En wat is de werkelijke impact?
- Introductie
- Verandering ISO 27001:2013
- ISMS certificeringsproces
- ISMS opzetten
- Risicomanagement
- Contracten leveranciers / marktstandaarden
Sprekers:
Naam: Reinier van Es
Functie: Business Development & Project Manager
Naam: ir. Marco Bom, CISSP
Functie: Lead assessor ISMS/ QMS
Meer informatie zie: http://www.lrqa.nl/normen/86850-iso27001.aspx
Training over ISO 27001 zie: http://www.lrqa.nl/Onze-diensten/training/lrqa-all-training-courses/Informatiebeveiliging.aspx
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Ad Voets
Voor informatiebeveiliging met NEN 7510 - ISO 27001.
Zie WWW.META-AUDIT.NL
Snel een certificeerbaar managementsysteem voor ISO27001 en NEN7510 obv een digitaal managementsysteem met voorbeelddocumenten
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Ad Voets
Voor informatiebeveiliging met NEN 7510 - ISO 27001.
Zie WWW.META-AUDIT.NL
Snel een certificeerbaar managementsysteem voor ISO27001 en NEN7510 obv een digitaal managementsysteem met voorbeelddocumenten
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...Ad Voets
Risico management. Voorbeeld voor ISO 9001, VCA - zie WWW.METAWARE.NL/RISICOMANAGEMENT
Per 1 maart 2018 alleen certificatie mogelijk volgens ISO9001:2015. Risico management is dan een verplicht onderdeel.
Continuous Integration en DevOps bij VektisDelta-N
Vektis deelt haar ervaringen rondom Continuous Integration, DevOps en het verplaatsen van de ontwikkeling naar de Cloud. Welke keuzes zijn er gemaakt, waarom, waar zijn ze tegenaan gelopen en wat heeft het opgeleverd?
Hoe voer ik een Fit Gap analyse uit? WWW.META-AUDIT.NL
Welke maatregelen moeten nog worden uitgevoerd om aan de Baseline Informatiebeveiliging Rijksdienst te voldoen. Een korte inleiding.
Van OHSAS 18001 naar ISO 45001 (focus communicatie)SCCM
Op 31 maart en 1 april heeft SCCM gesproken op het congres ‘Veiligheid? Zoek het ff zelf uit’ van de Nederlandse Vereniging voor Veiligheidskunde (NVVK). Op 31 maart stond de communicatie binnen een arbomanagementsysteem centraal. De slides van de presentatie vindt u ook SlideShare. De tweede dag is gesproken over de rol van communicatie binnen de nieuwe ISO 45001. In de nieuwe norm worden striktere eisen voor communicatie verwacht dan op dit moment in de OHSAS 18001-norm.
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014SCCM
Op 25 september 2014 heeft SCCM een webinar gegeven over de Draft International Standard (DIS) van ISO 14001, die op 1 juli 2014 is gepubliceerd.
Een belangrijke verandering in deze nieuwe versie is de wijze waarop de risicobenadering en milieuaspecten met elkaar zijn verbonden. Tijdens het webinar zijn de volgende punten aan de orde gekomen:
- De belangrijkste wijzigingen ten opzichte van de huidige ISO 14001 (korte samenvatting vorig webinar)
- Veranderingen ten opzichte van de vorige versie (ISO/CD 14001.2 van oktober 2013)
- Samenhang risicobenadering en milieuaspecten
- Planning vervolg ISO 14001
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Stork
Er is een groot aantal Enterprise Asset Management IT-systemen op de markt. Over welke software systemen hebben we het eigenlijk en hoe bepaalt u welke software tool het beste bij uw organisatie past?
Ludolf Pijpker geeft u inzicht in de groepen Asset Management software systemen, in de verschillen ertussen en in een stappenplan om tot de perfecte match te komen. Dit voorkomt onnodig hoge kosten, bevordert de integratiemogelijkheden met andere systemen en zorgt voor soepel lopende werkprocessen.
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur B.V.
Zijn uw gebruikers niet tevreden over de ICT? Wilt u de kwaliteit van de ICT dienstverlening verbeteren? Heeft u altijd discussie over wie wat moet doen? En bent u vooral bezig met brandjes blussen? Dan wordt het tijd om Integrated Service Management of ISM® methode te implementeren. De IT Regisseur kan u als implementatie partner helpen om uw IT dienstverlening op orde te krijgen.
Vraag een gemiddelde apotheker waaraan hij denkt bij kwaliteitsmanagement, dan is de kans groot dat je antwoorden krijgt als “tja we doen het omdat het moet, maar het is een papieren tijger, tijdrovende bureaucratie en heeft eigenlijk maar weinig toegevoegde waarde voor de bedrijfsvoering van mijn apotheek“. Dit staat in schril contrast met de succesverhalen uit andere bedrijfstakken waarbij integrale benadering van kwaliteit leidde tot haast oneerlijk concurrentievoordeel door enorme reductie van verspillingen, verhoging van efficiëntie, klanttevredenheid en winstgevendheid. Waardoor ontstaat deze discrepantie? Wat zijn de missing links in de apotheek waardoor het (verborgen) winstpotentieel niet voldoende wordt benut?
Om apotheken in staat te stellen met een totale kwaliteitsbenadering de papieren tijger om te vormen tot een lean and mean machine en zo meer effectiviteit en efficiency te realiseren, starten Ondernemend in Zorg en Apotheekpartners een verbetertraject. Ook uitermate geschikt voor apotheken die zich willen (her)certificeren.
Dit traject start met de workshop ‘kwaliteit in de praktijk’. Hierin krijgen jullie naast achtergronden over kwaliteitsmanagement, certificeren, vooral praktische handvatten mee om in de apotheek mee aan de slag te gaan.
Implementatie
Uiteraard kunnen we je ook helpen bij de praktische implementatie op de werkvloer, want juist de vertaling van alles wat op papier staat naar wat er daadwerkelijk moet gebeuren, daar zijn wij goed in.
Neem contact met ons op voor een oriënterend gesprek.
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...Ad Voets
Risico management. Voorbeeld voor ISO 9001, VCA - zie WWW.METAWARE.NL/RISICOMANAGEMENT
Per 1 maart 2018 alleen certificatie mogelijk volgens ISO9001:2015. Risico management is dan een verplicht onderdeel.
Continuous Integration en DevOps bij VektisDelta-N
Vektis deelt haar ervaringen rondom Continuous Integration, DevOps en het verplaatsen van de ontwikkeling naar de Cloud. Welke keuzes zijn er gemaakt, waarom, waar zijn ze tegenaan gelopen en wat heeft het opgeleverd?
Hoe voer ik een Fit Gap analyse uit? WWW.META-AUDIT.NL
Welke maatregelen moeten nog worden uitgevoerd om aan de Baseline Informatiebeveiliging Rijksdienst te voldoen. Een korte inleiding.
Van OHSAS 18001 naar ISO 45001 (focus communicatie)SCCM
Op 31 maart en 1 april heeft SCCM gesproken op het congres ‘Veiligheid? Zoek het ff zelf uit’ van de Nederlandse Vereniging voor Veiligheidskunde (NVVK). Op 31 maart stond de communicatie binnen een arbomanagementsysteem centraal. De slides van de presentatie vindt u ook SlideShare. De tweede dag is gesproken over de rol van communicatie binnen de nieuwe ISO 45001. In de nieuwe norm worden striktere eisen voor communicatie verwacht dan op dit moment in de OHSAS 18001-norm.
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014SCCM
Op 25 september 2014 heeft SCCM een webinar gegeven over de Draft International Standard (DIS) van ISO 14001, die op 1 juli 2014 is gepubliceerd.
Een belangrijke verandering in deze nieuwe versie is de wijze waarop de risicobenadering en milieuaspecten met elkaar zijn verbonden. Tijdens het webinar zijn de volgende punten aan de orde gekomen:
- De belangrijkste wijzigingen ten opzichte van de huidige ISO 14001 (korte samenvatting vorig webinar)
- Veranderingen ten opzichte van de vorige versie (ISO/CD 14001.2 van oktober 2013)
- Samenhang risicobenadering en milieuaspecten
- Planning vervolg ISO 14001
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Stork
Er is een groot aantal Enterprise Asset Management IT-systemen op de markt. Over welke software systemen hebben we het eigenlijk en hoe bepaalt u welke software tool het beste bij uw organisatie past?
Ludolf Pijpker geeft u inzicht in de groepen Asset Management software systemen, in de verschillen ertussen en in een stappenplan om tot de perfecte match te komen. Dit voorkomt onnodig hoge kosten, bevordert de integratiemogelijkheden met andere systemen en zorgt voor soepel lopende werkprocessen.
