Readiness Assessment ISMS

Maat: px

Weergave met pagina beginnen:

Download "Readiness Assessment ISMS"

Leona Smets
8 jaren geleden
Aantal bezoeken:

1 Readiness Assessment van ISMS ISO/IEC27001:2005 1

2 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2

3 Wat is ISO eigenlijk? ISO/IEC 27001:2005 Is ontwikkeld met het doel om een aanleiding ter beschikking te stellen op basis waarvan een Informatie Security Management Systeem (ISMS) ingericht en gehanteerd worden kan. Het gaat er hierbij om de voor het kerntaken noodzakelijke processen. De focus ligt niet op IT maar op: INFORMATIE! Vertrouwelijke informatie moet beschermd worden Confidentiality Vertrouwelijkheid Integrity integriteit Informatie moet niet onbemerkt veranderd kunnen worden Availibility Beschikbaarheid Informatie moet beschikbaar zijn 3

Management Systeem (ISMS) ingericht en gehanteerd worden kan. Het gaat er hierbij om de voor het kerntaken noodzakelijke processen.

4 Centrale thema s - Clauses De centrale thema s van ISO/IEC27001:2005 zijn vastgelegd in sectie 4-8 van de standaard (de clauses), die de beschrijving van een volwaardig ISMS omvat: Management commitment Definitie van de scope Inventarisatie van de assets Zwakheden- en risicoanalyse Inrichten van controls Interne controle en internal audit Coördinatie van informatie security (Security forum) 4

commitment Definitie van de scope Inventarisatie van de assets Zwakheden- en risicoanalyse

5 Management Commitment De Management Commitment staat centraal bij ISO/IEC Uitgangspunt hierbij is de filosofie dat de medewerkers slechts dat kunnen naleven wat hen door het management wordt voorgehouden. 5

6 Was is de scope? De scope verklaring beschrijft het geldigheidsbereik van het ISMS Voorbeeld: Alle medewerkers, diensten, technologieën en locaties in Nederland van de <Firma> zijn vervat in de scope van het ISMS. Uitgezonderd zijn de systemen die op het internet worden gerund door een provider. 6

Voorbeeld: Alle medewerkers, diensten, technologieën en locaties in

7 Wat betekent overzicht van assets? Met het overzicht van alle assets worden alle ondernemingswaarden/bezittingen bedoeld, die met informatie geassocieerd zijn en zich in de scope bevinden van het ISMS Voorbeeld: Het overzicht van assets omvat ondernemingswaarde zoals: Hardware Software Services Gedrukte brochures of anderszins geprinte informatie Octrooien of auteursrechtelijk eigendom. 7

informatie geassocieerd zijn en zich in de scope bevinden van het ISMS Voorbeeld: Het overzicht

8 Zwakheden- en risicoanalyse risk assessment: overall process of risk analysis and risk evaluation risk analysis: systematic use of information to identify sources and to estimate the risk risk evaluation: process of comparing the estimated risk against given risk criteria to determine the significance of the risk (ISO/IEC 17799:2005) De Risk Assessment wordt toegepast op die assets die in de scope meegenomen zijn en dus van belang zijn voor het realiseren van de doelstellingen zoals vastgelegd in het ISMS. Praktisch: Er zijn reeds bekende en uitgewerkte methoden zoals bv SPRINT ter beschikking. Als norm kan ISO gehanteerd worden. 8

(ISO/IEC 17799:2005) De Risk Assessment wordt toegepast op die assets die in de scope meegenomen zijn en dus van belang zijn voor het realiseren van de

9 Inrichting van controls 12 Information systems acquisition, development and maint 12.1 Security requirements of information systems Security requirements analysis and specification 12.2 Correct processing in applications Input data validation Control of internal processing Message integrity Output data validation 12.3 Cryptographic controls Policy on the use of cryptographic controls Key management 12.4 Security of System Files Control of operational software Protection of system test data Access control to program source code 12.5 Security in development and support processes Change control procedures Technical review of applications after operating system changes Restrictions on changes to software packages Information leakage Outsourced software development Op basis van het gedrag om met risico s om te gaan kan besloten worden controls te installeren die de risico s kunnen verminderen (mitigeren) of geheel neutraliseren. Deze controls worden uit de Annex A van de standaard opgenomen in de Statement of Applicability (Verklaring van toepasselijkheid) samengevoegd. Hierin zijn de beweegredenen (wel of niet) voor gebruik van alle controls uit Annex A opgenomen. Voorbeeld: Als een ernstige bedreiging voor de vertrouwelijkheid van s verondersteld wordt en het risico voor de onderneming groot is dan kan door encryptie dit risico worden verkleind. 9

3.2 Key management 12.4 Security of System Files 12.4.1 Control of operational software 12.4.2 Protection of system test data 12.4.3 Access control to program source code 12.

10 Controle doelstellingen uit de Annex A A van het ISO/IEC27001:2005 Controle aspect Inhoud A.5 Security policy Geeft inzicht in hoe de onderneming omgaat met security En wat het top management hierover heeft afgekondigd. A.6 Organisatie of informatie security Geeft inzicht in de security organisatie en de organisatie van de verantwoordelijkheden. A.7 Asset management Zekerstellen van de benodigde maatregelen voor bescherming van informatie door classificatie van informatie. A.8 Human resources security Reduceren van security incidenten door mensen. Regelen van scholing en aanname beleid. A.9 Fysieke en omgevingsbeveiliging Verschaffen van zekerheid door omgevingsmaatregelen ter bescherming. A.10 Communicatie en operationeel management A.11 Toegangscontrole Toegangscontrole A.12 Informatie systeem acquisitie, ontwikkeling en onderhoud A.13 Informatie security incident management Zekerstellen van een gedegen bedrijfsvoering betreffende informatieverwerkende processen. Zekerstellen van eigen ontwikkelde of aangeschafte softwareproducten of systemen. Zekerstellen van communicatie over beveiliginggebeurtenissen. A.14 Business continuïteit management Continuïteit in noodsituaties A.15 Compliance Voldoen aan wet en regelgeving. 10

6 Organisatie of informatie security Geeft inzicht in de security organisatie en de organisatie van de verantwoordelijkheden. A.

11 Interne controle / Internal Audit De Standard ISO/IEC27001:2005 verlangt, dat een interne organisatie wordt ingericht, die onafhankelijk is en die de werking van het ISMS continu test. In de loop van een jaar moet de gehele standaard door interne controle worden getoetst. Dit is een preventieve maatregel. Notie: De Interne controle werkt volgens een test programma en consulteert eventueel externe experts. 11

In de loop van een jaar moet de gehele standaard door interne controle worden getoetst.

12 Coördinatie van de informatiebeveiliging (Beveiligingsplatvorm) De Standaard ISO/IEC27001:2005 schrijft voor, dat een interne organisatie wordt ingericht, die beveiligingsincidenten afhandelt en eventueel aanvullende maatregelen treft. Deze organisatie is met het management verantwoordelijk voor het continue verbeteren van het proces van informatiebeveiliging. Notie: Het Beveiligingsplatvorm behoort 2 tot 4 wekelijks bijeen te komen. Notuleren moet een audit trail verzorgen. (Prove me!) 12

Deze organisatie is met het management verantwoordelijk voor het continue verbeteren van het proces van

13 PDCA Modell / Deming Cycle ISO/IEC27001:2005 biedt een proces georiënteerde aanpak aan voor opbouw, implementatie, uitvoering, bewaking en ontwikkeling van het ISMS. Hierbij wordt gebruik gemaakt van het Plan-Do-Check-Act Model, dat bij alle ISMS Processen wordt gebruikt. Plan Opstellen ISMS Do Implementeren en uitvoeren ISMS Onderhouden en verbeteren van ISMS Act Monitoren en evalueren ISMS Check 13

Hierbij wordt gebruik gemaakt van het Plan-Do-Check-Act Model, dat bij alle ISMS Processen wordt

14 het Managementproces Act Opstellen van de de Scope Inventarisatie van informatie Assets Plan Kwetsbaarheden En risicoanalyse Inrichten Van controles Do Instellen Internal Audit Check Instellen Informatie Beveiligingsplatvorm Regionaal Organisatorische De hele onderneming Services Hardware Software Schade Kans Gebruik van de Annex A van ISO Opstellen SoA Afhandeling beveiligingsincidenten Preventieve Audit(s) door Internal Audit Verbetering van het ISMS 14

Organisatorische De hele onderneming Services Hardware Software Schade 3 4 5 6 2 3 4 5 1 2 3 4 1 1 2 3 Kans Gebruik van de

15 Procesgang Coaching Pre Assessments Certificering Scholing (ISO Lead Auditor) Rijpheidanalyse Awareness Training medewerkers Analyse van dokumenten tov de eisen uit de standaard ISO Analyse van de aanpassingen van de Organisatie Testen Organisatie aan ISO op basis van Europese richtlijnen Toekennen Certificaat Regelmatige opvolgingstests. 15

standaard ISO 27001 Analyse van de aanpassingen van de Organisatie Testen Organisatie aan

16 Procesgang Equens Readiness Assessment Verbeteringen (major non-conformities) Certificering Verbeteringen (minor non-conformities) Her-certificering (comments).. 16

17 Doel I. Certificeren II. Verbeteren III. Betere concurrentie positie 17

Vergelijkbare documenten

"Baselines: eigenwijsheid of wijsheid?"

"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte