Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014



Vergelijkbare documenten
ICT-Risico s bij Pensioenuitvo ering

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

Volwassen Informatiebeveiliging

Opleiding PECB ISO 9001 Quality Manager.

2 e webinar herziening ISO 14001

Opleiding PECB IT Governance.

Maturity van security architectuur

Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

Business as (un)usual

IT risk management voor Pensioenfondsen

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Brigitte de Vries Staedion. Kwaliteitsbeheersing De uitdagingen voor een éénpitter

Inleiding. 1. Doelstelling en achtergrond van het DNB-onderzoek

CTI SUITE TSP DETAILS

Cambridge Assessment International Education Cambridge International General Certificate of Secondary Education. Published

LIO NOREA bijeenkomst 4 februari 2019

Sarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005

Informatiebeveiliging & ISO/IEC 27001:2013

Besluitenlijst CCvD HACCP/ List of decisions National Board of Experts HACCP

Wat komt er op ons af?

Snel naar ISO20000 met de ISM-methode

ISO 9001: Business in Control 2.0

General info on using shopping carts with Ingenico epayments

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Implementeren van complianceen risicomanagement met Panoptys

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Talentmanagement in tijden van crisis

Brochure COBIT 5.0 Foundation

HR for Business raamwerk (HR4B)

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Ius Commune Training Programme Amsterdam Masterclass 15 June 2018

Seriously Seeking Security


Beoordelingskader Informatiebeveiliging DNB

2010 Integrated reporting

Introductie in flowcharts

1. Overleg tussen VOC en SSVV over aanpassingen 2. Planning 2015 nieuwe versie gereed 3. Aansluitend nieuwe VCU 4. Waarschijnlijk meer nuancering dan

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Auditen van softcontrols: Waar staan we?

Safe production of Marine plants and use of Ocean Space. 2de Nederlands-Belgische Zeewierconferentie: DE MULTIFUNCTIONELE NOORDZEE

Managen van digitale competenties (e-skills) 2017 Paul P.M. Willockx MSc. AGENDA

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Scope of this ISA 1 2 Toepassingsgebied van deze ISA 1 2. Effective Date 5 Ingangsdatum 5. Objectives 6 Doelstellingen 6. Definitions 7 Definities 7

Ius Commune Training Programme Amsterdam Masterclass 16 June 2016

ISO for CTG Europe

INFORMATIEBIJEENKOMST ESFRI ROADMAP 2016 HANS CHANG (KNAW) EN LEO LE DUC (OCW)

Ius Commune Training Programme Amsterdam Masterclass 22 June 2017

Incidenten in de Cloud. De visie van een Cloud-Provider

Nieuwsbrief NRGD. Editie 11 Newsletter NRGD. Edition 11. pagina 1 van 5.

ISO over compliance management: geen excuses meer

(10 spatie s) voette kst wijzig en via Invoeg en Kopte kst en voette kst

GOVERNMENT NOTICE. STAATSKOERANT, 18 AUGUSTUS 2017 No NATIONAL TREASURY. National Treasury/ Nasionale Tesourie NO AUGUST

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Risico s van Technologisch Succes in digitale transformatie S T R A T E G I C A D V I S O R

Opleiding PECB IT Cyber Security Specialist.

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

Hoe vergroot ik het lerend vermogen van mijn organisatie? Continue verbeteren, accelerated learning

Impact en disseminatie. Saskia Verhagen Franka vd Wijdeven

Statistische steekproeven in juist perspectief

Effectiviteitsmeting van de IAF Dennis Webbers EMIA RO CISA

IPFOS. Bestuurders Conferentie. Scenario planning voor verzekeraars onder solvency II Onno de Vrij, Head of Risk andfraud-sas

5-daagse bootcamp IT Risk Management & Assurance

De evaluatie van multidisciplinaire crisis(oefeningen) in de Nederlandse praktijk

E-learning maturity model. Hilde Van Laer

Enterprisearchitectuur

Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2

EXIN WORKFORCE READINESS werkgever

European frameworks for VET

EXIN WORKFORCE READINESS professional

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

ISO Stephanie Jansen - NEN Henk Kwakernaak - KWA

Aqua: agile verbeteren voor teams. TestNet Zomer Workshops 2017 Huib Schoots

Ontwikkelingen binnen Privacy Tony de Bos EMEIA Privacy leader EY

Help je Power BI Analytics project om zeep 6 succesfactoren. Marc Wijnberg Gebruikersdag 2018

Vertaling NEDERLANDS INTERNATIONAL STANDARD ON AUDITING 402. Paragraph. Inleiding

Welkom. Digitale programma: #cmdag18. Dagvoorzitter Prof. dr. Arjan van Weele NEVI hoogleraar inkoopmanagement.

Value based healthcare door een quality improvement bril

Control driven cyber defense

Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen

EXIN WORKFORCE READINESS opleider

Evaluatie in de Europese Commissie. Dhr. Johan Geyskens, Europese Commissie, DG Budget, Evaluation Unit

Betekenis nieuwe GRI - Richtlijnen. Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006

UNECE/UNESCAP Workshop on. Electronic Trade Documents. Ulaanbaatar, Mongolia, October 2009

Hoe start ik een test competence center of excellence? Thomas Veltman

BizPlan SIRA. & Risicomonitoring. Asya Oosterwier. Module 5 D2 Nederlands Compliance Instituut

25/11/2016. ISO 9001:2015 en kennis. Kennismaken met. Annelies Kleijsen Jan Kingma

SA at Arcus College. Ronald Rondas Advisor quality assurance. Eqavet, mei

Chapter 4 Understanding Families. In this chapter, you will learn

JOB OPENING OPS ENGINEER

VisionWaves DELTA. Integraal Management Platform. VisionWaves. Gateway naar de waardeketen, ook voor AMC! Marc van Lokven. Partner Aviation & Defense

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

z x 1 x 2 x 3 x 4 s 1 s 2 s 3 rij rij rij rij

I M P L E M E N TAT I E I AT F

ISA SP-99 Manufacturing and Control Systems Security

Sessie Centrumsteden VVJ

Geleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda

Topic 10-5 Meeting Children s Intellectual Needs

Transcriptie:

Confidentieel 1 van 5 Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014 1. INLEIDING Sinds 2010 onderzoekt DNB de kwaliteit van informatiebeveiliging als thema binnen de financiële sector. Onderdeel van dit thema zijn periodieke self assessments, die bij banken, verzekeraars en pensioenfondsen worden uitgezet. Voor deze self assessment is in 2010 het Toetsingskader Informatiebeveiliging opgesteld dat bestaat uit 54 COBIT controls. Door DNB is gesteld dat deze controls in het kader van beheerste bedrijfsvoering allen een volwassenheidsniveau van minimaal "3" dienen te hebben (de controls dienen aantoonbaar werkend te zijn). Naar aanleiding van reacties uit de sector en de toenemende dreiging van cybercrime is het Toetsingskader op twee onderdelen aangepast. Ten eerste is het kader geactualiseerd, met als doel de volwassenheidsniveau s te verduidelijken. Ten tweede verwacht DNB dat drie controls in de categorie "Assess and manage (IT) risks" op een hoger minimaal volwassenheidsniveau ( 4 ) worden gebracht. Het doel hiervan is de weerbaarheid van de financiële sector tegen de continu veranderende cybercrime dreigingen verder te versterken. 1.1 Verduidelijking en toelichting De belangrijkste aanpassingen ter verduidelijking van het Toetsingskader zijn: - Een nadere toelichting op de definities van de volwassenheidsniveau's (de interpretatie van de criteria door DNB is niet veranderd), zie hoofdstuk 2.1, - Een uitbreiding van de Points to consider (aandachtspunten) voor het scoren van de controls zie hoofdstuk 2.2, - Een opsplitsing van in twee documenten: de vragenlijst en de Points to consider. 1.2 Hoger minimaal volwassenheidsniveau De drie controls die minimaal op een volwassenheidsniveau "4" gebracht moeten worden (hoofdstuk 3), zijn: 4.1: IT risk management framework, 4.2: Risk assessment, 4.3: Maintenance and monitoring of a risk action plan. Ten opzichte van niveau "3" houdt dit in dat deze controls periodiek aantoonbaar geëvalueerd worden. 1.3 Planning/fasering DNB verwacht dat de drie controls in de categorie Assess and manage (IT) risks voor 1 juni 2015 op volwassenheidsniveau "4" functioneren. Als onderdeel hiervan verwacht DNB dat de instellingen voor 1 juni 2015 zelf bepaald hebben voor welke andere controls zij op basis van de (IT) risk assessments een hoger volwassenheidsniveau dan 3 noodzakelijk achten. Voor het op een hoger niveau brengen van deze andere controls dient een verbeterplan beschikbaar te zijn waarin is onderbouwd op welk moment de desbetreffende controls op niveau 4 zullen zijn De Nederlandsche Bank F027

2 van 5 gebracht. De overige beheersmaatregelen binnen het Toetsingskader moeten nog steeds een volwassenheidsniveau van minimaal "3" behouden. DNB zal bovenstaande gefaseerd en risico gebaseerd toetsen bij een selectie van instellingen. Deze zullen via een brief hiervan op de hoogte worden gesteld. In de brief zal ondermeer verzocht worden om het Toetsingskader in te vullen en binnen twee maanden terug te sturen. 2. AANPASSINGEN TOETSINGSKADER 2.1 Definities volwassenheidsniveau s Het accent van de aanpassing ligt op het verduidelijken van de tot nu toe gehanteerde definities van de volwassenheidsniveau s. De interpretatie van de criteria door DNB is niet veranderd. Voor het volwassenheidsniveau 3 geldt nog steeds dat hier sprake moet zijn van een aantoonbare opzet, bestaan en werking van de betreffende control. De definities van volwassenheidsniveau s wil DNB zo dicht mogelijk bij Cobit 4.1 1 laten aansluiten. Dat is ook de reden dat de Engelse terminologie gebruik wordt. In onderstaande tabel staat in de tweede kolom de definitie zoals die in het Toetsingskader uit 2010 is opgenomen, in de derde kolom staan de aangepaste definities en in de vierde kolom zijn criteria opgenomen ter verdere verduidelijking van het volwassenheidsniveau. De belangrijkste tekstuele wijzigingen zijn in italics weergegeven. Aanpassingen: Was (2010): Wordt (2014): Lvl Control is: Control is: Criteria: 0 Non-existent - No documentation. There is no awareness or attention for certain control. Non-existent - No documentation. There is no awareness or attention for certain control. 1 Ad-hoc, initial - Control is (partly) defined, but performed in an inconsistent way. The way of execution is depending on individuals. Initial/ad hoc - Control is (partly) defined, but performed in an inconsistent way. The way of execution is depending on individuals. 2 Repeatable, informal - Control is defined and executed in a structured and consistent, but informal way. Repeatable but intuitive - Control is in place and executed in a structured and consistent, but informal way. The control execution is based on an informal, unwritten though standard practice. 1 Binnen Cobit 4.1 worden echter op verschillende plaatsen verschillende definities gehanteerd. DNB gaat uit van de definities zoals opgenomen in Cobit 4.1 Research, 2007, Appendix III Maturity Model for Internal Control, page 175

3 van 5 3 Structured and formalized - Control is documented, executed organization wide in a structured and formalized way. Execution of control can be proved. Defined - Control is documented, executed in a structured and formalized way. Execution of control can be proved. * Formal control is available for any critical process. * Critical processes and controls are identified based on risk assessments. * There is evidence of implementation of the control * Formal test of design effectiveness constitutes evidence for level 3. * Formal test of operating effectiveness constitutes evidence for level 3. *The test of operating effectiveness should be done over an appropriate period which fits the risk profile. 4 Implemented and periodically assessed - Control is executed in a structured and formalized way organizational wide. The efficiency and effectiveness of the control is also assessed and improved when necessary. Managed and measurable - The effectiveness of the control is periodically assessed and improved when necessary. This assessment is documented. Criteria for level 3 plus the following: * The periodic evaluation of the control is documented, including any identified action for improvement. *The frequency of the periodic evaluation should be based on the risk profile. * The frequency of this assessment should be at least annually. 5 - Optimised - An enterprisewide risk and control programme provides continuous and effective control and risk issues resolution. Internal control and risk management are integrated with enterprise practices, supported with automated real-time monitoring with full accountability for control monitoring, risk management and compliance enforcement. Control evaluation is continuous, based on self-assessments and gap and root cause analyses. Employees are proactively involved in control improvements. Distinguishing criteria are: * Continuous improvement. * Comparing control performance with market data of other enterprises. * Advanced IT-support as workflow processing and integration.

4 van 5 Generic remarks: For all controls, management may vary control and process implementation across the organization based on the situational risk profile and business context including local requirements by law and regulators. Processes (business and IT) are not equally critical in every situation. The need to demonstrate the required maturity level pertains only to key financial processes and assets and to essential supporting processes. Based on a risk assessment management may choose to differentiate control objectives and strictness of control measures. Control objectives are aimed to define WHAT has to be managed on a mature level. The Point to consider are provided to give guidance. Financial institutions should determine HOW they implement procedures and measures to achieve the objectives stated in the assessment framework. 2.2 Indeling van het Toetsingskader Het aangepaste Toetsingskader Informatiebeveiliging is opgesplitst in twee documenten: Document 1 (getiteld Questionnaire ) bevat de 54 COBIT controls die beoordeeld moeten worden door de instelling. In het document is de omschrijving van de control en de mapping naar Cobit V5 en ISO27000 vermeld. Dit document moet door de instelling weer teruggestuurd worden aan DNB. Document 2 (getiteld Points to consider ) bevat de Points to consider voor alle controls en is bedoeld als guidance voor de instelling. Deze Points to consider zijn ten opzichte van de vorige versie van het Toetsingskader uitgebreid met elementen uit: o SANS Top 20 Critical Security Controls for Effective Cyber Defense (www.sans.org) o ISO 27032:2012 Guidelines for Cyber Security (www.iso.org) 3. SELECTIE CONTROLS VOOR MINIMUM LEVEL 4 3.1 Inleiding De toegenomen cybercrime dreigingen zoals Advanced Persistent Threats (APT s) onderstrepen het belang van een effectieve informatiebeveiliging en continue monitoring van deze dreigingen. Dit wordt breed binnen de financiële sector onderkend. Vanuit (IT) risicomanagement wordt dit geadresseerd. Een belangrijk onderdeel hiervan zijn de (IT) risk assessments die de basis vormen voor het treffen van de controls (beheersmaatregelen) en het minimum niveau van deze controls.

5 van 5 DNB benadrukt dat de instelling zelf verantwoordelijk zijn om een adequaat (IT) risicomanagement in te richten. In perspectief van het Toetsingskader Informatiebeveiliging heeft DNB dit vertaald naar het verhogen van het verwachte volwassenheidsniveau van de drie controls in de categorie Assess and manage (IT) risks naar het volwassenheidsniveau 4. Dit betreft de controls: 4.1 IT Risk Management Framework; 4.2 Risk Assessment; 4.4 Maintenance and monitoring of a risk action plan. DNB beoogt hiermee de risicobeheersing voor actuele dreigingen ondermeer op gebied van cybercrime door de instellingen zelf te versterken.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback