SlideShare a Scribd company logo

Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementatie

Lloyd's Register Quality Assurance Nederland
Lloyd's Register Quality Assurance Nederland

En wat is de werkelijke impact? - Introductie - Verandering ISO 27001:2013 - ISMS certificeringsproces - ISMS opzetten - Risicomanagement - Contracten leveranciers / marktstandaarden Sprekers: Naam: Reinier van Es Functie: Business Development & Project Manager Naam: ir. Marco Bom, CISSP Functie: Lead assessor ISMS/ QMS Meer informatie zie: http://www.lrqa.nl/normen/86850-iso27001.aspx Training over ISO 27001 zie: http://www.lrqa.nl/Onze-diensten/training/lrqa-all-training-courses/Informatiebeveiliging.aspx

1 of 53
Download to read offline
De ISO 27001 - 2 Veranderingen En wat is de werkelijke impact ? Improving performance, reducing risk
Agenda • Introductie • Verandering ISO 27001:2013 • ISMS certificeringsproces • ISMS opzetten • Risicomanagement • Contracten leveranciers / marktstandaarden
Introductie Naam: Reinier van Es Functie: Business Development & Project Manager, Ervaring:  Bank (IT Audit Management & Risk Info Management)  Management Consultant GRC (IDS Scheer (nu onderdeel Software AG)  Kwaliteits -, IT auditor, adviseur, trainer
Introductie Naam: ir. Marco Bom, CISSP Functie: Lead assessor ISMS/ QMS Ervaring:  Vanaf 2010 lead assessor ISMS / QMS bij LRQA (specialisme ICT) toetsing van ca. 25 ISMS organisaties  Vanaf 2006 oprichter/ eigenaar van Audit orde BV, adviesbureau voor informatiebeveiliging, kwaliteit- en risicomanagement  1998 – 2006 Senior consultant Getronics / PinkRoccade klanten: KPN, ING, Rabobank, UWV, Robeco, Randstad HR en PinkRoccade
Introductie LRQA Global België Nederland 250 miljoen 4,3 miljoen euro 25,6 miljoen euro 2200 medewerkers 25 medewerkers 150 medewerkers 1200 freelancers 10 freelancers 100 freelancers en experts 30 accreditations Belac, IRCA plus RvA, IRCA plus NPS 34 NPS 30 NPS 14 45.000 klanten 1550 klanten 6500 klanten
Hoofd activiteiten LRQA Certificatie, Training, Onderzoek, Verificatie, Supply Chain audits, Gap Analyses in vele markten Certiked Certificatie van kennis intensieve organisaties Cedeo Erkenning van trainingen, opleidingen en andere HR diensten CPION Toetsing, registratie en diplomering van post-initiële opleidingen Certiked VBI Accreditatie van Master en Bachelor opleidingen
Markten LRQA
Business Assurance Services
Social Media be nl website www.lrqa.be www.lrqa.nl linkedin lrqa lrqa-nl twitter lrqa @lrqanl facebook youtube LRQANederland businessassurance Lrqa1 slideshare LRQA_Nederland googleplus LRQA Nederland
ISO 27001:2013 Aanpassingen Wat is de werkelijke impact ? Improving performance, reducing risk
Doelgroep van de sessie Het doel van dit Webinar is om inzicht te geven aan de veranderingen in de ISO 27001 , waarbij het niet uitmaakt of  U al ISO 27001 gecertificeerd bent en graag impact wilt weten;  U denkt erover na voor het verkrijgen van een ISO 27001 certificaat.
Doelstelling Tegen het einde van de sessie moet bent u op de hoogte van:  het doel van Annex SL (High Level Structure) en haar rol in het toekomstige beheer systemen  de wijzigingen en impact van de ISO 27001 norm op bestaande systemen  het certificeringsproces voor de overgang
Huidige ISMS familie • ISO 27000:- Overview and vocabulary • ISO 27001:- Information security management systems - Requirements • ISO 27002:- Code of practice for information security management • ISO 27003:- Information security management systems - Implementation guidance • ISO 27004:- Information security management - Measurement • ISO 27005:- Standard for information security risk management • ISO 27006:- Requirements for certification bodies Andere richtlijnen: • ISO 27013:- Guidance on the integrated implementation of ISO 27001 and ISO 20000-1 • ISO 27014:- Governance of information security • ISO 27015:- Guidelines for the financial services • NEN7510:2011: Informatiebeveiliging in de zorg
Waarom Annex SL / High level structuur (voorheen ISO Guide 83)  Vanwege recente ontwikkelen hebben organisaties verschillende management systemen en standaarden geïmplementeerd en gecertifieerd  Deze verschillende management systemen (normen):    gemeenschappelijke eisen (Internal Audit, Management Review enz.) eigen termen en definities Dit veroorzaakt verwarring, inconsistente interpretatie en uitvoering Annex SL beschrijft het kader voor een generiek systeem • In de toekomst hebben alle ISO managementsystemen dezelfde look en feel • Dit zou het einde kunnen betekenen van verwarring, verspilling en misverstanden veroorzaakt door het werken met verschillende Management Systemen.
Kader van Annex SL The major clause numbers and titles of all management system standards will be identical. They are: Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Context of the organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance evaluation 10. Improvement
4. Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system Op het eerste gezicht lijkt dit een grote verandering, in de praktijk valt dit mee. • Wat zijn de overwegingen van de organisatie om überhaupt een management systeem te implementeren. • De organisatie moet bepalen wat relevante kwesties zijn (zowel binnen als buiten), welke impact er is en wat het probeert te bereiken (outcome) • Ook, wie de belanghebbende partijen zijn (stakeholders) en wat zijn hun behoeften zijn. => Centraal: de toegevoegde waarde (opbrengsten) van het ISMS
5. Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organization roles responsibilities and authorities Nauwelijks verandering Management betrokkenheid, voorbeeld gedrag en leiderschap.
6. Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them Grote verandering • Dit grijpt terug op 4.1 en 4.2 • Er is noodzaak om alle risico eigenaren te identificeren • Risico’s moeten geassocieerd zijn met verlies van BIV (beschikbaarheid, integriteit, vertrouwelijkheid). • Assessment gericht op informatiebeveiligingsrisico’s. Dit proces vastgelegd in lijn met het gedachtengoed van de ISO31000 risicomanagement
6. planning (ISO 31000 risicomanagement)
7. Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 7.5.1 General 7.5.2 Creating and updating 7.5.3 Control of documented information Kleine verandering • Interne en externe communicatie – nieuw (maar afkomstig van de ISO9001) • Eisen rondom omgang en controle van gedocumenteerde informatie • Wordt 16x genoemd in de norm
8. operation 8.1 Operational planning and control – emphasis on outsourcing. 8.2 Information security risk assessment - Implementation 8.3 Information security risk treatment - Implementation Grote verandering • het managen van de gevonden risico’s en de maatregelen om de risico’s te mitigeren. • Verschil met H6: daar vinden van risico’s, nu omgaan met risico’s
9. performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Kleine verandering maar alle ISMS controles vallen onder 9.1. Duidelijk maken: • wat moet worden gecontroleerd en gemeten • methoden • wanneer het wordt uitgevoerd • wie zal meten en bewaken • wanneer de resultaten worden geanalyseerd en geëvalueerd • wie analyseert en beoordeelt deze resultaten
10. improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Geen verandering
Wijzigingen in Bijlage A (Annex A - normative)  Aantal secties is gestegen van 11 tot 14  Aantal beheersdoelstellingen (controls) is gedaald van 133 naar 113  Structuur van secties - Cryptografie is uitgegroeid tot een apart hoofdstuk 10  Communicatie en operations management is verdeeld in twee secties    Operations security H12 Communication security H13 Relatie met leveranciers is nu opgenomen in een apart hoofdstuk 15
Bijlage A: nieuwe controls (#11) A.6.1.5 Information security in project management * A.12.6.2 Restriction on software installation A.14.2.1 Secure development policy A.14.2.5 Secure system engineering principles* A.14.2.6 Secure development environment A.14.2.8 System security testing A.15.1.1 Information security policy for supplier relationships A.15.1.3 Information and communication technology supply chain* A.16.1.4 Assessment of any decision on information security events A.16.1.5 Response to information security incidents A.17.2.1 Availability of information processing facilities*
Bijlage A: Verdwenen controls (1) Control from ISO27001:2005 Where they have gone? A.6.1.1 Management commitment to information security Covered by main requirements of standard - Leadership A.6.1.2 Information security co-ordination Covered by main requirements of standard A.6.1.4 Authorisation process for information processing facilities Deleted A.6.2.1 Identification of risks related to external parties Covered by main requirements of standard - Risk Assessment A.6.2.2 Addressing security when dealing with customers Covered by main requirements of standard - Risk Assessment A.8.1.1 Roles and responsibilities Covered by main requirements of standard - (5.3) A.10.2.1 Service delivery Covered by other controls (A.15.2.1) A.10.4.2 Controls against mobile code Covered by other controls (A.12.2.1) A.10.7.4 Security of system documentation Covered by main requirements of standard - Risk Assessment A.10.8.5 Business information systems Deleted A.10.9.3 Publicly available information Covered by other controls (A.14.1.2) A.10.10.2 Monitoring system use Covered by other controls (A.12.4.1) A.10.10.5 Fault logging Covered by other controls (A.12.4.1) A.11.4.2 User authentication for external conections Covered by other controls (A.9.1.2, A.9.4.2)
Bijlage A: Verdwenen controls (2) Control from ISO27001:2005 Where they have gone? A.11.4.3 Equipment identification in networks subsumed into A.13.1 A.11.4.4 Remote diagnostic and configuration port protection subsumed into A.13.1 A.11.4.6 Network connection control subsumed into A.13.1 A.11.4.7 Network routing control subsumed into A.13.1 A.11.5.5 Session time-out subsumed into A.13.1 A.11.5.6 Limitation of connection time Covered by other controls (A.9.4.2) A.11.6.2 Sensitive system isolation subsumed into A.11.2.1 & A13.1.3 A.12.2.1 Input data validation subsumed into A.14.1.1 & A.14.2.5 A.12.2.2 Control of internal processing Covered by other controls (A.14.2.5) A.12.2.3 Message integrity subsumed into A.14.1.1 & A.14.2.5 A.12.2.4 Output data validation subsumed into A.14.1.1 & A.14.2.5 A.12.5.4 Information leakage subsumed into A 13.1 & A 13.2 A.14.1.3 Developing and implementing continuity plans including information security subsumed into A17.1.2 A.14.1.4 Business continuity planning framework subsumed into A17.1.2 A.15.1.5 Provention of misuse of information processing facilities Covered by main requirements of standard - Risk Assessment A.15.3.2 Protection of information systems audit tools subsumed into 9.4
Bijlage A uit ISO 27001:2005  ISO 27001:2013 A.5 A.6 A.18 Security Policy Organization of Information Security Compliance A.17 A.7 Human Resources Security A.5 Information security Aspects of business continuity management A.16 A.14 Information Security Incident Management A.13 Security Policy A.15 Compliance Asset Management A.7 Asset Management Information Security Incident Management Human Resources Security Information Systems Acquisition, Development and Maintenance Access Control System acquisition, development and maintenance Communications and Operations Management A.11 A.12 A.14 A.8 Organization of Information Security Business Continuity Management Supplier relationship A.15 A.6 A.9 A.12 Cryptography A.10 Physical and Environmental Security Operations Security Access Control A.9 A.10 Communications Security A.13 Physical and Environmental Security A.8 A.11
Certificeringsproces voor overgang Van ISO27001:2005 naar ISO27001:2013
Aanpak Een gecertificeerd bedrijf doorloopt een “Transitie checklist” waarbij  Review van risicobeoordeling  De mapping naar de nieuwe norm  Risicobeheer Behandelplan  De eisen 'nieuwe' bijlage SL eisen zijn gedocumenteerd De assessor beoordeelt:  De transitie checklist:  Of noodzakelijke beleidsmaatregelen en procedures gedocumenteerd zijn  Het risicobehandelplan  Of de nieuwe of gewijzigde controls zijn geïmplementeerd.
Zaken om over na te denken  Review de algemene doelstellingen van uw ISMS in lijn met clausules 4.1 en 4.2  Review uw risico assessment  Review de verklaring van toepasselijkheid m.b.t. de nieuwe controls  Controleer uw ISMS documentatie voor het opnemen van nieuwe benodigde informatie  Controleer uw bestaande performances om ervoor te zorgen dat u voldoet
Vragen? Question Time
ISO 27001:2013 certificeren, implementeren en toepassen Hoe kan ik mijn organisatie het beste voorbereiden? Improving performance, reducing risk
BIV definitie Beschikbaarheid Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en informatiesystemen. Nadruk op beheerder. Integriteit Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn geautoriseerd. Nadruk op techniek.
Certificeringsproces en Wat levert certificering mij op?  Aantoonbaar in control >> vertrouwen naar de markt en cliënten en toezichthouders  Vragen of verplichtingen van toezichthouders ben je voor of kun je kun je door middel van tonen certificaat (ISO27001 of NEN7510) ontwijken. - College bescherming persoonsgegevens (CBP) - Inspectie voor de Gezondheidszorg (IGZ)  USP: nog maar weinig certificaten afgegeven  Bewustzijn van personeel zal omhoog gaan  Zwakke punten in uw informatiebeveiliging worden zichtbaar gemaakt  Minimaal jaarlijks bezoek auditor aan uw organisatie >> thematische aanpak
Ontwikkelingen ISO27001 ISO/IEC 27001 - Europe Year Country Germany Italy Netherlands Romania Spain United Kingdom Bron: www.iso.org 2006 2007 2008 2009 2010 2011 2012 1064 1432 2172 3563 4800 5289 6384 95 135 239 253 357 424 488 175 148 233 297 374 425 495 41 41 56 76 97 125 190 4 16 44 303 350 575 866 23 93 203 483 711 642 805 486 519 738 946 1157 1464 1701
Hoe ziet een certificeringsproces eruit en wat kost het? Fase 0: Nulmeting / proefaudit (optioneel) Herhalingsaudit Tussentijdse audit Fase 1: Documentatie onderzoek extra audit Fase 2: Implementatie audit Tussentijdse audit
Hoe ziet een certificeringsproces eruit en wat kost het? Fase 0: Fase 0: Nulmeting / Nulmeting / proefaudit proefaudit (optioneel) (optioneel)  Fase 1: Fase 1: Documentatie Documentatie onderzoek onderzoek  Fase 2: Fase 2: Implementatie Implementatie audit audit Nulmeting / proefaudit optioneel, maar wel betere resultaten bij vervolgstappen Documentatie onderzoek: bent u klaar voor implementatieaudit? Omvang audit (aantal dagen) afh. van:  Volwassenheid systeem  Aantal medewerkers/ locaties  Complexiteit, Aantal applicaties  In- of outsourcing Implementieaudit: wordt u aanbevolen voor certificering ja of nee? Gemiddelde organisatie van 50 fte:  Minimaal jaarlijkse terugkomdag opvolging openstaande punten •Tussentijds  Bij ernstige tekortkoming: verplichte opvolging en audit  Zie Implementatie audit  Tussentijdse audit Tussentijdse audit extra audit Herhalingsaudit •Fase 1 2 dagen •Fase 2 3 dagen (3jr) 5 dagen
Hoe ziet een certificeringsaudit eruit (fase 1)? Documentatieonderzoek • Vaststelling Verklaring van Toepasselijkheid • Risicoanalyse • Informatiebeveiligingsbeleid • Overige beleidsdocumenten en procedures • Interne en externe audits • Bepaling mate van uitbesteding • Rapportage documentatieonderzoek + aanbeveling ‘klaar voor implementatie-audit?’
Hoe ziet een certificeringsaudit eruit (fase 2)? Implementatie audit •Afwikkeling •Interviews openstaande punten rapportage documentatieonderzoek met o.a. • Verantwoordelijke voor informatiebeveiliging (management en operationeel) • IT-medewerkers • Verantwoordelijke voor fysieke beveiliging • Human Resources • Afdelingshoofden / kwaliteitsmedewerkers •Rondleiding computerruimte en afdelingen •Rapportage implementatie-audit + aanbeveling ‘certificering ja of nee?’
