Volwassen Informatiebeveiliging

Vergelijkbare documenten
Beoordelingskader Informatiebeveiliging DNB

ICT-Risico s bij Pensioenuitvo ering

LIO NOREA bijeenkomst 4 februari 2019

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

Ervaringen met het NBA-LIO volwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB

Meer Business mogelijk maken met Identity Management

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Handreiking bij Volwasssenheidsmodel Informatiebeveiliging

Control driven cyber defense

11 oktober Heeft u voldoende in(zicht) op uw procesautomatisering en organisatie?

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Global Project Performance

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

IT Service CMM. White paper. Frank Niessink. Versie 1.0.2, 30 november Copyright 2001 Software Engineering Research Centre All rights reserved.

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Service management stuurt de verandering

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

Commissarissen Symposium

KPMG s Identity and Access Management Survey 2008

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

IT risk management voor Pensioenfondsen

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Seriously Seeking Security

HET GAAT OM INFORMATIE

Waarde creatie door Contract Management

Business as (un)usual

Wat zijn de risicomanagement eisen uit IORP II en wat is de bestuurlijke impact?

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Global Project Performance

NAF Opzet Werkgroepen

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Global Project Performance

Global Project Performance

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Physical Security Maturity

Informatiebeveiliging voor gemeenten: een helder stappenplan

RISICOMANAGEMENT IN DE PRAKTIJK

Een Information Security Management System: iedereen moet het, niemand doet het.

NS in beweging, Security als business enabler september 2008

Welkom bij parallellijn 1 On the Move uur

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

ALS ORGANISATIE IN SHAPE MET P3O Judith Engelberts

Informatieveiligheid, de praktische aanpak

NBA LIO, Ledengroep Intern en Overheidsaccountants Jaarplan 2015

5-daagse bootcamp IT Risk Management & Assurance

Bedrijfscontinuïteit met behulp van een BCMS

Identity & Access Management & Cloud Computing

Stappenplan naar GDPR compliance

Maturity van security architectuur

Global Project Performance

Discussiedocument. Continuous Assurance. November Discussiedocument Continuous Assurance

[Naam verzekeraar] [Adres] Geachte [..],

Digitale Veiligheid 3.0

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Business Continuity Management

Aon Global Risk Consulting Cyber Practice Privacy Services

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Workshop Lean en de nieuwe ISO normen

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Inleiding. 1. Doelstelling en achtergrond van het DNB-onderzoek

Transformeer naar een data gedreven organisatie. Strategy & Big Data Analytics Leadership

CYBER WEERBAARHEIDSCENTRUM BRAINPORT voor de hightech maakindustrie in Nederland

Waarom lukt het niet (zuinig) te beveiligen?

Stappenplan naar GDPR compliance

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

JAARPLAN Intern en Overheids accountants THEMA S NBA VERNIEUWINGSAGENDA

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Informatiebeveiliging & ISO/IEC 27001:2013

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?

Van Risicomanagement naar Waarde Creatie. Duurzaam Inkopen 3.0

Vertrouwen in ketens. Jean-Paul Bakkers

Privacy en Security AVGewogen beleid 29 november 2017

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Welkomstwoord. Leen Paape. - Hoogleraar Corporate Governance - Voorzitter van het Nyenrode Corporate Governance Instituut

Regie op persoonsgegevens. Ron Boscu Directeur

Cyber Security Assessment (NOREA-CSA) Analyse Cyber Security Standaarden en Frameworks

Informatiebeveiliging & Privacy - by Design

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

Risk & Compliance Charter Clavis Family Office B.V.