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur B.V.
Zijn uw gebruikers niet tevreden over de ICT? Wilt u de kwaliteit van de ICT dienstverlening verbeteren? Heeft u altijd discussie over wie wat moet doen? En bent u vooral bezig met brandjes blussen? Dan wordt het tijd om Integrated Service Management of ISM® methode te implementeren. De IT Regisseur kan u als implementatie partner helpen om uw IT dienstverlening op orde te krijgen.
Vraag een gemiddelde apotheker waaraan hij denkt bij kwaliteitsmanagement, dan is de kans groot dat je antwoorden krijgt als “tja we doen het omdat het moet, maar het is een papieren tijger, tijdrovende bureaucratie en heeft eigenlijk maar weinig toegevoegde waarde voor de bedrijfsvoering van mijn apotheek“. Dit staat in schril contrast met de succesverhalen uit andere bedrijfstakken waarbij integrale benadering van kwaliteit leidde tot haast oneerlijk concurrentievoordeel door enorme reductie van verspillingen, verhoging van efficiëntie, klanttevredenheid en winstgevendheid. Waardoor ontstaat deze discrepantie? Wat zijn de missing links in de apotheek waardoor het (verborgen) winstpotentieel niet voldoende wordt benut?
Om apotheken in staat te stellen met een totale kwaliteitsbenadering de papieren tijger om te vormen tot een lean and mean machine en zo meer effectiviteit en efficiency te realiseren, starten Ondernemend in Zorg en Apotheekpartners een verbetertraject. Ook uitermate geschikt voor apotheken die zich willen (her)certificeren.
Dit traject start met de workshop ‘kwaliteit in de praktijk’. Hierin krijgen jullie naast achtergronden over kwaliteitsmanagement, certificeren, vooral praktische handvatten mee om in de apotheek mee aan de slag te gaan.
Implementatie
Uiteraard kunnen we je ook helpen bij de praktische implementatie op de werkvloer, want juist de vertaling van alles wat op papier staat naar wat er daadwerkelijk moet gebeuren, daar zijn wij goed in.
Neem contact met ons op voor een oriënterend gesprek.
Use this checklist to record evidence of conformance to the new and enhanced requirements of ISO/IEC 27001:2013. You may complete it
during one or more visits.
Per 1 december 2013 is de nieuwe versie van de MVO prestatieladder beschikbaar. Graag informeren wij u via een webinar over de wijzigingen en hoe wij u kunnen ondersteunen.
De nieuwe norm kunt u hier downloaden: http://www.mvoprestatieladder.nl/downloads.php
Ook nu GFSI erkende certifi caten in toenemende mate in Noord- en Zuid-Amerika, Azië en Afrika worden gevraagd, zijn er genoeg uitdagingen om de betrouwbaarheid van certifi catie te borgen; denk aan onaangekondigde audits en de samenwerking met overheden. Daarnaast
vragen recente incidenten veel aandacht voor voedselfraude. Wat zijn belangrijke ontwikkelingen die deze uitdagingen helpen oplossen?
Tijdens deze interactieve webinar praten wij u bij over uw mogelijkheden op het gebied van duurzaamheid en transparante duurzaamheidsrapportage volgens de nieuwe GRI principes G4.
Opname webinar: https://www.youtube.com/watch?v=BxgYGd6vEf0
Meer info: www.lrqa.nl/mvo
Agenda webinar
Tijdens deze interactieve webinar praten wij u bij over de volgende onderwerpen:
• Waarom transparante duurzaamheidsverslaggeving?
• Wat zijn de GRI Sustainability Reporting Guidelines G4?
• Hoe pas je deze richtlijnen toe?
• Aan welke criteria moeten organisaties voldoen?
• Op welke rapportage principes moet de verslaggeving gebaseerd zijn?
• Wat zijn de standaard onderdelen van een duurzaamheidsrapportage .
• Stappenplan voor het opstellen van een duurzaamheidsrapportage.
• Wat kan LRQA voor u betekenen
Veel sectoren en bedrijven zijn niet sexy genoeg voor schoolverlaters en jonge professionals, waardoor groei en daarmee de continuïteit van bedrijven in het gedrang komt.
Bedrijven zien steeds meer in dat zij transparanter moeten zijn, en meer moeten gaan communiceren over waar zij voor staan en wat zij nieuwe werknemers te bieden hebben.
Bekijk hier de opnamen van de webinar: https://www.youtube.com/watch?v=53RZJdgoyv4.
Meer info op www.lrqa.nl/mvo
MVO biedt hiervoor belangrijke oplossingen, daar jonge mensen steeds meer duurzame afwegingen meenemen bij het aangaan van een nieuwe betrekking. Hierbij valt te denken aan zaken als flexibel, veilig en gezond werken, goede werkomstandigheden en - verhoudingen, opleidingsmogelijkheden, gelijke kansen, integer en duurzaam werken en een bijdrage kunnen leveren aan de gemeenschap.
Huidige bedreigingen als vergrijzing en blijvend openstaande vacatures dienen duurzaam opgelost te worden. Tijdens deze interactieve webinar praten wij u bij met mevrouw Leontine Vreeke van SeaCityLady, over wat MVO inhoudt, hoe je dit kunt inzetten voor aantrekkelijk werkgeverschap, en zal aan de hand van praktijkvoorbeelden een gericht plan van aanpak besproken worden voor implementatie van sociale innovatie en aantrekkelijk werkgeverschap voor uw bedrijf.
Agenda webinar
Tijdens deze interactieve webinar worden de volgende zaken nader toegelicht:
• Waarom Duurzaam Ondernemen
• Wat betekent MVO voor bedrijven
• MVO focus: Stakeholdermanagement en indicatorenmanagement
• Duurzaamheid en Aantrekkelijk Werkgeverschap
• Duurzaamheid en Sociale Innovatie
• Stappenplan implementatie MVO en Aantrekkelijk Werkgeverschap
• Wat kan LRQA voor u betekenen
More from Lloyd's Register Quality Assurance Nederland (15)
3. Introductie
Naam: Reinier van Es
Functie: Business Development & Project Manager,
Ervaring:
Bank (IT Audit Management & Risk Info Management)
Management Consultant GRC (IDS Scheer (nu onderdeel Software AG)
Kwaliteits -, IT auditor, adviseur, trainer
4. Introductie
Naam: ir. Marco Bom, CISSP
Functie: Lead assessor ISMS/ QMS
Ervaring:
Vanaf 2010 lead assessor ISMS / QMS bij LRQA (specialisme ICT)
toetsing van ca. 25 ISMS organisaties
Vanaf 2006 oprichter/ eigenaar van Audit orde BV,
adviesbureau voor informatiebeveiliging, kwaliteit- en risicomanagement
1998 – 2006 Senior consultant Getronics / PinkRoccade
klanten: KPN, ING, Rabobank, UWV, Robeco, Randstad HR en PinkRoccade
5. Introductie LRQA
Global
België
Nederland
250 miljoen
4,3 miljoen euro
25,6 miljoen euro
2200 medewerkers
25 medewerkers
150 medewerkers
1200 freelancers
10 freelancers
100 freelancers en experts
30 accreditations
Belac, IRCA plus
RvA, IRCA plus
NPS 34
NPS 30
NPS 14
45.000 klanten
1550 klanten
6500 klanten
6. Hoofd activiteiten LRQA
Certificatie, Training, Onderzoek, Verificatie, Supply Chain audits,
Gap Analyses in vele markten
Certiked
Certificatie van kennis intensieve organisaties
Cedeo
Erkenning van trainingen, opleidingen en andere HR diensten
CPION
Toetsing, registratie en diplomering van post-initiële opleidingen
Certiked VBI
Accreditatie van Master en Bachelor opleidingen
11. Doelgroep van de sessie
Het doel van dit Webinar is om inzicht te geven aan de veranderingen in de ISO
27001 , waarbij het niet uitmaakt of
U al ISO 27001 gecertificeerd bent en graag impact wilt weten;
U denkt erover na voor het verkrijgen van een ISO 27001 certificaat.
12. Doelstelling
Tegen het einde van de sessie moet bent u op de hoogte van:
het doel van Annex SL (High Level Structure) en haar rol in het toekomstige
beheer systemen
de wijzigingen en impact van de ISO 27001 norm op bestaande systemen
het certificeringsproces voor de overgang
13. Huidige ISMS familie
•
ISO 27000:- Overview and vocabulary
•
ISO 27001:- Information security management systems - Requirements
•
ISO 27002:- Code of practice for information security management
•
ISO 27003:- Information security management systems - Implementation guidance
•
ISO 27004:- Information security management - Measurement
•
ISO 27005:- Standard for information security risk management
•
ISO 27006:- Requirements for certification bodies
Andere richtlijnen:
•
ISO 27013:- Guidance on the integrated implementation of ISO 27001 and ISO 20000-1
•
ISO 27014:- Governance of information security
•
ISO 27015:- Guidelines for the financial services
•
NEN7510:2011: Informatiebeveiliging in de zorg
14. Waarom Annex SL / High level structuur
(voorheen ISO Guide 83)
Vanwege recente ontwikkelen hebben organisaties verschillende management
systemen en standaarden geïmplementeerd en gecertifieerd
Deze verschillende management systemen (normen):
gemeenschappelijke eisen (Internal Audit, Management Review enz.)
eigen termen en definities
Dit veroorzaakt verwarring, inconsistente interpretatie en uitvoering
Annex SL beschrijft het kader voor een generiek systeem
•
In de toekomst hebben alle ISO managementsystemen dezelfde look en feel
•
Dit zou het einde kunnen betekenen van verwarring, verspilling en misverstanden
veroorzaakt door het werken met verschillende Management Systemen.
15. Kader van Annex SL
The major clause numbers and titles of all management system standards will be
identical. They are:
Introduction
1. Scope
2. Normative references
3. Terms and definitions
4. Context of the organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance evaluation
10. Improvement
16. 4. Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
Op het eerste gezicht lijkt dit een grote verandering, in de praktijk valt dit mee.
•
Wat zijn de overwegingen van de organisatie om überhaupt een
management systeem te implementeren.
•
De organisatie moet bepalen wat relevante kwesties zijn (zowel binnen als
buiten), welke impact er is en wat het probeert te bereiken (outcome)
•
Ook, wie de belanghebbende partijen zijn (stakeholders) en wat zijn hun
behoeften zijn.
=> Centraal: de toegevoegde waarde (opbrengsten) van het ISMS
17. 5. Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organization roles responsibilities and authorities
Nauwelijks verandering
Management betrokkenheid, voorbeeld gedrag en leiderschap.
18. 6. Planning
6.1 Actions to address risks and opportunities
6.2 Information security objectives and planning to achieve them
Grote verandering
•
Dit grijpt terug op 4.1 en 4.2
•
Er is noodzaak om alle risico eigenaren te identificeren
•
Risico’s moeten geassocieerd zijn met verlies van BIV (beschikbaarheid,
integriteit, vertrouwelijkheid).
•
Assessment gericht op informatiebeveiligingsrisico’s. Dit proces vastgelegd in
lijn met het gedachtengoed van de ISO31000 risicomanagement
20. 7. Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
7.5.1 General
7.5.2 Creating and updating
7.5.3 Control of documented information
Kleine verandering
•
Interne en externe communicatie – nieuw (maar afkomstig van de ISO9001)
•
Eisen rondom omgang en controle van gedocumenteerde informatie
•
Wordt 16x genoemd in de norm
21. 8. operation
8.1 Operational planning and control – emphasis on outsourcing.
8.2 Information security risk assessment - Implementation
8.3 Information security risk treatment - Implementation
Grote verandering
•
het managen van de gevonden risico’s en de maatregelen om de risico’s te
mitigeren.
•
Verschil met H6: daar vinden van risico’s, nu omgaan met risico’s
22. 9. performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
Kleine verandering maar alle ISMS controles vallen onder 9.1. Duidelijk maken:
• wat moet worden gecontroleerd en gemeten
• methoden
• wanneer het wordt uitgevoerd
• wie zal meten en bewaken
• wanneer de resultaten worden geanalyseerd en geëvalueerd
• wie analyseert en beoordeelt deze resultaten
24. Wijzigingen in Bijlage A (Annex A - normative)
Aantal secties is gestegen van 11 tot 14
Aantal beheersdoelstellingen (controls) is gedaald van 133 naar 113
Structuur van secties - Cryptografie is uitgegroeid tot een apart hoofdstuk 10
Communicatie en operations management is verdeeld in twee secties
Operations security H12
Communication security H13
Relatie met leveranciers is nu opgenomen in een apart hoofdstuk 15
25. Bijlage A: nieuwe controls (#11)
A.6.1.5 Information security in project management *
A.12.6.2 Restriction on software installation
A.14.2.1 Secure development policy
A.14.2.5 Secure system engineering principles*
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 Information and communication technology supply chain*
A.16.1.4 Assessment of any decision on information security events
A.16.1.5 Response to information security incidents
A.17.2.1 Availability of information processing facilities*
26. Bijlage A: Verdwenen controls (1)
Control from ISO27001:2005
Where they have gone?
A.6.1.1 Management commitment to information security
Covered by main requirements of standard - Leadership
A.6.1.2 Information security co-ordination
Covered by main requirements of standard
A.6.1.4 Authorisation process for information processing facilities
Deleted
A.6.2.1 Identification of risks related to external parties
Covered by main requirements of standard - Risk Assessment
A.6.2.2 Addressing security when dealing with customers
Covered by main requirements of standard - Risk Assessment
A.8.1.1 Roles and responsibilities
Covered by main requirements of standard - (5.3)
A.10.2.1 Service delivery
Covered by other controls (A.15.2.1)
A.10.4.2 Controls against mobile code
Covered by other controls (A.12.2.1)
A.10.7.4 Security of system documentation
Covered by main requirements of standard - Risk Assessment
A.10.8.5 Business information systems
Deleted
A.10.9.3 Publicly available information
Covered by other controls (A.14.1.2)
A.10.10.2 Monitoring system use
Covered by other controls (A.12.4.1)
A.10.10.5 Fault logging
Covered by other controls (A.12.4.1)
A.11.4.2 User authentication for external conections
Covered by other controls (A.9.1.2, A.9.4.2)
27. Bijlage A: Verdwenen controls (2)
Control from ISO27001:2005
Where they have gone?
A.11.4.3 Equipment identification in networks
subsumed into A.13.1
A.11.4.4 Remote diagnostic and configuration port protection
subsumed into A.13.1
A.11.4.6 Network connection control
subsumed into A.13.1
A.11.4.7 Network routing control
subsumed into A.13.1
A.11.5.5 Session time-out
subsumed into A.13.1
A.11.5.6 Limitation of connection time
Covered by other controls (A.9.4.2)
A.11.6.2 Sensitive system isolation
subsumed into A.11.2.1 & A13.1.3
A.12.2.1 Input data validation
subsumed into A.14.1.1 & A.14.2.5
A.12.2.2 Control of internal processing
Covered by other controls (A.14.2.5)
A.12.2.3 Message integrity
subsumed into A.14.1.1 & A.14.2.5
A.12.2.4 Output data validation
subsumed into A.14.1.1 & A.14.2.5
A.12.5.4 Information leakage
subsumed into A 13.1 & A 13.2
A.14.1.3 Developing and implementing continuity plans including information security
subsumed into A17.1.2
A.14.1.4 Business continuity planning framework
subsumed into A17.1.2
A.15.1.5 Provention of misuse of information processing facilities
Covered by main requirements of standard - Risk Assessment
A.15.3.2 Protection of information systems audit tools
subsumed into 9.4
28. Bijlage A uit ISO 27001:2005 ISO 27001:2013
A.5
A.6
A.18
Security
Policy
Organization of
Information
Security
Compliance
A.17
A.7
Human Resources
Security
A.5
Information security
Aspects of business
continuity
management
A.16
A.14
Information
Security Incident
Management
A.13
Security
Policy
A.15
Compliance
Asset
Management
A.7
Asset
Management
Information
Security Incident
Management
Human Resources
Security
Information Systems
Acquisition, Development
and Maintenance
Access
Control
System acquisition,
development and
maintenance
Communications
and Operations
Management
A.11
A.12
A.14
A.8
Organization of
Information
Security
Business
Continuity
Management
Supplier
relationship
A.15
A.6
A.9
A.12
Cryptography
A.10
Physical and
Environmental
Security
Operations
Security
Access
Control
A.9
A.10
Communications
Security
A.13
Physical and
Environmental
Security
A.8
A.11
30. Aanpak
Een gecertificeerd bedrijf doorloopt een “Transitie checklist” waarbij
Review van risicobeoordeling
De mapping naar de nieuwe norm
Risicobeheer Behandelplan
De eisen 'nieuwe' bijlage SL eisen zijn gedocumenteerd
De assessor beoordeelt:
De transitie checklist:
Of noodzakelijke beleidsmaatregelen en procedures gedocumenteerd zijn
Het risicobehandelplan
Of de nieuwe of gewijzigde controls zijn geïmplementeerd.
31. Zaken om over na te denken
Review de algemene doelstellingen van uw ISMS in lijn met clausules 4.1 en 4.2
Review uw risico assessment
Review de verklaring van toepasselijkheid m.b.t. de nieuwe controls
Controleer uw ISMS documentatie voor het opnemen van nieuwe benodigde
informatie
Controleer uw bestaande performances om ervoor te zorgen dat u voldoet
34. BIV definitie
Beschikbaarheid
Waarborgen dat gebruikers op de juiste momenten
tijdig toegang hebben tot informatie en
informatiesystemen. Nadruk op beheerder.
Integriteit
Waarborgen van de juistheid en volledigheid van
informatie en de verwerking ervan.
Vertrouwelijkheid
Waarborgen dat informatie alleen toegankelijk is voor
diegene die hiertoe zijn geautoriseerd. Nadruk op
techniek.
35. Certificeringsproces en Wat levert certificering mij op?
Aantoonbaar in control >> vertrouwen naar de markt en cliënten en toezichthouders
Vragen of verplichtingen van toezichthouders ben je voor of kun je kun je door middel
van tonen certificaat (ISO27001 of NEN7510) ontwijken.
- College bescherming persoonsgegevens (CBP)
- Inspectie voor de Gezondheidszorg (IGZ)
USP: nog maar weinig certificaten afgegeven
Bewustzijn van personeel zal omhoog gaan
Zwakke punten in uw informatiebeveiliging worden zichtbaar gemaakt
Minimaal jaarlijks bezoek auditor aan uw organisatie >> thematische aanpak
37. Hoe ziet een certificeringsproces eruit en wat kost het?
Fase 0:
Nulmeting /
proefaudit
(optioneel)
Herhalingsaudit
Tussentijdse audit
Fase 1:
Documentatie
onderzoek
extra audit
Fase 2:
Implementatie
audit
Tussentijdse audit
38. Hoe ziet een certificeringsproces eruit en wat kost het?
Fase 0:
Fase 0:
Nulmeting /
Nulmeting /
proefaudit
proefaudit
(optioneel)
(optioneel)
Fase 1:
Fase 1:
Documentatie
Documentatie
onderzoek
onderzoek
Fase 2:
Fase 2:
Implementatie
Implementatie
audit
audit
Nulmeting / proefaudit
optioneel, maar wel betere
resultaten bij vervolgstappen
Documentatie onderzoek:
bent u klaar voor
implementatieaudit?
Omvang audit (aantal dagen) afh. van:
Volwassenheid systeem
Aantal medewerkers/ locaties
Complexiteit, Aantal applicaties
In- of outsourcing
Implementieaudit: wordt u
aanbevolen voor certificering
ja of nee?
Gemiddelde organisatie van 50 fte:
Minimaal jaarlijkse
terugkomdag opvolging
openstaande punten
•Tussentijds
Bij ernstige tekortkoming:
verplichte opvolging en audit
Zie Implementatie audit
Tussentijdse audit
Tussentijdse audit
extra audit
Herhalingsaudit
•Fase
1
2 dagen
•Fase
2
3 dagen
(3jr)
5 dagen
39. Hoe ziet een certificeringsaudit eruit (fase 1)?
Documentatieonderzoek
•
Vaststelling Verklaring van Toepasselijkheid
•
Risicoanalyse
•
Informatiebeveiligingsbeleid
•
Overige beleidsdocumenten en procedures
•
Interne en externe audits
•
Bepaling mate van uitbesteding
•
Rapportage documentatieonderzoek + aanbeveling ‘klaar voor implementatie-audit?’
40. Hoe ziet een certificeringsaudit eruit (fase 2)?
Implementatie audit
•Afwikkeling
•Interviews
openstaande punten rapportage documentatieonderzoek
met o.a.
•
Verantwoordelijke voor informatiebeveiliging (management en operationeel)
•
IT-medewerkers
•
Verantwoordelijke voor fysieke beveiliging
•
Human Resources
•
Afdelingshoofden / kwaliteitsmedewerkers
•Rondleiding
computerruimte en afdelingen
•Rapportage
implementatie-audit + aanbeveling ‘certificering ja of nee?’
41. Hoe kan ik mij voorbereiden (als audittee)
•
Loop zelf een rondje door uw gebouw/ kantoor en kijk kritisch rond.
•
Er is al best veel geregeld bij u (inbraak, brandweer, ICT etc.)
•
Voer een gedegen risicoanalyse uit en kom tot een selectie van maatregelen, leg zo
veel mogelijk vast en onderbouw gemaakte keuzes
•
Zorg dat beleidsdocumenten aanwezig en door management (zichtbaar) goedgekeurd
zijn
•
Houd een register van meldingen en incidenten bij en rapporteer hierover
•
Achterhaal op welke vertrouwelijke informatie met anderen worden uitgewisseld?
•
Praat met andere partijen en werk samen met:
•
•
•
Uw ICT leverancier(s)
Collega afdelingen, vind het wiel niet nog een keer uit!
Bepaal de juiste beheersmaatregelen voor u en onderbouw uw keuze
43. Het proces rondom een ISMS
Maak
beleid
Plan
Documenten
Bepaal
scope
Bepaal
besturing
Maak risico
analyse
Selecteer
controls
Maak
beveiligingsplan
Maak
controle plan
Security
policy
Scope
reikwijdte
Besturing
security
ISMS
Rapport
Risico
analyse
SoA
Beveiligingspl
an
Controle
programma
Maak
Implementatie
plan
Check
Documenten
Act
Documenten
Metingen en
rapportages
Rapporteer
incidenten
Implementatie
plan
Realiseren
maatregelen
Metingen en
rapportages
Incident
rapportages
Interne audit
Externe audit
Directie
beoordeling
Rapport controle
programma
Auditrapport
interne audit
Auditrapport
externe audit
Rapport directie
beoordeling
Bepaal correctieve
acties
Documenten
Implementeer
maatregelen
Voer controles uit
Do
Bepaal verbeter
maatregelen
Correctieve
maatregelen
Verbeter plannen
45. Kernmaatregelen ISMS
Stel beleid op t.a.v. informatiebeveiliging
Inventariseer en analyseer alle risico’s
Stel vast wie waarvoor verantwoordelijk is, benoem risico eigenaren
Zorg voor bewustwording, opleiding en training
Neem maatregelen tegen kwaadaardige programmatuur
Sluit overeenkomsten voor gegevensuitwisseling
Beveilig de toegang tot systemen
Ontwikkel en implementeer Continuiteitsbeheer
Houd rekening met intellectueel eigendom
Beveilig bedrijfsdocumenten
Bescherm persoonsgegevens
Leef beveiligingsbeleid na
Rapporteer beveiligingsincidenten
47. 1) Resultaat van identificatie risico’s
Belang
Bedreiging
Gebouw
Falende stroomvoorziening
Gebouw
Toegang niet-geautoriseerd personeel
Tweede / derde lijn support
Verlies van personeel
Tweede / derde lijn support
Gebrek aan beveiligingsbewustzijn
Systeemapplicatie support
Software upgrade / wijzigingen
Systeemapplicatie support
Foutieve softwaresystemen
Systeemapplicatie support
Software onvoldoende of incorrect gepatched
Datahosting/database
Database patientinformatie gekraakt
Service delivery
Misbruik account door ontevreden medewerkers
48. 2) Resultaat van analyse risico’s
“Belang”
Dreiging
K
E
R
Medicijnen
Foutieve medicijnen aan client
2
8
16
Medicijnen
Verkeerde dosering
4
8
32
Patientenzorg
Slechte overdracht van de zorg
6
6
36
Communicatie
Fouten bij inplannen van zorgverleners
8
2
16
Effect
32
48
64
12
Kans
16
24
36
48
8
16
24
32
4
8
12
16
49. 3) Resultaat van behandelen van risico’s
Risicobeheersplan;
Er zijn vier mogelijkheden voor risicobeheersing:
Het risico verminderen;
Het risico ontwijken;
Het risico doorschuiven naar derden;
Het risico accepteren.
Bij welke grenswaarde een of meer van de vier mogelijkheden in werking
treedt.
Keuze van beheersmaatregelen en belang ervan (welke van de 133 zijn
cruciaal).
50. Welke zekerheden?
Welke zekerheden kunnen verkregen worden van leveranciers?
Gangbare typen
Third Party audit (TPM)
Second party audit
ISAE3402 (voorheen SAS70)
Essentie
1)ken
je leveranciers risico’s voordat ze toegang krijgen tot vertrouwelijke
informatie
2)Stel
vast op welke scope zekerheid wordt verkregen