EXIN Information Security Foundation based on ISO/IEC 27002



Vergelijkbare documenten
Preparation Guide. EXIN Information Security Foundation based on ISO/IEC 27002

TMap NEXT Test Manager

EXIN Information Security Management Advanced based on

EXIN Agile Scrum Foundation

EXIN Agile Scrum Foundation

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

EXIN Agile Scrum Master

EXIN Agile Scrum Foundation. Preparation Guide

EXIN Databases en SQL Foundation

EXIN Business Information Management Foundation

Brochure ISO Advanced

Business Information Management Foundation

Brochure ISO Foundation

EXIN WORKFORCE READINESS werkgever

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

EXIN Projectmanagement Foundation

Beveiligingsbeleid Stichting Kennisnet

EXIN WORKFORCE READINESS professional

EXIN WORKFORCE READINESS opleider

Databases en SQL Foundation (DBSQLF.NL)

EXIN Professionele Communicatie Foundation. Preparation Guide. Editie

EXIN Cloud Computing Foundation

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie juni 2008

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008

Informatiebeveiligingsbeleid

EXIN Informatiesystemen Foundation

Informatiebeveiliging & Privacy - by Design

Readiness Assessment ISMS

De maatregelen in de komende NEN Beer Franken

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

"Baselines: eigenwijsheid of wijsheid?"

Preparation guide. EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

ISO 27001:2013 INFORMATIE VOOR KLANTEN

EXIN Agile Scrum Product Owner Bridge. Preparation Guide. Editie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

EXIN Agile Scrum Foundation

EXIN Testen Foundation

Seriously Seeking Security

EXIN IT Service Management Foundation Bridge

Voorbeeldexamen. EXIN Information Security Foundation based on ISO/IEC 27002

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

Doel van de opleiding informatieveiligheid

EXIN IT Service Management Foundation based on ISO/IEC Preparation Guide. Editie

Informatiebeveiliging

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Privacy Verklaring. Vereniging voor toezichthouders in onderwijsinstellingen en kinderopvang

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Gemeente Alphen aan den Rijn

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Communicatieplan Versie: 6.0 Datum: 18 mei 2017

Voorbeeldexamen. EXIN Information Security Foundation based on ISO/IEC 27002

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Veilig samenwerken met de supply-chain

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Infrastructuur management Foundation (IMF.NL)

1 1 t/m 3. Beveiliging van software. Beveiliging van besturingssystemen

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Thema-audit Informatiebeveiliging bij lokale besturen

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

BEVEILIGINGSARCHITECTUUR

Verklaring van Toepasselijkheid

Het Sebyde aanbod. Secure By Design

5W Security Improvement

Object Oriëntatie Foundation (OOF.NL)

Testen Foundation (TestF.NL)

Toets NEN 7510 voor FG in de zorg

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

Hoe fysiek is informatiebeveiliging?

Wat betekent de meldplicht datalekken voor u?

NLT Gecertificeerde Module. Cybersecurity. Petra van den Bos Marko van Eekelen Erik Poll Radboud Universiteit Nijmegen

Incidenten in de Cloud. De visie van een Cloud-Provider

Control driven cyber defense

Hoe operationaliseer ik de BIC?

Dataprotectie op school

Certified Ethical Hacker v9 (CEH v9)

Informatiebeveiliging

INTRODUCTIE

Informatiebeveiligingsbeleid

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid.

Lange cursus beschrijving van de cursus: ITIL basics

Corporate Payment Services

Het ITIL Servicewaardesysteem (50) 35 Samenvatting en vragen (60) 40

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

J.H. van den Berg. Versie 1.0 Mei 2011

Privacy & Data event Johan Rambi 18 Mei 2017

Certified ISO Risk Management Professional

1. Beveiligingsbijlage

Transcriptie:

Preparation Guide EXIN Information Security Foundation based on ISO/IEC 27002 Uitgave januari 2013

Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. 2 2

Inhoud 1. Overzicht 4 2. Exameneisen 7 3. Begrippenlijst 12 4. Literatuur 15 3 3

1. Overzicht EXIN Information Security Foundation Inhoud Deze Preparation Guide heeft als doel de training provider te helpen bij het ontwikkelen van een training en trainingsmateriaal die voldoen aan de voorwaarden van EXIN. In de Preparation Guide worden de onderwerpen van het examen beschreven, de exameneisen, de specificaties en de doelgroep. Informatiebeveiliging is het beschermen van informatie tegen een breed scala aan risico s ten einde business continuity te kunnen waarborgen, business risico s te minimaliseren en de opbrengst van investeringen en business mogelijkheden te maximaliseren. Informatiebeveiliging wordt steeds belangrijker. De globalisering van de economie leidt tot een toenemende uitwisseling van informatie tussen organisaties (medewerkers, klanten en leveranciers), een toenemend gebruik van netwerken, zoals het interne bedrijfsnetwerk, de koppeling met netwerken van andere bedrijven en Internet. De internationale standaard, de Code of Practice for Information Security ISO/IEC 27002:2005, is een breed gerespecteerde en gerefereerde standaard en biedt een raamwerk voor de organisatie en het management van een informatiebeveiligings programma. Implementatie van een programma gebaseerd op deze standaard ondersteunt een organisatie in het voldoen aan de hoge eisen die worden gesteld aan de huidige complexe operationele omgeving. Een grondige kennis van deze standaard is belangrijk voor de persoonlijke ontwikkeling van iedere informatiebeveiligingsprofessional. In de module Information Security Foundation based on ISO/IEC 27002 (ISFS), worden basisbegrippen van informatiebeveiliging en hun samenhang getoetst. De basiskennis die in deze module wordt getoetst, draagt vooral bij aan het bewustzijn dat informatie kwetsbaar is en dat maatregelen om informatie te beschermen, nodig zijn. De module omvat de onderwerpen: Informatie en beveiliging: de begrippen, de waarde van informatie en het belang van betrouwbaarheid; Bedreigingen en risico`s: de relatie tussen bedreigingen en betrouwbaarheid; Aanpak en organisatie: het beveiligingsbeleid en de inrichting van informatiebeveiliging; Maatregelen: fysieke, technische en organisatorische beveiligingsmaatregelen; Wet- en regelgeving: het belang en de werking. 4 4

Context Kwalificatieschema De module EXIN Information Security Foundation based on ISO/IEC 27002 maakt deel uit van het kwalificatieprogramma Information Security. Het vervolg op de module ISFS is de module EXIN Information Security Management Advanced based on ISO/IEC 27002 (ISMAS) en de module EXIN Information Security Management Expert based on ISO/IEC 27002 (ISMES). Doelgroep De module EXIN Information Security Foundation based on ISO/IEC 27002 richt zich op iedereen in de organisatie die met informatie omgaat. De module is ook geschikt voor kleine zelfstandige ondernemers voor wie enige basiskennis van informatiebeveiliging noodzakelijk is. Voor beginnende informatiebeveiligers kan deze module een goede start zijn. Voorkennis geen Examenvorm Computergestuurde multiple-choice-vragen Indicatie studielast 60 uur 5 5

In-course assessment Niet van toepassing Examenduur 60 minuten Examendetails Aantal vragen: 40 Cesuur: 65% (26 van 40) Open boek/notities: nee Elektronische hulpmiddelen toegestaan: nee Voorbeeldvragen Een voorbeeldexamen is gratis van http://www.exin.com te downloaden. Training Groepsgrootte Het maximum aantal deelnemers is 25. (Dit geldt niet voor een online- of computer based training.) Contacturen Het minimum aantal contacturen tijdens de training is 7. Dit omvat groepsopdrachten, voorbereiding op het examen en korte pauzes. Dit aantal uren is exclusief huiswerk, logistieke voorbereiding van het examen en lunchpauzes. Training provider Een lijst van geaccrediteerde training providers kunt u vinden op de website van EXIN http://www.exin.com. 6 6

2. Exameneisen en -specificaties De exameneisen zijn de onderwerpen van de module. Er wordt van de kandidaat verwacht dat hij of zij deze grondig beheerst. De exameneisen zijn uitgewerkt in examenspecificaties. In onderstaande tabel staan de onderwerpen van de module (exameneisen). Het gewicht van de verschillende onderwerpen in het examen wordt uitgedrukt in een percentage van het totaal. Exameneis Examenspecificatie Gewicht (%) 1 Informatie en beveiliging 10 1.1 Informatie 2,5 1.2 Waarde 2,5 1.3 Betrouwbaarheid 5 2 Dreigingen en risico`s 30 2.1 Dreiging en risico 15 2.2 Relaties 15 3 Aanpak en organisatie 10 3.1 Beleid en organisatie 2,5 3.2 Onderdelen 2,5 3.3 Incidentbeheer 5 4 Maatregelen 40 4.1 Belang 10 4.2 Fysiek 10 4.3 Technisch 10 4.4 Organisatorisch 10 5 Wet- en regelgeving 10 5.1 Wet- en regelgeving 10 Totaal 100 7 7

Examenspecificaties 1. Informatie en beveiliging (10%) 1.1 Het begrip informatie (2,5%) De kandidaat heeft inzicht in het begrip informatie. 1.1.1 uitleggen wat het verschil is tussen data en informatie; 1.1.2 informatiedragers beschrijven die onderdeel uitmaken van de basisinfrastructuur. 1.2 De waarde van informatie (2,5%) De kandidaat heeft inzicht in de waarde van informatie voor organisaties. 1.2.1 beschrijven wat de waarde is van data/informatie voor organisaties; 1.2.2 beschrijven hoe de waarde van data/informatie organisaties kan beïnvloeden; 1.2.3 uitleggen wat het nut is van informatiebeveiliging. 1.3 Betrouwbaarheidsaspecten (5%) De kandidaat heeft kennis van de betrouwbaarheidsaspecten (vertrouwelijkheid, integriteit, beschikbaarheid) van informatie. De kandidaat kan: 1.3.1 de betrouwbaarheidsaspecten van informatie benoemen; 1.3.2 de betrouwbaarheidsaspecten van informatie beschrijven. 2. Dreigingen en risico`s (30%) 2.1 Dreiging en risico (15%) De kandidaat heeft inzicht in de begrippen dreiging en risico. 2.1.1 de begrippen dreiging, risico en risicoanalyse uitleggen; 2.1.2 de relatie tussen een dreiging en een risico uitleggen; 2.1.3 verschillende soorten dreigingen beschrijven; 2.1.4 verschillende soorten schades beschrijven; 2.1.5 verschillende risicostrategieën beschrijven. 2.2 Relaties (15%) De kandidaat heeft inzicht in de relatie tussen dreigingen, risico`s en de betrouwbaarheid van informatie. 2.2.1 voorbeelden herkennen van de verschillende soorten dreigingen; 2.2.2 effecten beschrijven van de verschillende soorten dreigingen op informatie en informatieverwerking. 8 8

3. Aanpak en Organisatie (10%) 3.1 Beveiligingsbeleid en beveiligingsorganisatie (2,5%) De kandidaat heeft kennis van de begrippen beveiligingsbeleid en beveiligingsorganisatie. 3.1.1 in grote lijnen beschrijven wat het doel en de inhoud is van een beveiligingsbeleid; 3.1.2 in grote lijnen beschrijven wat het doel en de inhoud is van een beveiligingsorganisatie. 3.2 Onderdelen (2,5%) De kandidaat heeft kennis van de verschillende onderdelen van de beveiligingsorganisatie. 3.2.1 het belang van een gedragscode uitleggen; 3.2.2 het belang van eigenaarschap uitleggen; 3.2.3 de belangrijkste rollen in de informatiebeveiligingsorganisatie benoemen. 3.3 Incidentbeheer (5%) De kandidaat heeft inzicht in het belang van incidentbeheer en escalatie. 3.3.1 samenvatten hoe beveiligingsincidenten worden gemeld en welke informatie daarbij nodig is; 3.3.2 voorbeelden geven van beveiligingsincidenten; 3.3.3 duidelijk maken wat de consequenties zijn van het niet melden van beveiligingsincidenten; 3.3.4 uitleggen wat een escalatie inhoudt (functioneel en hiërarchisch); 3.3.5 beschrijven wat de effecten zijn van escalatie in de organisatie; 3.3.6 de incidentcyclus toelichten. 4. Maatregelen (40%) 4.1 Belang van maatregelen (10%) De kandidaat heeft inzicht in het belang van beveiligingsmaatregelen. 4.1.1 verschillende indelingen van beveiligingsmaatregelen beschrijven; 4.1.2 per type beveiligingsmaatregel voorbeelden geven; 4.1.3 de relatie tussen risico`s en beveiligingsmaatregelen uitleggen; 4.1.4 het doel van het classificeren van informatie benoemen; 4.1.5 beschrijven wat de uitwerking is van classificatie. 4.2 Fysieke maatregelen (10%) De kandidaat heeft kennis van de inrichting en uitvoering van fysieke maatregelen. 4.2.1 voorbeelden geven van fysieke maatregelen; 4.2.2 de risico`s verbonden aan het ontbreken van fysieke beveiligingsmaatregelen beschrijven. 9 9

4.3 Technische maatregelen (10%) De kandidaat heeft kennis van de inrichting en uitvoering van technische maatregelen. 4.3.1 voorbeelden geven van technische maatregelen; 4.3.2 de risico`s verbonden aan het ontbreken van technische beveiligingsmaatregelen beschrijven; 4.3.3 de begrippen cryptografie, digitale handtekening en certificaat plaatsen; 4.3.4 de drie stappen voor veilig internetbankieren benoemen (PC, website, betaling); 4.3.5 verschillende soorten kwaadaardige software benoemen; 4.3.6 de maatregelen beschrijven die tegen kwaadaardige software kunnen worden ingezet. 4.4 Organisatorische maatregelen (10%) De kandidaat heeft kennis van de inrichting en uitvoering van organisatorische maatregelen. 4.4.1 voorbeelden geven van organisatorische maatregelen; 4.4.2 de gevaren en risico`s verbonden aan het ontbreken van organisatorische beveiligingsmaatregelen beschrijven; 4.4.3 toegangbeveiligingsmaatregelen beschrijven zoals functiescheiding en wachtwoordgebruik; 4.4.4 principes voor het beheer van toegang beschrijven; 4.4.5 de begrippen identificatie, authenticatie en autorisatie beschrijven; 4.4.6 uitleggen wat het belang is van goed ingerichte Business Continuity Management voor een organisatie; 4.4.7 duidelijk maken wat het belang is van het uitvoeren van oefeningen. 5. Wet- en regelgeving (10%) 5.1 Wet- en regelgeving (10%) De kandidaat heeft inzicht in het belang en de werking van wet- en regelgeving. 5.1.1 uitleggen waarom wet- en regelgeving van belang is voor de betrouwbaarheid van informatie; 5.1.2 voorbeelden geven van wetgeving gerelateerd aan informatiebeveiliging; 5.1.3 voorbeelden geven van regelgeving gerelateerd aan informatiebeveiliging; 5.1.4 aangeven waaruit maatregelen voor wet- en regelgeving kunnen bestaan. 10 10

Toelichting en verantwoording Maatregelen op het gebied van informatiebeveiliging zijn voor de meeste medewerkers in een organisatie het eerste waar ze mee in aanraking komen. Daarom heeft deze exameneis het grootste gewicht. Dreigingen en risico`s volgen hierop omdat het belangrijk is deze te herkennen. Tenslotte is enige kennis van het beleid, de inrichting en van de wet- en regelgeving op het gebied van informatiebeveiliging nodig om het belang van de maatregelen te begrijpen. 11 11

3. Begrippenlijst De begrippenlijst bevat de begrippen die in de toets bevraagd kunnen worden. De begrippen staan op alfabetische volgorde in het Nederlands. Archiefwet Public records legislation audit Audit Auteurswet Copyright legislation authenticatie Authentication authenticiteit Authenticity autorisatie Authorization back-up Backup Bedrijfscontinuïteitsbeheer (Business Continuity Management (BCM)) Business Continuity Management (BCM) bedrijfsmiddel Asset beschikbaarheid Availability betrouwbaarheid van informatie Reliability of information beveiligingsbeleid Security Policy beveiligingsincident Security incident beveiligingsmaatregel Security measure beveiligingsorganisatie Security Organization biometrie Biometrics Botnet Botnet Business Continuity Plan (BCP) Business Continuity Plan (BCP) calamiteit Disaster categorie Category certificaat Certificate classificatie (rubricering) Classification (grading) Clear desk policy Clear desk policy Code voor informatiebeveiliging (NEN-ISO/IEC 27002:2007) Code of practice for information security (ISO/IEC 27002:2005) continuïteit Continuity correctheid Correctness correctief Corrective cryptografie Cryptography cybercrime Cyber crime data Data detectief Detective digitale handtekening Digital signature directe schade Direct damage Disaster recovery Plan (DRP) Disaster Recovery Plan (DRP) dreiging Threat encryptie Encryption escalatie Escalation functionele escalatie Functional escalation hiërarchische escalatie Hierarchical escalation 12 12

exclusiviteit Exclusivity functiescheiding Segregation of duties gedragscode Code of conduct hacken Hacking Hoax Hoax identificatie Identification impact Impact incidentcyclus Incident cycle indirecte schade Indirect damage informatie Information informatieanalyse Information analysis informatiearchitectuur Information architecture informatiemanagement Information management informatiesysteem Information system infrastructuur Infrastructure integriteit Integrity interferentie Interference ISO/IEC 27001:2005 ISO/IEC 27001:2005 kwalitatieve risicoanalyse Qualitative risk analysis kwantitatieve risicoanalyse Quantitative risk analysis kwetsbaarheid Vulnerability logisch toegangsbeheer Logical access management maatregel measure / control Malware Malware naleving (Compliance) Compliance nauwkeurigheid Precision onderhoudstoegang (Maintenace Maintenance door door) onweerlegbaarheid Non-repudiation opslagmedium Storage medium Patch Patch Personal Firewall Personal firewall Phishing Phishing preventief Preventive prioriteit Priority privacy Privacy productiefactor Production factor Public Key Infrastructure (PKI) Public Key Infrastructure (PKI) reductief Reductive repressief Repressive risico Risk risicoafweging (A&K analyse) Risk assessment (Dependency & Vulnerability analysis) risicoanalyse Risk analysis risicodragend Risk bearing risicomijdend Risk avoidance risiconeutraal Risk neutral risicomanagement Risk management risicostrategie Risk strategy 13 13

robuustheid Robustness Rootkit Rootkit schade Damage sleutel Key Social engineering Social engineering Spam Spam Spyware Spyware tijdigheid Timeliness toegangsbeheer (Access Control) Access control Trojan Trojan uitwijk Stand-by arrangement Uninterruptible Power Supply (UPS) Uninterruptible Power Supply (UPS) urgentie Urgency validatie Validation verificatie Verification vertrouwelijkheid Confidentiality Virtual Private Network (VPN) Virtual Private Network (VPN) virus Virus volledigheid Completeness Voorschrift Informatiebeveiliging Rijksdienst (VIR) / Voorschrift Informatiebeveiliging Bijzondere Informatie (VIR-BI) Wet Bescherming Persoonsgegevens (WBP) Information security regulations for the government Personal data protection legislation Wet Computer Criminaliteit (WCC) Computer criminality legislation Wijzigingsbeheer / Change Change Management Management worm Worm 14 14

Literatuur Examenliteratuur A Baars, H., Hintzbergen, J., Hintzbergen, K. en Smulders, A. Basiskennis informatiebeveiliging, op basis van ISO 27001 en ISO 27002 Van Haren Publishing, 2011 ISBN 978 90 8753 567 4 ebook ISBN 978 90 8753 8880 Samenhang literatuur en examenspecificaties Examenspecificatie Literatuur 1.1 A: H 3, H 4 1.2 A: H 4 1.3 A: H 4 2.1 A: H 5 2.2 A: H 5 3.1 A: H 9 3.2 A: 6.2, 6.4, H 9 3.3 A: H 6 4.1 A: H 5, H 6 4.2 A: H 7 4.3 A: H 8, 10 4.4 A: H 9, 10 5.1 A: H 11 Toelichting en verantwoording Het examen is gebaseerd op de examenliteratuur. 15 15

Contact EXIN www.exin.com

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback