SlideShare una empresa de Scribd logo

Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

Infosecurity2010
Infosecurity2010

Praktische implementatie van ISO

Tecnología
1 de 27
Descargar para leer sin conexión
Infosecurity.nl Praktische implementatie van ISO www.pwc.nl/security
PwC Agenda Achtergrond van ISO 27001 ISO 27001 implementatie in drie sporen Projectopzet Slide 2 4 november 2010Praktische Implementatie van de ISO 27001
PwC Achtergrond van ISO 27001 Slide 3 Praktische Implementatie van de ISO 27001
PwC H5 H8 Citibank admits: we've lost the backup tape H13 H7 H6 H11 H12 H14 H10 Slide 4 Praktische Implementatie van de ISO 27001
PwC Informatiebeveiliging Achtergrond van ISO 27001 H ISO 27002 NEN Vertaling 5 Security Policy Beveiligingsbeleid 6 Organization of Information Security Beveiligingsorganisatie 7 Asset Management Classificatie en beheer van bedrijfsmiddelen 8 Human resources security Beveiligingseisen ten aanzien van personeel 9 Physical and Environmental Security Fysieke beveiliging en beveiliging van de omgeving 10 Communications and Operations Management Beheer van communicatie- en bedieningsprocessen 11 Access Control Toegangsbeveiliging 12 Information Systems Acquisition, Development and Maintenance Ontwikkeling en onderhoud van systemen 13 Information Security Incident Management Incidentmanagement 14 Business Continuity Management Continuïteitsmanagement 15 Compliance Naleving Slide 5 Praktische Implementatie van de ISO 27001
PwC • Hoe zorgt een organisatie dat zijn informatie “adequaat beveiligd” is? • ISO 27002 en diens definitie van informatiebeveiliging volstaan niet meer: “Preservation of confidentiality, integrity and availability of information” • Informatiebeveiliging gaat niet (meer) over statische risico‟s en maatregelen maar over dynamische. • Dit is wat security management beoogt. Informatiebeveiliging Achtergrond van ISO 27001 Slide 6 Praktische Implementatie van de ISO 27001
PwC ISO 27001 versus ISO 27002 ISO 27002 • Ontwikkeld in 1989 • Lange lijst met beveiligingsmaatregelen (133) • Kritiek in 1995: • Onvoldoende implementatie richtlijnen • Welke maatregelen wel en welke niet? • Risico management geen onderdeel van ISO 27002 • Tegen ISO 27002 geen certificering mogelijk ISO 27001 • 1998: ISO 27001, norm voor de implementatie van ISO 27002 op basis van een risico management systeem. • ISO 27001 is de leidende norm op informatiebeveiliging en geadopteerd door de Rijksoverheid en de zorg • Tegen ISO 27001 certificering mogelijk Achtergrond van ISO 27001 Slide 7 Praktische Implementatie van de ISO 27001
PwC ISO 27001 Achtergrond van ISO 27001 Plan Do Check Act ISMS Bron: ISO 27001 Slide 8 Praktische Implementatie van de ISO 27001
PwC ISO 27001 Achtergrond van ISO 27001 • Gebaseerd op een management systeem (ISMS) net zoals ISO 9001 • Bestaat uit ongeveer 100 eisen • ISO 27001 eis 4.2.1g) verwijst normatief naar de ISO 27002 maatregelen die minimaal zouden moeten worden overwogen • Enige overlap in ISO 27001 met ISO 27002: • Eisen aan informatiebeveiligingsbeleid (H. 5) • Beheer van bedrijfsmiddelen (H. 7) • Beveiligingsbewustzijn (H. 8) • Management van beveiligingsincidenten (H. 13) Slide 9 Praktische Implementatie van de ISO 27001
PwC ISO 27001 Achtergrond van ISO 27001 Plan Do Check Act Security officer Management Auditors Lijnmanagement Werkvloer Slide 10 Praktische Implementatie van de ISO 27001
PwC ISO 27001 implementatie in drie sporen Slide 11 Praktische Implementatie van de ISO 27001
PwC ISO 27001 implementatie in drie sporen ISO 27001 implementatie in drie sporen • Spoor 1: ISMS handboek en PDCA processen implementeren • Spoor 2: baseline bepalen en implementeren • Spoor 3: risico analyses uitvoeren en resultaten borgen Slide 12 Praktische Implementatie van de ISO 27001
PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen • Fundamentele keuze is de ISMS scope (cf. ISO 27001, 4.2.1a): Toepassingsgebied en grenzen van het ISMS vaststellen met betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied. • Een beperkte scope kiezen lijkt aanlokkelijk, maar het is niet noodzakelijk. Slide 13 Praktische Implementatie van de ISO 27001
PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen Onderwerpen in het ISMS handboek: • ISMS scope • Informatiebeveiligingsbeleid • Beveiligingsorganisatie (verantwoordelijkheden gerelateerd aan PDCA) • Vastlegging van de risicobeoordeling en –behandeling methode • Interne en externe controles • Management review (bijsturing door management) • Documentatie systeem Slide 14 Praktische Implementatie van de ISO 27001
PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen Management review (bijsturing door management) • Review „sluit‟ de PDCA cyclus en is misschien wel het allerbelangrijkste van ISO 27001 • Input voor de review: • Resultaten van onafhankelijke beoordelingen • Terugkoppeling van belanghebbende partijen (klachten) • Resultaten van voorgaande reviews • Procesprestaties en naleving van het ISMS handboek • Gerapporteerde beveiligingsincidenten en –trends Slide 15 Praktische Implementatie van de ISO 27001
PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen • Vergelijk de bestaande maatregelen met ISO 27002 en branche specifieke standaarden • Leg alle bestaande en „common sense‟ maatregelen vast in een baseline, zinvol voor zowel management als operationele medewerkers („tactische documentatie‟) Slide 16 Praktische Implementatie van de ISO 27001
PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen • Zorg voor onderhoudbare referenties tussen de tactische documentatie en de operationele documentatie • Beleg de verantwoordelijkheid voor onderhoud en implementatie van de baseline documenten in de lijn • Dit vergemakkelijkt de (interne/externe) review ook enorm Slide 17 Praktische Implementatie van de ISO 27001
PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen PZ maatregelen PZ procedures ICT maatregelen Toegangsbeveiliging Bewustzijn ICT handboek Instructie medewerkers Beveiligings- jaarplan Instructie lijnmanagement VOG voor alle medewerkers Kritische security patches < 1 dag Initiële wachtwoorden worden niet herbruikt Minimaal 1 keer per jaar een bewustzijn event tactisch operationeel Slide 18 Praktische Implementatie van de ISO 27001
PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Getrapte risico analyse methode: • High-level Business Impact Analysis (BIA) om kritische bedrijfsprocessen te bepalen • Gedetailleerde Risicobeoordeling en Behandeling (RBB) methode voor kritische bedrijfsprocessen • Vaak is het makkelijk om informatiesystemen als basis voor bedrijfsprocessen te nemen Slide 19 Praktische Implementatie van de ISO 27001
PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen Baseline beveiliging SAP …… ….. Callcenter ….. …. HRKritische systemen Slide 20 Praktische Implementatie van de ISO 27001
PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Voorbeeld van Business Impact Analysis op informatiesysteem Slide 21 Praktische Implementatie van de ISO 27001
PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Simpel Excel tool gebaseerd op ISO 27005 Slide 22 Praktische Implementatie van de ISO 27001
PwC Projectopzet Slide 23 Praktische Implementatie van de ISO 27001
PwC Project – fasering / resultaatpaden PROJECT PvA + Kosten / baten 300 85 Organisatie ISMS Basis maatregelen Maatregelen perobject Aanstellen Security Officer Aanstellen Coördinator Per sector Ontwerp Informatie- beveiliging Inrichten Informatie- beveiliging BEHEER analyse ISO 27002, specifiek Verificatie relevantie Ontwerp en Bouw Maatregelen Invoeren Maatregelen (oa training) Inventaris Objecten (loc/sys/app) eerste filter & vaststellen Eigenaar Impact analyse (BIA) Risico Analyse (RBB) 600 55 besluit 133 FASE I FASE II FASE III Projectopzet Slide 24 Praktische Implementatie van de ISO 27001
PwC Project – fasering / resultaatpaden PROJECT PvA + Kosten / baten 300 85 Organisatie ISMS Basis maatregelen Maatregelen perobject Aanstellen Security Officer Aanstellen Coördinator Per sector Ontwerp Informatie- beveiliging Inrichten Informatie- beveiliging BEHEER analyse ISO 27002, specifiek Verificatie relevantie Ontwerp en Bouw Maatregelen Invoeren Maatregelen (oa training) Inventaris Objecten (loc/sys/app) eerste filter & vaststellen Eigenaar Impact analyse (BIA) Risico Analyse (RBB) 600 55 besluit 133 FASE I FASE II FASE III Projectopzet Certificering punt < 3 maanden > < 6-9 maanden > Slide 25 Praktische Implementatie van de ISO 27001
PwC Aandachtspunten bij ISO 27001 implementatie Projectopzet • Maak er geen papieren tijger van • Zorg voor betrokkenheid van het management • Bestaande informatiebeveiliging is de basis (niet opnieuw beginnen) • Zorg dat je operationele medewerkers meekrijgt • Zorg voor koppeling tussen beleid en de werkvloer • Neem ook technische beveiliging mee (Cisco, Windows etc.) • Voer zinvolle risico analyses uit: • realistische ambities • concentratie op de echt kritische zaken • Certificering is een mooi projectdoel om na te streven • Informatiebeveiliging is geen project…. Slide 26 Praktische Implementatie van de ISO 27001
Van statische naar dynamische beveiligingsmaatregelen. This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory N.V., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2010 PricewaterhouseCoopers Advisory N.V. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Advisory N.V., which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

Recomendados

Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001Ad Voets
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Lloyd's Register Quality Assurance Nederland
 
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...Ad Voets
 
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...Ad Voets
 
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...Ad Voets
 
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...Ad Voets
 
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...Ad Voets
 
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Ad Voets
 

Recomendados

Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001Ad Voets
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Lloyd's Register Quality Assurance Nederland
 
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...Ad Voets
 
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...Ad Voets
 
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...Ad Voets
 
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...Ad Voets
 
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...Ad Voets
 
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Ad Voets
 
Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce auditJim de Haas
 
DearBytes: "Hoe bereik ik 100% veiligheid?"
DearBytes: "Hoe bereik ik 100% veiligheid?"DearBytes: "Hoe bereik ik 100% veiligheid?"
DearBytes: "Hoe bereik ik 100% veiligheid?"Erik Remmelzwaal
 
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14Medisch Centrum Haaglanden
 
Presentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked InPresentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked Inmreugebrink
 
Vest awareness sparc
Vest awareness sparcVest awareness sparc
Vest awareness sparcJim de Haas
 
Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Sted
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness PresentationCristian Mihai
 
ISO 27001:2022 implementatieplan - stappenplan
ISO 27001:2022 implementatieplan - stappenplanISO 27001:2022 implementatieplan - stappenplan
ISO 27001:2022 implementatieplan - stappenplanAd Voets
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010Jurgen van der Vlugt
 
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgradeRevisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgradeAd Voets
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezichtGeert Henk Wijnants
 
Brain Cap Bi Services
Brain Cap Bi ServicesBrain Cap Bi Services
Brain Cap Bi Servicespatrickvet
 
IT-governance
IT-governanceIT-governance
IT-governancebimc
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Stork
 
Bedrijfspresentatie 1
Bedrijfspresentatie 1Bedrijfspresentatie 1
Bedrijfspresentatie 1gueste847f7
 
Informatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesInformatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesLeon Kuunders
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015Michel Noordzij
 
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchWorkshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchMarcus Drost
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017auditdrs Pieter de Kok RA
 
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...Lloyd's Register Quality Assurance Nederland
 
Savacco op bezoek
Savacco op bezoekSavacco op bezoek
Savacco op bezoekCVO Hitek vzw (Kortrijk)
 
Linked In 4m Focus
Linked In 4m FocusLinked In 4m Focus
Linked In 4m FocusJinius_Martin
 

Más contenido relacionado

Destacado

Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce auditJim de Haas
 
DearBytes: "Hoe bereik ik 100% veiligheid?"
DearBytes: "Hoe bereik ik 100% veiligheid?"DearBytes: "Hoe bereik ik 100% veiligheid?"
DearBytes: "Hoe bereik ik 100% veiligheid?"Erik Remmelzwaal
 
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14Medisch Centrum Haaglanden
 
Presentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked InPresentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked Inmreugebrink
 
Vest awareness sparc
Vest awareness sparcVest awareness sparc
Vest awareness sparcJim de Haas
 
Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Sted
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness PresentationCristian Mihai
 

Destacado (7)

Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce audit
 
DearBytes: "Hoe bereik ik 100% veiligheid?"
DearBytes: "Hoe bereik ik 100% veiligheid?"DearBytes: "Hoe bereik ik 100% veiligheid?"
DearBytes: "Hoe bereik ik 100% veiligheid?"
 
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
IC netwerk scholingsavond presentatie verlaagd bewustzijn 22apr14
 
Presentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked InPresentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked In
 
Vest awareness sparc
Vest awareness sparcVest awareness sparc
Vest awareness sparc
 
Security Awareness 2010 V1.1
Security Awareness 2010 V1.1Security Awareness 2010 V1.1
Security Awareness 2010 V1.1
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness Presentation
 

Similar a Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

ISO 27001:2022 implementatieplan - stappenplan
ISO 27001:2022 implementatieplan - stappenplanISO 27001:2022 implementatieplan - stappenplan
ISO 27001:2022 implementatieplan - stappenplanAd Voets
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010Jurgen van der Vlugt
 
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgradeRevisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgradeAd Voets
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezichtGeert Henk Wijnants
 
Brain Cap Bi Services
Brain Cap Bi ServicesBrain Cap Bi Services
Brain Cap Bi Servicespatrickvet
 
IT-governance
IT-governanceIT-governance
IT-governancebimc
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Stork
 
Bedrijfspresentatie 1
Bedrijfspresentatie 1Bedrijfspresentatie 1
Bedrijfspresentatie 1gueste847f7
 
Informatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesInformatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesLeon Kuunders
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015Michel Noordzij
 
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchWorkshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchMarcus Drost
 
Sheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regelsSheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regelsVNG Realisatie
 
Sheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regelsSheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regelsVNG Realisatie
 
BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.Ad Voets
 

Similar a Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht (20)

ISO 27001:2022 implementatieplan - stappenplan
ISO 27001:2022 implementatieplan - stappenplanISO 27001:2022 implementatieplan - stappenplan
ISO 27001:2022 implementatieplan - stappenplan
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
 
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgradeRevisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
Revisie ISO 27001:2022 vs ISO27001:2013 - FitGap analyse - upgrade
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
 
Brain Cap Bi Services
Brain Cap Bi ServicesBrain Cap Bi Services
Brain Cap Bi Services
 
IT-governance
IT-governanceIT-governance
IT-governance
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
 
Bedrijfspresentatie 1
Bedrijfspresentatie 1Bedrijfspresentatie 1
Bedrijfspresentatie 1
 
Informatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesInformatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken Methodes
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015
 
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven DutchWorkshop BI/DWH AGILE TESTING Zwitserleven Dutch
Workshop BI/DWH AGILE TESTING Zwitserleven Dutch
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
 
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
 
Savacco op bezoek
Savacco op bezoekSavacco op bezoek
Savacco op bezoek
 
Linked In 4m Focus
Linked In 4m FocusLinked In 4m Focus
Linked In 4m Focus
 
Sheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regelsSheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regels
 
Sheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regelsSheets introductietraining toepasbare regels
Sheets introductietraining toepasbare regels
 
Abi Mahulete.pdf
Abi Mahulete.pdfAbi Mahulete.pdf
Abi Mahulete.pdf
 
Seminar Simplified Security
Seminar Simplified SecuritySeminar Simplified Security
Seminar Simplified Security
 
BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.
 

Más de Infosecurity2010

Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...Infosecurity2010
 
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Infosecurity2010
 
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...Infosecurity2010
 
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...Infosecurity2010
 
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtRuud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrechtStefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrechtInfosecurity2010
 
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs UtrechtKoen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs UtrechtInfosecurity2010
 
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtPeter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtInfosecurity2010
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtAuke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
David Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs UtrechtDavid Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtHelmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs UtrechtPaul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs UtrechtInfosecurity2010
 
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtAndrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtInfosecurity2010
 

Más de Infosecurity2010 (14)

Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
Sharon Conheady - Social engineering & social networks (4 novmber Jaarbeurs U...
 
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud - Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
Stephan Hendriks Eric IJpelaar - Identity access management in the cloud -
 
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
Nick Barcet, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Even...
 
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
Emiel Brok, Open Source tijdens Infosecurity.nl Storage Expo en Tooling Event...
 
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtRuud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
 
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrechtStefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
 
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs UtrechtKoen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Koen Gijsbers, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
 
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs UtrechtPeter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
Peter Kornelisse, Infosecurity.nl, 4 november, Jaarbeurs Utrecht
 
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs UtrechtJeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Jeroen de Boer, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs UtrechtAuke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Auke Huistra, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
David Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs UtrechtDavid Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
David Burg, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
 
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtHelmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Helmer Wieringa, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
 
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs UtrechtPaul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
Paul James Adams, InfoSecurity.nl 2010, 3 november, Jaarbeurs Utrecht
 
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs UtrechtAndrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
 

Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

  • 2. PwC Agenda Achtergrond van ISO 27001 ISO 27001 implementatie in drie sporen Projectopzet Slide 2 4 november 2010Praktische Implementatie van de ISO 27001
  • 3. PwC Achtergrond van ISO 27001 Slide 3 Praktische Implementatie van de ISO 27001
  • 4. PwC H5 H8 Citibank admits: we've lost the backup tape H13 H7 H6 H11 H12 H14 H10 Slide 4 Praktische Implementatie van de ISO 27001
  • 5. PwC Informatiebeveiliging Achtergrond van ISO 27001 H ISO 27002 NEN Vertaling 5 Security Policy Beveiligingsbeleid 6 Organization of Information Security Beveiligingsorganisatie 7 Asset Management Classificatie en beheer van bedrijfsmiddelen 8 Human resources security Beveiligingseisen ten aanzien van personeel 9 Physical and Environmental Security Fysieke beveiliging en beveiliging van de omgeving 10 Communications and Operations Management Beheer van communicatie- en bedieningsprocessen 11 Access Control Toegangsbeveiliging 12 Information Systems Acquisition, Development and Maintenance Ontwikkeling en onderhoud van systemen 13 Information Security Incident Management Incidentmanagement 14 Business Continuity Management Continuïteitsmanagement 15 Compliance Naleving Slide 5 Praktische Implementatie van de ISO 27001
  • 6. PwC • Hoe zorgt een organisatie dat zijn informatie “adequaat beveiligd” is? • ISO 27002 en diens definitie van informatiebeveiliging volstaan niet meer: “Preservation of confidentiality, integrity and availability of information” • Informatiebeveiliging gaat niet (meer) over statische risico‟s en maatregelen maar over dynamische. • Dit is wat security management beoogt. Informatiebeveiliging Achtergrond van ISO 27001 Slide 6 Praktische Implementatie van de ISO 27001
  • 7. PwC ISO 27001 versus ISO 27002 ISO 27002 • Ontwikkeld in 1989 • Lange lijst met beveiligingsmaatregelen (133) • Kritiek in 1995: • Onvoldoende implementatie richtlijnen • Welke maatregelen wel en welke niet? • Risico management geen onderdeel van ISO 27002 • Tegen ISO 27002 geen certificering mogelijk ISO 27001 • 1998: ISO 27001, norm voor de implementatie van ISO 27002 op basis van een risico management systeem. • ISO 27001 is de leidende norm op informatiebeveiliging en geadopteerd door de Rijksoverheid en de zorg • Tegen ISO 27001 certificering mogelijk Achtergrond van ISO 27001 Slide 7 Praktische Implementatie van de ISO 27001
  • 8. PwC ISO 27001 Achtergrond van ISO 27001 Plan Do Check Act ISMS Bron: ISO 27001 Slide 8 Praktische Implementatie van de ISO 27001
  • 9. PwC ISO 27001 Achtergrond van ISO 27001 • Gebaseerd op een management systeem (ISMS) net zoals ISO 9001 • Bestaat uit ongeveer 100 eisen • ISO 27001 eis 4.2.1g) verwijst normatief naar de ISO 27002 maatregelen die minimaal zouden moeten worden overwogen • Enige overlap in ISO 27001 met ISO 27002: • Eisen aan informatiebeveiligingsbeleid (H. 5) • Beheer van bedrijfsmiddelen (H. 7) • Beveiligingsbewustzijn (H. 8) • Management van beveiligingsincidenten (H. 13) Slide 9 Praktische Implementatie van de ISO 27001
  • 10. PwC ISO 27001 Achtergrond van ISO 27001 Plan Do Check Act Security officer Management Auditors Lijnmanagement Werkvloer Slide 10 Praktische Implementatie van de ISO 27001
  • 11. PwC ISO 27001 implementatie in drie sporen Slide 11 Praktische Implementatie van de ISO 27001
  • 12. PwC ISO 27001 implementatie in drie sporen ISO 27001 implementatie in drie sporen • Spoor 1: ISMS handboek en PDCA processen implementeren • Spoor 2: baseline bepalen en implementeren • Spoor 3: risico analyses uitvoeren en resultaten borgen Slide 12 Praktische Implementatie van de ISO 27001
  • 13. PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen • Fundamentele keuze is de ISMS scope (cf. ISO 27001, 4.2.1a): Toepassingsgebied en grenzen van het ISMS vaststellen met betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied. • Een beperkte scope kiezen lijkt aanlokkelijk, maar het is niet noodzakelijk. Slide 13 Praktische Implementatie van de ISO 27001
  • 14. PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen Onderwerpen in het ISMS handboek: • ISMS scope • Informatiebeveiligingsbeleid • Beveiligingsorganisatie (verantwoordelijkheden gerelateerd aan PDCA) • Vastlegging van de risicobeoordeling en –behandeling methode • Interne en externe controles • Management review (bijsturing door management) • Documentatie systeem Slide 14 Praktische Implementatie van de ISO 27001
  • 15. PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen Management review (bijsturing door management) • Review „sluit‟ de PDCA cyclus en is misschien wel het allerbelangrijkste van ISO 27001 • Input voor de review: • Resultaten van onafhankelijke beoordelingen • Terugkoppeling van belanghebbende partijen (klachten) • Resultaten van voorgaande reviews • Procesprestaties en naleving van het ISMS handboek • Gerapporteerde beveiligingsincidenten en –trends Slide 15 Praktische Implementatie van de ISO 27001
  • 16. PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen • Vergelijk de bestaande maatregelen met ISO 27002 en branche specifieke standaarden • Leg alle bestaande en „common sense‟ maatregelen vast in een baseline, zinvol voor zowel management als operationele medewerkers („tactische documentatie‟) Slide 16 Praktische Implementatie van de ISO 27001
  • 17. PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen • Zorg voor onderhoudbare referenties tussen de tactische documentatie en de operationele documentatie • Beleg de verantwoordelijkheid voor onderhoud en implementatie van de baseline documenten in de lijn • Dit vergemakkelijkt de (interne/externe) review ook enorm Slide 17 Praktische Implementatie van de ISO 27001
  • 18. PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen PZ maatregelen PZ procedures ICT maatregelen Toegangsbeveiliging Bewustzijn ICT handboek Instructie medewerkers Beveiligings- jaarplan Instructie lijnmanagement VOG voor alle medewerkers Kritische security patches < 1 dag Initiële wachtwoorden worden niet herbruikt Minimaal 1 keer per jaar een bewustzijn event tactisch operationeel Slide 18 Praktische Implementatie van de ISO 27001
  • 19. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Getrapte risico analyse methode: • High-level Business Impact Analysis (BIA) om kritische bedrijfsprocessen te bepalen • Gedetailleerde Risicobeoordeling en Behandeling (RBB) methode voor kritische bedrijfsprocessen • Vaak is het makkelijk om informatiesystemen als basis voor bedrijfsprocessen te nemen Slide 19 Praktische Implementatie van de ISO 27001
  • 20. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen Baseline beveiliging SAP …… ….. Callcenter ….. …. HRKritische systemen Slide 20 Praktische Implementatie van de ISO 27001
  • 21. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Voorbeeld van Business Impact Analysis op informatiesysteem Slide 21 Praktische Implementatie van de ISO 27001
  • 22. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Simpel Excel tool gebaseerd op ISO 27005 Slide 22 Praktische Implementatie van de ISO 27001
  • 24. PwC Project – fasering / resultaatpaden PROJECT PvA + Kosten / baten 300 85 Organisatie ISMS Basis maatregelen Maatregelen perobject Aanstellen Security Officer Aanstellen Coördinator Per sector Ontwerp Informatie- beveiliging Inrichten Informatie- beveiliging BEHEER analyse ISO 27002, specifiek Verificatie relevantie Ontwerp en Bouw Maatregelen Invoeren Maatregelen (oa training) Inventaris Objecten (loc/sys/app) eerste filter & vaststellen Eigenaar Impact analyse (BIA) Risico Analyse (RBB) 600 55 besluit 133 FASE I FASE II FASE III Projectopzet Slide 24 Praktische Implementatie van de ISO 27001
  • 25. PwC Project – fasering / resultaatpaden PROJECT PvA + Kosten / baten 300 85 Organisatie ISMS Basis maatregelen Maatregelen perobject Aanstellen Security Officer Aanstellen Coördinator Per sector Ontwerp Informatie- beveiliging Inrichten Informatie- beveiliging BEHEER analyse ISO 27002, specifiek Verificatie relevantie Ontwerp en Bouw Maatregelen Invoeren Maatregelen (oa training) Inventaris Objecten (loc/sys/app) eerste filter & vaststellen Eigenaar Impact analyse (BIA) Risico Analyse (RBB) 600 55 besluit 133 FASE I FASE II FASE III Projectopzet Certificering punt < 3 maanden > < 6-9 maanden > Slide 25 Praktische Implementatie van de ISO 27001
  • 26. PwC Aandachtspunten bij ISO 27001 implementatie Projectopzet • Maak er geen papieren tijger van • Zorg voor betrokkenheid van het management • Bestaande informatiebeveiliging is de basis (niet opnieuw beginnen) • Zorg dat je operationele medewerkers meekrijgt • Zorg voor koppeling tussen beleid en de werkvloer • Neem ook technische beveiliging mee (Cisco, Windows etc.) • Voer zinvolle risico analyses uit: • realistische ambities • concentratie op de echt kritische zaken • Certificering is een mooi projectdoel om na te streven • Informatiebeveiliging is geen project…. Slide 26 Praktische Implementatie van de ISO 27001
  • 27. Van statische naar dynamische beveiligingsmaatregelen. This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory N.V., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2010 PricewaterhouseCoopers Advisory N.V. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Advisory N.V., which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.