Paul Willems RE CISA van LRQA gaat in op onder andere ISO 27001.

1. Improving performance,
reducing risk
LRQA congres 2014; IT security en Risk Management
Paul Willems RE CISA
Vertrouwen in de ICT keten

2. Voorstellen
•Schemabeheerder ISO 27001
en NEN 7510
•Lid van diverse
normcommissies
•https://www.linkedin.com/in/
piwiconsultancy

3. ISO 27001
• Norm over het managen van informatiebeveiliging
• Gaat uit van een informatiebeveiliging management systeem (ISMS)
• Gaan uit van Plan, Do, Check, Act om informatiebeveiliging te
realiseren, handhaven en te verbeteren
• Selectie beheersingsmaatregelen op basis van verplichte risicoanalyse
• In bijlage van de norm zijn maatregelen opgenomen

4. ISMS PDCA Processes
Interested
Parties (4.2)
Managed
Information
Security
Interested
Parties (4.2)
Information
security
requirements
and
expectations
Monitor
and
review
the ISMS
Establish the
ISMS
Implement
and
operate
the ISMS
Maintain
and
improve
the ISMS
Plan
Do
Check
Act

5. ISO 27001
Belangrijke ISMS documenten:
• verklaring van toepasselijkheid
• Risicoanalyse
• plan voor risicobehandeling
• rapport van de risicobeoordeling
• ISMS-beleid en de ISMS-doelstellingen
• reikwijdte van het ISMS
• procedures en beheersmaatregelen die het ISMS ondersteunen
• vereiste registraties
Verder:
• Interne audits
• Directiebeoordeling
• Leiderschap
• Continu verbeteren

6. ISO 27001
Hoofdstukken beveiligingsbeheersmaatregelen
1. Informatiebeveiligingsbeleid
2. Veilig Personeel
3. Beheer van bedrijfsmiddelen
4. Toegangsbeveiliging
5. Cryptografie
6. Fysieke beveiliging en beveiliging van de omgeving
7. Beveiliging bedrijfsvoering
8. Communicatiebeveiliging
9. Acquisitie, ontwikkeling en onderhoud van informatiesystemen
10. Leveranciersrelaties
11. Beheer van informatiebeveiligingsincidenten
12. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
13. Naleving

7. ISO 27001
Hoe te starten?
1. Is er draagvlak op senior management niveau?
2. Hebben we ervaring met een management systeem?
3. Kan ik een self assessment uitvoeren?
4. Of laat ik liever een quick scan door een externe uitvoeren?
5. Is de ICT afdeling geautomatiseerd of werken ze handmatig?
6. Waar liggen onze risico’s?
7. Kunnen we een risico analyse uit (laten) voeren?
8. Moeten we nog nieuwe maatregelen invoeren?

8. Vragen

10. Lloyd’s Register and variants of it are trading names of Lloyd’s Register Group Limited, its subsidiaries and affiliates.
Copyright © Lloyd’s Register Quality Assurance Limited 2013. A member of the Lloyd’s Register group.
Improving performance,
reducing risk
Paul Willems
Senior Lead Assessor / Project Manager
LRQA Projects
T +31 (0)6 5178 0300 E paul.willems@lrqa.com
LRQA
K.P. v.d. Mandelelaan 41a
3062 MB Rotterdam