Compliance Charter. Pensioenfonds NIBC

Privacy Maturity Scan (PMS)

ITIL Security Management: een kritische beschouwing

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

ISACA NL C**** in a day Inspiratiesessie CRISC

MKB Cloudpartner Informatie TPM & ISAE

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

De toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer

MVO Prestatieladder en Duurzame IT

Factsheet SECURITY SCANNING Managed Services

Transcriptie:

Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019

Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma en sprekers (Jos Nijhuis) 15.15-15.30 uur Korte toelichting op volwassenheidsmodel (Jurgen Pertijs) Ervaringen met het model door: 15.30-16.00 uur Edwin Hummel, Auditdienst Rijk 16.00-16.30 uur Jacco Jacobs, DNB 16.30-17.00 uur Ton van Rhijn, CZ Groep 17.00-17.10 uur Samenvatting symposium door dagvoorzitter Jos Nijhuis 17.10-17.15 uur Afronding door Jeroen Biekart, voorzitter NOREA bestuur 17.15 uur Borrel, gelegenheid tot netwerken en napraten

Volwassenheidsmodel informatiebeveiliging Jurgen Pertijs, werkgroep volwassenheidsmodel informatiebeveiliging

Vragen in de boardroom Op welke wijze bepaalt mijn organisatie haar risicobereidheid voor informatiebeveiliging? Hoe weet mijn organisatie en haar stakeholders dat informatiebeveiliging volwassen genoeg is? Hoe weerbaar is mijn organisatie met betrekking tot cyber security incidenten? Hoe hebben mijn lines of defense hun check & balances opgezet om de effectiviteit van de beveiligingsmaatregelen te toetsen?

Is mijn informatievoorziening aangaande beveiliging toereikend om op basis hiervan te kunnen (bij)sturen? Hoe vergewist mijn organisatie zich ervan dat mijn leveranciers en ketenpartners hun beveiliging goed hebben geregeld? Hoe presteert mijn organisatie ten opzichte van andere organisatieonderdelen? Wat moet mijn organisatie regelen om het vereiste niveau te bereiken? Heb ik waar voor mijn geld?

Opdracht werkgroep De opdracht was: 1. Up to date maken van het model van 2016 met de laatste inzichten ten aanzien van het beheersen van cyberrisico; 2. De bekendheid van het model vergroten.

Het ontwerp Model is gebaseerd op good practices Referenties naar CobIT, ISO27K, BIO, DNB, NIST Engelstalig Gebieden: Governance Organisation Risk Management Human Resources Configuration Management Incident & Problem Management Change Management System Development Data Management Identity & Access Management Security Management Physical Security Computer Operations Business Continuity Management Supply Chain Management

5 volwassenheidsniveau s 2 3 Repeatable Defined 4 Managed and measurable Control gedefinieerd o.b.v. risico assessment Gedocumenteerd en geformaliseerd Opzet, bestaan en effectieve werking aantoonbaar Control is geimplementeerd Uitvoering is consistent en standaard Informeel en grotendeels gedocumenteerd 5 Continuous improvement Self-assessment, gap en root cause analyses Real time monitoring Inzet automated tooling Periodieke (control) evaluatie en opvolging vindt plaats Rapportage management vindt plaats 1 Initial Geen of beperkte controls geimplementeerd Niet of ad-hoc uitgevoerd Niet of deels gedocumenteerd Wijze van uitvoering afhankelijk van individu

Een kijkje in het model

Totaaloverzicht

Risico analyse & control objective

Volwassenheidsmeting

Referenties naar good practices

Voorbeeldrapportages - Maturity level indications

Voorbeeldrapportages - Governance

Voorbeeldrapportages - Maturity level indications per area

Toepassing van het model Context zelf meewegen: maak risico indicatie organisatiespecifiek aard van business en informatievoorziening IT landschap afhankelijkheid van informatievoorziening en derden in waardeketen wet & regelgeving risicobereidheid Rapportages: toegevoegde waarde door periodieke dialoog met stakeholders kwetsbaarheden, impact en risico s prioritering en opvolging mitigerende acties challenge sessie met verantwoordelijke directie Evalueer periodiek (het gebruik van) het model, en vertel het ons

Vragen?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback