Security Health Check



Vergelijkbare documenten
Informatiebeveiliging als proces

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Webapplicaties

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid

Derden-mededeling Overstapservice Onderwijs

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Checklist Beveiliging Persoonsgegevens

Gemeente Alphen aan den Rijn

Een checklist voor informatiebeveiliging

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Informatiebeveiligingsbeleid

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Informatiebeveiligingsbeleid

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Informatiebeveiligingsbeleid

DHM Security Management

Brochure ISO Advanced

2015; definitief Verslag van bevindingen

Informatiebeveiliging

5 maart Criminaliteit in ziekenhuizen

ISO 27001:2013 INFORMATIE VOOR KLANTEN

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

0.1 Opzet Marijn van Schoote 4 januari 2016

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Beveiligingsbeleid Stichting Kennisnet

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Informatieveiligheid in de steiger

Beknopt overzicht van bedreigingen en maatregelen

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

WBP Zelfevaluatie. Privacygedragscode (VPB)

Strategisch Informatiebeveiligingsbeleid Hefpunt

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Thema-audit Informatiebeveiliging bij lokale besturen

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Audit: Beveiliging Digitale Examens

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Informatiebeveiligings- en privacy beleid

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Fiscount ICT-Strategie en -Beveiliging

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Jacques Herman 21 februari 2013

CERTIFICERING NEN 7510

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Handleiding uitvoering ICT-beveiligingsassessment

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Informatiebeveiligingsbeleid SBG

Zet de stap naar certificering!

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli

Business Process Management Assessment Model

Gelet op artikel 7 van de Verordening Informatiebeheer gemeente Groningen 1998;

Beveiliging en bescherming privacy

Informatiebeveiligings- en privacy beleid (IBP)

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Standaard verwerkersovereenkomst

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Handreiking classificatie. Universiteit Leiden

Beleid Informatiebeveiliging InfinitCare

Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in

Verklaring van Toepasselijkheid

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Albert Schweitzer Ziekenhuis te

De grootste veranderingen in hoofdlijnen

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

Transcriptie:

Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

De Security Health Check Organisaties besteden in toenemende mate aandacht aan informatiebeveiliging. In sommige gevallen zijn er reeds (bewust of onbewust) maatregelen getroffen om het beveiligingsniveau te verhogen. In veel gevallen echter niet. Hoe kan de organisatie meer volwassen worden in informatiebeveiliging? Hoe wordt getoetst of een organisatie op de juiste manier bezig is met informatiebeveiliging, en niets over het hoofd ziet? Is de werking van een maatregel overeenkomstig de opzet ervan? De Security Health Check geeft antwoord op de vraag: wat is het huidige beveiligingsniveau binnen de organisatie. U krijgt snel een breed overzicht van het huidige niveau van informatiebeveiliging in uw organisatie op de gebieden van Mens, Organisatie en Techniek. De Security Health Check vormt een opstap om informatiebeveiliging verder vorm te geven en toetst de aanwezige maatregelen op opzet en werking, waardoor een diepgaande momentopname gemaakt wordt. Het werkt als een thermometer voor informatiebeveiliging, waarbij ISO 27002 (de Code voor Informatiebeveiliging) wordt gehanteerd naast internationale best practices. Bij zorginstellingen zal de NEN7510 worden gehanteerd. Om ook uw informatiebeveiliging aan een periodieke toetsing te onderwerpen kan de Security Health Check worden ingezet. Sluiten eerder genomen maatregelen nog steeds aan bij de organisatie? Welke onderwerpen c.q. dreigingen verdienen op korte termijn extra aandacht? Ten slotte is de Security Health Check bijzonder geschikt als voorbereiding op een meer diepgaande risicoanalyse. Aandachtsgebieden van de Security Health Check zijn het - al dan niet geformaliseerde - informatiebeveiligingsbeleid van de organisatie, de ICT-omgeving, kwetsbaarheden in informatiesystemen, de fysieke beveiliging, het beveiligingsbewustzijn bij het management en de medewerkers. De Security Health Check geeft derhalve een brede kijk op het huidige niveau van de informatiebeveiliging, en bestaat uit de volgende onderdelen: 1. uitgebreide interviews met sleutelfiguren binnen de organisatie; een fysieke observatie op locatie; 2. beoordeling van de beveiliging van de ICT-infrastructuur; 3. beoordeling van het beveiligingsbewustzijn bij managers en medewerkers; 4. het verwerken, classificeren en rapporteren van de resultaten. Bovengenoemde onderdelen vereisen een nauwe samenwerking tussen de specialisten van FortiVision en een bij opdrachtgever aangestelde verantwoordelijke voor informatiebeveiliging. Mochten er tijdens het lezen van deze brochure vragen ontstaan, aarzelt u dan niet om contact met ons op te nemen. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 2 van 5

Onderdeel 1: Interviews Aan de hand van de Code voor Informatiebeveiliging passeren verschillende aandachtsgebieden de revue. Tijdens de interviews met een aantal sleutelfiguren wordt dieper ingegaan op onder andere: 1 de beveiligingsorganisatie; 2 het beheer van ICT-systemen; 3 toegangscontrole; 4 de fysieke beveiliging; 5 beveiliging van personeel; 6 bewustzijn van informatiebeveiliging bij gebruikers; 7 naleving en controle. Afhankelijk van de organisatie en de hierin aanwezige risicogebieden, specifieke wet- en regelgeving, externe toezichthouders e.d. wordt het interview richting gegeven in de voor de organisatie specifieke omgeving. Hierdoor wint het interview aan diepgang en ontstaat een completer beeld van de status van informatiebeveiliging. Een ander voordeel van het interview is een leereffect dat optreedt bij de medewerkers die in enigerlei vorm betrokken zijn bij de Security Health Check. Zij worden gedwongen stil te staan bij, en een uitspraak te doen over alle aspecten van informatiebeveiliging, ook de aspecten die doorgaans minder vaak aan bod komen. Deze confrontatie maakt het gemakkelijker om in een later stadium over de gewenste situatie na te denken. Dit onderdeel vindt over het algemeen plaats op locatie van de opdrachtgever. Onderdeel 2: Beoordeling van de beveiliging van de ICT-infrastructuur Het doel van deze beoordeling is het kunnen weergeven van de status van veiligheid van de ICT-infrastructuur. De focus ligt hierbij met name op het in beeld brengen van wat een kwaadwillend persoon zou kunnen bereiken, maar ook meer ongerichte dreigingen als virussen en wormen komen aan bod. Aan de hand van beschikbare baselines en documentatie over de ICT-infrastructuur kijken onze specialisten door een beveiligingsbril naar de huidige architectuur en de opzet ervan. Hierbij wordt met name gekeken naar aspecten als segmentatie, filtering en beveiliging van netwerkelementen. Daarnaast worden in overleg met de opdrachtgever een aantal systemen geselecteerd die gecontroleerd worden op correcte werking van de genomen beveiligingsmaatregelen en op kwetsbaarheden. Hierbij wordt o.a. gecontroleerd op bekende beveiligingslekken die door een kwaadwillende gebruikt zouden kunnen worden om toegang tot en controle over het systeem te verkrijgen. Hierbij worden ook de authenticatiemechanismen en de sterkte van wachtwoorden steekproefsgewijs getest. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 3 van 5

Onderdeel 3: Fysieke observatie De fysieke observatie heeft als doel de fysieke toegangsmogelijkheden tot locaties en in het bijzonder tot informatie in te schatten. Tijdens een korte rondgang wordt een beoordeling gemaakt van de situatie m.b.t. informatiebeveiliging ter plaatse. Daarbij wordt onder meer gelet op: 8 toegang tot systemen (fysieke toegang, clear screen policy); 9 toegang tot informatie op werkplekken (clear desk policy); 10 gebruik en opstelling van printers; 11 afscherming van speciale ruimten en afdelingen waar gevoelige informatie aanwezig is of kan zijn, zoals serverruimten, archief, administratie en postkamer; 12 inrichting van de serverruimte(n). Dit onderdeel vindt plaats op locatie van de opdrachtgever. Onderdeel 4: Beoordeling van het bewustzijn van informatiebeveiliging Het succes van veel beveiligingsmaatregelen valt of staat met de medewerking van uw medewerkers aan deze maatregelen. Immers, een slot op een deur heeft pas nut als het slot ook gebruikt wordt. Voor een breed beeld van de status van uw informatiebeveiliging is het daarom logisch dat ook dit aspect belicht wordt. Voor het beoordelen van informatiebeveiligingsbewustzijn binnen een organisatie maken wij gebruik van een op maat gemaakte elektronische vragenlijst. Hierbij onderscheiden wij twee doelgroepen: management en overige medewerkers. De vragenlijsten zijn door de respondenten binnen een kort tijdsbestek te beantwoorden. Selectie van respondenten geschiedt op basis van een steekproef, of op aanwijzing van de opdrachtgever. Onderdeel 5: Rapportage De verschillende onderdelen leveren een grote hoeveelheid aan informatie op. Deze gegevens worden door de betrokken specialisten van FortiVision geanalyseerd, geïnterpreteerd en verwerkt. De resultaten presenteren wij in een helder en leesbaar rapport met aanbevelingen. Dit rapport gaat vergezeld van een CD-ROM met het rapport in elektronisch formaat alsmede, ter naslag, de ruwe, onbewerkte resultaten. Indien gewenst completeren we het rapport met een PowerPoint-presentatie, waarmee u zelf, of onze consultant, de resultaten aan het management kunt presenteren. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 4 van 5

Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of email: Adres : Stadionstraat 1a 4815NC Breda Telefoon: 088-160 1780 Fax: 088-160 1790 E-mail: Website: info@db-fortivision.nl http://www.db-fortivision.nl Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 5 van 5

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback