Your SlideShare is downloading. ×
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht

1,410

Published on

Praktische implementatie van ISO

Praktische implementatie van ISO

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,410
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
48
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Infosecurity.nl Praktische implementatie van ISO www.pwc.nl/security
  • 2. PwC Agenda Achtergrond van ISO 27001 ISO 27001 implementatie in drie sporen Projectopzet Slide 2 4 november 2010Praktische Implementatie van de ISO 27001
  • 3. PwC Achtergrond van ISO 27001 Slide 3 Praktische Implementatie van de ISO 27001
  • 4. PwC H5 H8 Citibank admits: we've lost the backup tape H13 H7 H6 H11 H12 H14 H10 Slide 4 Praktische Implementatie van de ISO 27001
  • 5. PwC Informatiebeveiliging Achtergrond van ISO 27001 H ISO 27002 NEN Vertaling 5 Security Policy Beveiligingsbeleid 6 Organization of Information Security Beveiligingsorganisatie 7 Asset Management Classificatie en beheer van bedrijfsmiddelen 8 Human resources security Beveiligingseisen ten aanzien van personeel 9 Physical and Environmental Security Fysieke beveiliging en beveiliging van de omgeving 10 Communications and Operations Management Beheer van communicatie- en bedieningsprocessen 11 Access Control Toegangsbeveiliging 12 Information Systems Acquisition, Development and Maintenance Ontwikkeling en onderhoud van systemen 13 Information Security Incident Management Incidentmanagement 14 Business Continuity Management Continuïteitsmanagement 15 Compliance Naleving Slide 5 Praktische Implementatie van de ISO 27001
  • 6. PwC • Hoe zorgt een organisatie dat zijn informatie “adequaat beveiligd” is? • ISO 27002 en diens definitie van informatiebeveiliging volstaan niet meer: “Preservation of confidentiality, integrity and availability of information” • Informatiebeveiliging gaat niet (meer) over statische risico‟s en maatregelen maar over dynamische. • Dit is wat security management beoogt. Informatiebeveiliging Achtergrond van ISO 27001 Slide 6 Praktische Implementatie van de ISO 27001
  • 7. PwC ISO 27001 versus ISO 27002 ISO 27002 • Ontwikkeld in 1989 • Lange lijst met beveiligingsmaatregelen (133) • Kritiek in 1995: • Onvoldoende implementatie richtlijnen • Welke maatregelen wel en welke niet? • Risico management geen onderdeel van ISO 27002 • Tegen ISO 27002 geen certificering mogelijk ISO 27001 • 1998: ISO 27001, norm voor de implementatie van ISO 27002 op basis van een risico management systeem. • ISO 27001 is de leidende norm op informatiebeveiliging en geadopteerd door de Rijksoverheid en de zorg • Tegen ISO 27001 certificering mogelijk Achtergrond van ISO 27001 Slide 7 Praktische Implementatie van de ISO 27001
  • 8. PwC ISO 27001 Achtergrond van ISO 27001 Plan Do Check Act ISMS Bron: ISO 27001 Slide 8 Praktische Implementatie van de ISO 27001
  • 9. PwC ISO 27001 Achtergrond van ISO 27001 • Gebaseerd op een management systeem (ISMS) net zoals ISO 9001 • Bestaat uit ongeveer 100 eisen • ISO 27001 eis 4.2.1g) verwijst normatief naar de ISO 27002 maatregelen die minimaal zouden moeten worden overwogen • Enige overlap in ISO 27001 met ISO 27002: • Eisen aan informatiebeveiligingsbeleid (H. 5) • Beheer van bedrijfsmiddelen (H. 7) • Beveiligingsbewustzijn (H. 8) • Management van beveiligingsincidenten (H. 13) Slide 9 Praktische Implementatie van de ISO 27001
  • 10. PwC ISO 27001 Achtergrond van ISO 27001 Plan Do Check Act Security officer Management Auditors Lijnmanagement Werkvloer Slide 10 Praktische Implementatie van de ISO 27001
  • 11. PwC ISO 27001 implementatie in drie sporen Slide 11 Praktische Implementatie van de ISO 27001
  • 12. PwC ISO 27001 implementatie in drie sporen ISO 27001 implementatie in drie sporen • Spoor 1: ISMS handboek en PDCA processen implementeren • Spoor 2: baseline bepalen en implementeren • Spoor 3: risico analyses uitvoeren en resultaten borgen Slide 12 Praktische Implementatie van de ISO 27001
  • 13. PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen • Fundamentele keuze is de ISMS scope (cf. ISO 27001, 4.2.1a): Toepassingsgebied en grenzen van het ISMS vaststellen met betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied. • Een beperkte scope kiezen lijkt aanlokkelijk, maar het is niet noodzakelijk. Slide 13 Praktische Implementatie van de ISO 27001
  • 14. PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen Onderwerpen in het ISMS handboek: • ISMS scope • Informatiebeveiligingsbeleid • Beveiligingsorganisatie (verantwoordelijkheden gerelateerd aan PDCA) • Vastlegging van de risicobeoordeling en –behandeling methode • Interne en externe controles • Management review (bijsturing door management) • Documentatie systeem Slide 14 Praktische Implementatie van de ISO 27001
  • 15. PwC Spoor 1: ISMS handboek en PDCA processen implementeren ISO 27001 implementatie in drie sporen Management review (bijsturing door management) • Review „sluit‟ de PDCA cyclus en is misschien wel het allerbelangrijkste van ISO 27001 • Input voor de review: • Resultaten van onafhankelijke beoordelingen • Terugkoppeling van belanghebbende partijen (klachten) • Resultaten van voorgaande reviews • Procesprestaties en naleving van het ISMS handboek • Gerapporteerde beveiligingsincidenten en –trends Slide 15 Praktische Implementatie van de ISO 27001
  • 16. PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen • Vergelijk de bestaande maatregelen met ISO 27002 en branche specifieke standaarden • Leg alle bestaande en „common sense‟ maatregelen vast in een baseline, zinvol voor zowel management als operationele medewerkers („tactische documentatie‟) Slide 16 Praktische Implementatie van de ISO 27001
  • 17. PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen • Zorg voor onderhoudbare referenties tussen de tactische documentatie en de operationele documentatie • Beleg de verantwoordelijkheid voor onderhoud en implementatie van de baseline documenten in de lijn • Dit vergemakkelijkt de (interne/externe) review ook enorm Slide 17 Praktische Implementatie van de ISO 27001
  • 18. PwC Spoor 2: baseline bepalen en implementeren ISO 27001 implementatie in drie sporen PZ maatregelen PZ procedures ICT maatregelen Toegangsbeveiliging Bewustzijn ICT handboek Instructie medewerkers Beveiligings- jaarplan Instructie lijnmanagement VOG voor alle medewerkers Kritische security patches < 1 dag Initiële wachtwoorden worden niet herbruikt Minimaal 1 keer per jaar een bewustzijn event tactisch operationeel Slide 18 Praktische Implementatie van de ISO 27001
  • 19. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Getrapte risico analyse methode: • High-level Business Impact Analysis (BIA) om kritische bedrijfsprocessen te bepalen • Gedetailleerde Risicobeoordeling en Behandeling (RBB) methode voor kritische bedrijfsprocessen • Vaak is het makkelijk om informatiesystemen als basis voor bedrijfsprocessen te nemen Slide 19 Praktische Implementatie van de ISO 27001
  • 20. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen Baseline beveiliging SAP …… ….. Callcenter ….. …. HRKritische systemen Slide 20 Praktische Implementatie van de ISO 27001
  • 21. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Voorbeeld van Business Impact Analysis op informatiesysteem Slide 21 Praktische Implementatie van de ISO 27001
  • 22. PwC Spoor 3: risico analyses uitvoeren en resultaten borgen ISO 27001 implementatie in drie sporen • Simpel Excel tool gebaseerd op ISO 27005 Slide 22 Praktische Implementatie van de ISO 27001
  • 23. PwC Projectopzet Slide 23 Praktische Implementatie van de ISO 27001
  • 24. PwC Project – fasering / resultaatpaden PROJECT PvA + Kosten / baten 300 85 Organisatie ISMS Basis maatregelen Maatregelen perobject Aanstellen Security Officer Aanstellen Coördinator Per sector Ontwerp Informatie- beveiliging Inrichten Informatie- beveiliging BEHEER analyse ISO 27002, specifiek Verificatie relevantie Ontwerp en Bouw Maatregelen Invoeren Maatregelen (oa training) Inventaris Objecten (loc/sys/app) eerste filter & vaststellen Eigenaar Impact analyse (BIA) Risico Analyse (RBB) 600 55 besluit 133 FASE I FASE II FASE III Projectopzet Slide 24 Praktische Implementatie van de ISO 27001
  • 25. PwC Project – fasering / resultaatpaden PROJECT PvA + Kosten / baten 300 85 Organisatie ISMS Basis maatregelen Maatregelen perobject Aanstellen Security Officer Aanstellen Coördinator Per sector Ontwerp Informatie- beveiliging Inrichten Informatie- beveiliging BEHEER analyse ISO 27002, specifiek Verificatie relevantie Ontwerp en Bouw Maatregelen Invoeren Maatregelen (oa training) Inventaris Objecten (loc/sys/app) eerste filter & vaststellen Eigenaar Impact analyse (BIA) Risico Analyse (RBB) 600 55 besluit 133 FASE I FASE II FASE III Projectopzet Certificering punt < 3 maanden > < 6-9 maanden > Slide 25 Praktische Implementatie van de ISO 27001
  • 26. PwC Aandachtspunten bij ISO 27001 implementatie Projectopzet • Maak er geen papieren tijger van • Zorg voor betrokkenheid van het management • Bestaande informatiebeveiliging is de basis (niet opnieuw beginnen) • Zorg dat je operationele medewerkers meekrijgt • Zorg voor koppeling tussen beleid en de werkvloer • Neem ook technische beveiliging mee (Cisco, Windows etc.) • Voer zinvolle risico analyses uit: • realistische ambities • concentratie op de echt kritische zaken • Certificering is een mooi projectdoel om na te streven • Informatiebeveiliging is geen project…. Slide 26 Praktische Implementatie van de ISO 27001
  • 27. Van statische naar dynamische beveiligingsmaatregelen. This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory N.V., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2010 PricewaterhouseCoopers Advisory N.V. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Advisory N.V., which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

×