type 1, type2 SOC 2 type 1, type2 SOC 3 type 1, type2?

8 ISO27001 ISO standaard voor Informatiebeveiliging Toepasbaar voor alle organisaties Wereldwijd erkend Bevat een set met verplichte vereisten/ normen (HLS) en een set met normen die van toepassing kunnen zijn (Annex A) Relevantie Annex A wordt bepaald via de scope en risicoanalyse

9 NEN7510 NEN standaard voor Informatiebeveiliging in de zorg Toepasbaar voor zorgorganisaties en hun leveranciers Alleen in Nederland erkend Bevat een set met verplichte normen (NEN7510-1) en een set met normen die van toepassing kunnen zijn (NEN7510-2) Bevat specifieke normen voor de zorgsector (zorgspecifieke beheersmaatregelen)

10 Speelveld klant -serviceorganisatie - auditor Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands

11 ISAE3000 Assuranceverklaring over niet-financiële informatie Toegepast voor audits van interne controle, duurzaamheid en naleving van wet- en regelgeving. ISAE 3000 kent twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de auditor (op eigen briefpapier) Vorm en normvrij

12 ISAE3402 Assuranceverklaring over financiële informatie (jaarrekening gerelateerd) ISAE 3402 kent ook twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de serviceorganisatie, maar bevatten tevens het oordeel en de testresultaten van de auditor. Vorm en normvrij

13 Oordeel Auditor over doelstellingen Op basis van de beheersmaatregelen Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands

14 SSAE18 (SOC 1) Assuranceverklaring over financiële informatie (jaarrekening gerelateerd): inhoudelijk gelijk aan de ISAE 3402 SSAE 18 kent ook twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de service-organisatie, maar bevatten tevens het oordeel en de testresultaten van de auditor. Vorm en normvrij

15 SSAE18 (SOC 2) Assuranceverklaring over niet-financiële informatie Toegepast voor audits van interne controle, duurzaamheid en naleving van weten regelgeving. SOC 2kent twee soorten rapporten: Type 1 biedt zekerheid over de geschiktheid van het ontwerp en het bestaan van controles op een moment in de tijd. Type 2 biedt zekerheid over de geschiktheid van ontwerp, bestaan en operationele effectiviteit (werking) over een periode. Deze rapporten worden uitgebracht door de service-organisatie, maar bevatten tevens het oordeel en de testresultaten van de auditor. Vormvrij (gelijk aan ISAE 3402) Verplicht normenkader (Trusted Service Criteria)

16 SSAE18 (SOC 3) SOC 3 is een verkorte versie van de SOC 2-rapportage.

17 ISAE3402 Systeembeschrijving Management verklaring Testresultaten Oordeel Overige Informatie Serviceorganisatie Service Auditor Rapportage Klantorganisatie(s)

18 Verschillen - certificaten en verklaringen Certificaat Het bewijs (op 1 A4) dat (het managementsysteem van) een organisatie voldoet aan een set met criteria (standaard) Getoetst door een onafhankelijke deskundige auditor Afgegeven door een geaccrediteerde organisatie Verklaring Het bewijs (in een gedetailleerde rapportage) dat een specifieke dienst van een organisatie is getoetst aan een set met criteria (standaard) en het oordeel hierover. Afgegeven door een onafhankelijke deskundige auditor (RE/RA) Een certificaat moet behaald worden, een verklaring wordt altijd afgegeven.

19 ISO annex A Verschillen tussen certificaten en verklaringen Scope Scope ISO27001 certificering Scope verklaring onderdeel 1 ISMS organisatie

20 Verschillen tussen certificaten en verklaringen Object van onderzoek ISO27001/NEN7510 Het informatiebeveiligingsmanagementsysteem plus de beheersingsmaatregelen van de organisatie (Annex A). Verklaring De beheersmaatregelen met betrekking tot de door de klant uitbestede dienst(en).

21 Verschillen tussen certificaten en verklaringen Kwaliteitsaspecten ISO27001/NEN7510 Beschikbaarheid; Integriteit; Vertrouwelijkheid. Verklaringen Zelf te kiezen, bijvoorbeeld: Juistheid, Volledigheid, Tijdigheid, Exclusiviteit, Correcte werking. * Met uitzondering van een SOC2 verklaring, deze heeft een verplicht kader: de trusted services criteria

22 Verschillen tussen certificaten en verklaringen Normen ISO27001/NEN7510 De ISO27001/NEN7510 standaard: Managementsysteem Annex A. Verklaringen Een beperkte set van specifieke normen per dienst. * Met uitzondering van een SOC2 verklaring, deze heeft een verplicht kader: de trusted services criteria

23 Verschillen tussen certificaten en verklaringen Diepgang van de audit ISO27001/NEN7510 De audit is gericht op het functioneren van het managementsysteem. Verklaringen De audit is gericht op de opzet en het bestaan of de werking van de maatregelen. Werking kent een minimale periode

24 Verschillen tussen certificaten en verklaringen Focus ISO27001/NEN7510 Prospectief: Het certificaat wordt afgegeven voor drie jaar, uitgaande van de kwaliteit van het managementsysteem. Verklaringen Retrospectief: De verklaring wordt afgegeven voor een periode in het verleden (maximaal 12 maanden). Er is geen sprake van een verwachting voor de toekomst.

25 Verschillen tussen certificaten en verklaringen Risicodekking ISO27001/NEN7510 Dynamisch: Risicodekking uitgevoerd door: Risk based periodieke auditplanning (3 jaar); Evaluatie resultaten voorgaande audit(s); Verklaringen Statisch: Risicodekking uitgevoerd door: Selectie maatregelen op basis van risicoanalyse voor specifieke klant(en); Omvang steekproef

26 Verschillen tussen certificaten en verklaringen Risicomanagement ISO27001/NEN7510 Onvolkomenheden onderzoeken op stelselmatigheid en organisatiebreed afhandelen met behulp van het managementsysteem. Verklaringen Onvolkomenheden lokaal afhandelen. Geen noodzaak om te onderzoeken of onvolkomenheden ook elders in de organisatie voorkomen

27 Waarom certificaten en verklaringen Toenemende behoefte aan zekerheid bij klantorganisaties door toename van uitbesteding Behoefte aan een oordeel door een Auditor Onafhankelijk Deskundig (gecertificeerd, gekwalificeerd) Uitvoeren van audits Het onderzoeksgebied Certificaat of verklaring: de klant bepaalt!

28 En de AVG? Ook op het gebied van privacy is steeds meer behoefte aan zekerheid Een certificaat zegt dat de beveiliging op orde is (dat is dus geen absolute zekerheid) Maar.. Er is (nog) geen privacy certificaat op de markt Een verklaring kan zich wel toespitsen op de AVG Het NOREA Privacy Control Framework is gericht op AVG compliance In de Trusted Services Criteria zijn privacydoelstellingen opgenomen

29 Achtergrond - Control Solutions International Opgericht in 1991, >20 jaar ervaring >500 clienten, zowel profit als not-for-profit en overheid >30 kantoren wereldwijd Mission statement Wij streven naar het aanbieden van een breed scala van diensten op het gebied van audit risk en compliance, in nauwe samenwerking met onze clienten. We zijn uw business partner! Onze wereldwijde aanwezigheid maakt lokale ondersteuning eenvoudig Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands

30 Praktisch Onze aanpak is effectief en efficiënt We vertellen niet alleen wat, maar we focussen met name op hoe. Onze prioriteiten liggen in lijn met die van u. Professioneel We luisteren goed, maar blijven kritisch. We zijn transparant in onze communicatie. Pleziering We zijn pas klaar als u tevreden bent. Onze prijs-kwaliteitsverhouding is uitstekend. Wij zijn direct en praktisch en we staan met beide benen op de grond Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands

31 Voor meer informatie: ControlSolutions International BV Beechavenue PW Schiphol-Rijk AMSTERDAM NEDERLAND T: +31(0) F: +31(0) Control Solutions International - Beechavenue 54-80, 1119PW SCHIPHOL-RIJK, Netherlands

32 Programma 16:45 Leo Benschop ControlSolutions ISO 27001, NEN 7510, ISAE 3402 verklaringen en AVG compliance 17:15 Sjoerd van de Meerendonk BMGrip Implementatie en beheer van efficiënt geïntegreerde systemen 17:45 Rob Jansen DNV GL Business Assurance Nut en noodzaak van certificering 18:15 Netwerkborrel 32 DNV GL

33 Implementeren van informatiebeveiliging Praktische tips Ten behoeve van de DNV GL Inspiratiesessie Sjoerd van de Meerendonk 15 november 2018

34 Even voorstellen Sjoerd van de Meerendonk Partner & Senior consultant Information Security / Privacy Financiele dienstverlening ICT Telecom Zorg Kennisintensieve dienstverlening Member of ISACA CISA Member of The BCI AMBCI Member of PECB - CDPO Inspiratiesessie informatiebeveiliging DNV GL 34

35 Mijn doel Delen van mijn implementatie ervaringen Op het gebied van information security en privacy Inspiratiesessie informatiebeveiliging DNV GL 35

36 Inhoud 1. Implementatie speelveld 2. Succesfactoren voor implementatie 3. Vragen Inspiratiesessie informatiebeveiliging DNV GL 36

37 1. Implementatie speelveld Relatie tussen wetten en normen AVG / UAVG ISO / NEN / ISAE Detail Contractvorming en communicatie met buitenwereld : o.a. Verwerkingsregister Privacyverklaring Datalekken proces Detail > 100 technische en organisatorische maatregelen Globaal Technische en organisatorische maatregelen Globaal Voldoen aan wet- en regelgeving Inspiratiesessie informatiebeveiliging DNV GL 37

38 1. Implementatie speelveld Relatie tussen AVG en ISO / NEN 7510 / ISAE 3402 Externe omgeving Raakvlak externeinterne omgeving Aanstelling (externe) FG Privacy bewustwording (communicatieplan) Privacy- en IB beleid Privacyverklaring op website) Verwerkingsregister Bewaartermijnen Privacy gedragscode interne omgeving organisatie Technische en organisatorische maatregelen (Inclusief risicoanalyses en DPIA s) Model toestemmingsverklaring Geschoond overzicht partners en leveranciers Indeling partners en leveranciers in AVG rollen Verwerkings- en samenwerkingsovk met leveranciers en partners Datalek proces Proces verzoeken tot inzage, rectificatie, wissing, enz. Inspiratiesessie informatiebeveiliging DNV GL 38

39 7. Implementatie speelveld Technische en organisatorische maatregelen ICT maatregelen logisch toegangsbeheer; encryptie; logging; anti-malware; back-up / redundantie; capaciteitsbeheer; scheiding netwerken; OTAP; testen; enz.; Facilitaire maatregelen fysieke toegangsbeveiliging; fysieke beveiligingszones; beveiligde gebieden; beveiliging (mobiele) apparatuur; beveiliging bekabeling; clear desk en clear screen; enz. HR maatregelen functiescheiding; screening; geheimhouding; bewustzijn & training; aanvaardbaar gebruik middelen; disciplinaire procedure; enz. Inspiratiesessie informatiebeveiliging DNV GL 39

40 1. Implementatie speelveld Spanningsveld Beschikbaarheid, Integriteit en Vertrouwelijkheid Inspiratiesessie informatiebeveiliging DNV GL 40

41 2. Succesfactoren Succesvol implementeren door: Helder beleid 2.1 Lean projectmanagement Enz. 2.2 Digitaal managementsysteem Aansluiting bij andere projecten Commitment directie 2.3 Actieve bewustwording Inspiratiesessie informatiebeveiliging DNV GL 41

42 2.1 Lean projectmanagement Risicoanalyse op processen en middelen Diep inzicht in risico s Alleen slimme maatregelen Integraal managementsysteem Overzicht in onderlinge verbanden Slim verdelen werklast Beperk belasting van mensen Beperk aantal documenten Inspiratiesessie informatiebeveiliging DNV GL 42

43 Risicoanalyse 1. Stakeholders 3. Business Impact Analyse 2. Procesanalyse 4. Risicoanalyse Inspiratiesessie informatiebeveiliging DNV GL 43

44 Integraal managementsysteem Handboek ISO NEN 7510 NEN 7512 NEN 7513 AVG UAVG ISAE 3402 VIPP MedMij Documenten DPIA / RA Normen Audit Afwijkingen Taken Inspiratiesessie informatiebeveiliging DNV GL 44

45 Slim verdelen werklast Gedragsverandering aan de voorkant (weinig werklast voor veel mensen) Gedragsregels Clean desk clear Screen - Bewustwording Medewerkers ICT Facilitair HR Verkoop / Inkoop Privacy by design en default aan de achterkant (veel werklast voor weinig mensen) Protocollen Technische maatregelen Inspiratiesessie informatiebeveiliging DNV GL 45

46 Beperk aantal documenten Door te clusteren op informatiebebeveiligingsthema en kritieke middelen ICT protocol Kritiek: IT infrastructuur IT werkplek Applicaties Maatregelen: logisch toegangsbeheer; encryptie; logging; antimalware; back-up / redundantie; capaciteitsbeheer; scheiding netwerken; OTAP; testen. Facilitair protocol Kritiek: Kantoren Behandelruimten IT ruimten HR ruimten Maatregelen: fysieke toegangsbeveiliging; fysieke beveiligingszones; beveiligde gebieden; beveiliging (mobiele) apparatuur; beveiliging bekabeling; HR protocol Kritiek: Directie Kernfuncties Maatregelen: functiescheiding; screening; geheimhouding; bewustzijn & training; aanvaardbaar gebruik middelen; disciplinaire procedure; Inspiratiesessie informatiebeveiliging DNV GL 46

47 2.2 Digitaal managementsysteem 1. Integrale tooling Dashbord, Handboek, Documenten, Normen, Audits, Risico-DPIA, Afwijkingen 2. Bedienen verschillende gebruikers Toegankelijk, beheersbaar, schaalbaar 3. Voorbeeld: SmartManSys Tooling is noodzakelijke voorwaarde, geen voldoende voorwaarde Inspiratiesessie informatiebeveiliging DNV GL 47

48 Tooling - Dashboard Inspiratiesessie informatiebeveiliging DNV GL 48

49 Tooling - Handboek Inspiratiesessie informatiebeveiliging DNV GL 49

50 Tooling - Normen Inspiratiesessie informatiebeveiliging DNV GL 50

51 Tooling - Audit Inspiratiesessie informatiebeveiliging DNV GL 51

52 Tooling DPIA / RA Inspiratiesessie informatiebeveiliging DNV GL 52

53 Tooling Afwijkingen (o.a. datalekken) Inspiratiesessie informatiebeveiliging DNV GL 53

54 Tooling Taken (verbeteren) Inspiratiesessie informatiebeveiliging DNV GL 54

55 2.3 Actieve bewustwording 360 graden aanpak is het meest effectief Directie: Kick-off Staf: Train medewerkers - E-learning Medewerkers onderling: clean desk clear screen ronden om de werkvloer Klanten en leveranciers: feedback op incidenten, klachten, datalekken Inspiratiesessie informatiebeveiliging DNV GL 55

56 3. Vragen Vragen? Dank voor uw aandacht! Inspiratiesessie informatiebeveiliging DNV GL 56

57 Meer informatie Sjoerd van de Meerendonk Telefoon: Bouw & Van de Meerendonk / SmartManSys Middenburcht MT Vleuten Telefoon: info@bmgrip.nl / Inspiratiesessie informatiebeveiliging DNV GL 57

58 Programma 16:45 Leo Benschop ControlSolutions ISO 27001, NEN 7510, ISAE 3402 verklaringen en AVG compliance 17:15 Sjoerd van de Meerendonk BMGrip Implementatie en beheer van efficiënt geïntegreerde systemen 17:45 Rob Jansen DNV GL Business Assurance Nut en noodzaak van certificering 18:15 Netwerkborrel 58 DNV GL

59 Nut en noodzaak van informatiebeveiliging volgens ISO & NEN 7510 DNV GL Business Assurance Benelux Rob Jansen 59 DNV GL SAFER, SMARTER, GREENER

60 Informatiebeveiliging; Waar gaat dat over? 60 DNV GL SAFER, SMARTER, GREENER

61 Voor uw beeldvorming Data Gegevens zonder context en zonder waarde. Informatie Een (bedrijfs)middel dat waarde heeft doordat het in een bepaalde context geplaatst kan worden. Informatie kan in verschillende vormen bestaan (op papier, elektronische opslag, per post, elektronische media op film worden getoond of mondeling worden uitgewisseld). Informatiebeveiliging Het beschermen en behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. 61 DNV GL

62 De elementen van informatiebeveiliging Vertrouwelijkheid eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen. Integriteit eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. Beschikbaarheid kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. DNV GL

63 Waarom is informatiebeveiliging nu belangrijk? 63 DNV GL SAFER, SMARTER, GREENER

64 Belangrijke redenen Globalisering en samensmelting van informele en zakelijke structuren en netwerken. Relatief veel ongewenste praktijkvoorbeelden in de media. Steeds specifiekere wet- en regelgeving. Individuen worden zich steeds meer bewust van hun eigen risico s. Organisaties willen en moeten risico s beter beperken, beheersen, vermijden of uitbesteden. Het ontbreekt nog vaak aan een alles omvattende en systematische benadering. 64 DNV GL

65 Praktijkvoorbeelden 65 DNV GL

66 Praktijkvoorbeelden Steeds vaker zijn bedrijven en websites het slachtoffer van DDoS aanvallen. Uit onderzoek van het Amerikaanse security bedrijf Prolexic blijkt dat het aantal DDoS-aanvallen flink toeneemt. Er is zelfs sprake van een verdubbeling ten opzichte van DNV GL

67 Praktijkvoorbeelden Wereldwijde aanval met ransomware treft ook deel Rotterdamse haven 27 juni 2017: Dinsdag zijn wereldwijd bedrijven en instellingen getroffen door een aanval met ransomware, ook wel gijzelsoftware genoemd. Containeroverslagbedrijf APM Terminals, dat onder meer in de haven van Rotterdam actief is, was een van de eerste bedrijven die melding maakten van een IT-storing. Volgens cyberveiligheidsbedrijf Fox-IT zijn meer Nederlandse bedrijven getroffen door de cyberaanval, genaamd Petya. Volgens de Russische antivirusreus Kaspersky Lab gaat het echter niet om een nieuwe variant van dit oude virus. In Nederland zijn onder de slachtoffers pakketbezorger TNT en medicijnfabrikant MSD, die fabrieken heeft in andere landen. In het buitenland gaat het onder meer om banken en overheidsinstanties in Oekraïne en Rusland. 67 DNV GL

68 Praktijkvoorbeelden Pas op voor virus Facebook Messenger 30 juni 2018: Mensen krijgen het virus-bericht via Messenger binnen, met twee verbaasde emoticons en vervolgens hun naam en een link naar YouTube. Als je op de link klikt, is er een kans dat je gehackt kan worden. Zo meldt Metro. Gebruikers van de app krijgen van een Facebookvriend het bericht in hun inbox. Daarom lijkt het allemaal vrij onschuldig. Door op de link te klikken, haal je schadelijke software binnen. 68 DNV GL

69 Kortom. 69 DNV GL

70 Het reikt verder dan IT systemen 70 DNV GL

71 Belang van goede informatiebeveiliging Inzicht in en beperking van risico s. Zekerheid Garantie van correcte informatie op het juiste moment voor het juiste publiek. Borging van de continuïteit van de dienstverlening. Voldoen aan wet- en regelgeving. Juist handelen als er een incident is. Reputatie en vertrouwen. Kwetsbaarheid is nog vaak te groot. Factor mens grootste uitdaging. 71 DNV GL

72 Een managementsysteem volgens ISO en/of NEN DNV GL SAFER, SMARTER, GREENER

73 ISO versus NEN 7510 ISO Internationaal vastgestelde en erkende norm, geschikt voor certificering. NEN 7510 Gebaseerd op de ISO Locaal vastgestelde en erkende norm, geschikt voor zorg gerelateerde certificering. Voorzien beiden in eisen (criteria) voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Managementsysteem voor Informatiebeveiliging Een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging. Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie. 73 DNV GL

74 Wat hebben de normen te bieden? Gelijke (High Level) structuur als andere ISO normen waardoor implementatie, certificatie en beheer van gecombineerde managementsystemen effecienter is dan voorheen. Evolutie; Steeds volwassener, door ervaring en feedback uit eerdere versies ontstaan. Alle in- en externe stakeholders, dus ook wet- en regelgeving als vertrekpunt. Risicobeoordeling en behandeling staat centraal. Een systematische benadering en continue verbetering volgens Plan, Do, Check, Act. 74 DNV GL

75 Certificering volgens ISO en/of NEN DNV GL SAFER, SMARTER, GREENER

76 Waarom certificeren? Intern Transparantie in de beveiligingsrisico s binnen de organisatie. Bewustwording, betrokkenheid en gedragsverandering bij medewerkers m.b.t. de risico s en maatregelen. Certificatie-audits door ervaren professionals geven waardevolle feedback. Certificatie dus jaarlijkse beoordelingen door derde partij Vreemde ogen dwingen en stok achter de deur. Extern Voldoen aan wet- en regelgeving. Bewijs aan stakeholders juiste manier van informatieverwerking en overdracht. Risicobeperking dus meer zekerheid voor klanten/clienten en andere stakeholders. Externe beoordeling maakt de kwaliteit van informatiebeveiliging aantoonbaar. 76 DNV GL

77 Wat wordt er van de organisatie verwacht (1)? Kennis van, en ervaring met de norm(en). Eventuele intergratie met bestaand managementsysteem. Planmatig implementatietraject van het ISMS. Vastgestelde kaders waarbinnen het ISMS functioneert: Gehele organisatie of een deel ervan. Werkterrein van certificatie (de scope). De context in kaart brengen Alle in- en externe partijen met eisen en verwachtingen. Eisen vanuit AVG/GDPR zijn ook onlosmakelijk verbonden. Beleid vaststellen en communiceren. Vaststellen wat de organisatie wil bereiken op het gebied van informatiebeveiliging SMART doelstellingen. 77 DNV GL

78 Wat wordt er van de organisatie verwacht (2)? Inrichting van het ISMS o.b.v. een volledige risico beoordeling: Vaststelling van passende methodiek. Risico acceptatiecriteria vaststellen. Risico s identificeren, analyseren en evalueren. Ownership van risico s. Maatregelen uit de norm verplicht gebruiken, uitsluitingen moeten onderbouwd worden. Organisatorische én technische maatregelen waaronder: Veilig personeel. Beheer van bedrijfsmiddelen. Toegangsbeveiliging. Cryptografie. Fysieke beveiliging en beveiliging van de omgeving. Beveiliging bedrijfsvoering. Communicatiebeveiliging. Acquisitie, ontwikkeling en onderhoud van informatiesystemen. Leveranciersrelaties. Beheer van informatiebeveiligingsincidenten. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer. 78 DNV GL

79 Wat wordt er van de organisatie verwacht (3)? Organisatorische inrichting van de behandeling van de risico s. Mensen en middelen beschikbaar? Kennis, awareness en communicatie. Budget voor investeringen. Vereiste en gewenste documentatie ontwikkelen en beheren. Processen, protocollen en instructies. Registraties, logging en dossiers. Rekening houdend met vertrouwelijkheid, integriteit en beschikbaarheid. Verklaring van toepasselijkheid (Statement of Applicability): Transparantie aangaande de relevante beheersmaatregelen en vermeld op certificaat. Certificering bij een werkend, dus volledig geïmplementeerd managementsysteem (ISMS): Dus ook interne audits en een directiebeoordeling. Minimaal 3 maanden in werking. Aantoonbaarheid van onderhoud van het ISMS. 79 DNV GL

80 Het certificatieproces Optioneel: Nulmeting, proefaudits of positiebepaling Fase 1: Kennismaking en documentatiebeoordeling Fase 2: Certificeringsaudit Periodieke audit Periodieke audit Hercertificerings audit Certificaat 3 jaar geldig 80 DNV GL

81 Voorbeelden certificaten 81 DNV GL

82 Heeft u nog vragen? 82 DNV GL SAFER, SMARTER, GREENER

83 Hartelijk dank voor uw aandacht! Voor meer informatie over certificering: SAFER, SMARTER, GREENER The trademarks DNV GL, DNV, the Horizon Graphic and Det Norske Veritas are the properties of companies in the Det Norske Veritas group. All rights reserved. 83 DNV GL