Hoe kan ik mij voorbereiden (als audittee) • Loop zelf een rondje door uw gebouw/ kantoor en kijk kritisch rond. • Er is al best veel geregeld bij u (inbraak, brandweer, ICT etc.) • Voer een gedegen risicoanalyse uit en kom tot een selectie van maatregelen, leg zo veel mogelijk vast en onderbouw gemaakte keuzes • Zorg dat beleidsdocumenten aanwezig en door management (zichtbaar) goedgekeurd zijn • Houd een register van meldingen en incidenten bij en rapporteer hierover • Achterhaal op welke vertrouwelijke informatie met anderen worden uitgewisseld? • Praat met andere partijen en werk samen met: • • • Uw ICT leverancier(s) Collega afdelingen, vind het wiel niet nog een keer uit! Bepaal de juiste beheersmaatregelen voor u en onderbouw uw keuze
ISMS processen (PDCA)
Het proces rondom een ISMS Maak beleid Plan Documenten Bepaal scope Bepaal besturing Maak risico analyse Selecteer controls Maak beveiligingsplan Maak controle plan Security policy Scope reikwijdte Besturing security ISMS Rapport Risico analyse SoA Beveiligingspl an Controle programma Maak Implementatie plan Check Documenten Act Documenten Metingen en rapportages Rapporteer incidenten Implementatie plan Realiseren maatregelen Metingen en rapportages Incident rapportages Interne audit Externe audit Directie beoordeling Rapport controle programma Auditrapport interne audit Auditrapport externe audit Rapport directie beoordeling Bepaal correctieve acties Documenten Implementeer maatregelen Voer controles uit Do Bepaal verbeter maatregelen Correctieve maatregelen Verbeter plannen
Verplichte ISMS procedures en beheersmaatregelen Verplichte procedures :  Beheersing van ISMS documenten   Corrigerende maatregelen •  identificeren afwijkingen, oorzaak analyse, vaststellen corrigerende maatregelen, registreren resultaten en beoordelen Preventieve maatregelen •  goedkeuren, beoordelen, wijzigen, identificeren, verspreiden, bewaren identificeren mogelijke afwijkingen, oorzaak analyse, vaststellen preventieve maatregelen, registreren resultaten en beoordelen Interne ISMS-audits • verantwoordelijkheden, eisen rapportages, bijhouden registraties  Directie beoordeling  Monitoring en beoordeling IB tekortkomingen  Continue verbetering
Kernmaatregelen ISMS  Stel beleid op t.a.v. informatiebeveiliging  Inventariseer en analyseer alle risico’s  Stel vast wie waarvoor verantwoordelijk is, benoem risico eigenaren  Zorg voor bewustwording, opleiding en training  Neem maatregelen tegen kwaadaardige programmatuur  Sluit overeenkomsten voor gegevensuitwisseling  Beveilig de toegang tot systemen  Ontwikkel en implementeer Continuiteitsbeheer  Houd rekening met intellectueel eigendom  Beveilig bedrijfsdocumenten  Bescherm persoonsgegevens  Leef beveiligingsbeleid na  Rapporteer beveiligingsincidenten
Risico Management Centraal in 27001: risicomanagement Dreiging Belang Kwetsbaarheid Risico 1) Identificeren -> 2) analyseren -> 3) maatregelen
1) Resultaat van identificatie risico’s Belang Bedreiging Gebouw Falende stroomvoorziening Gebouw Toegang niet-geautoriseerd personeel Tweede / derde lijn support Verlies van personeel Tweede / derde lijn support Gebrek aan beveiligingsbewustzijn Systeemapplicatie support Software upgrade / wijzigingen Systeemapplicatie support Foutieve softwaresystemen Systeemapplicatie support Software onvoldoende of incorrect gepatched Datahosting/database Database patientinformatie gekraakt Service delivery Misbruik account door ontevreden medewerkers
2) Resultaat van analyse risico’s “Belang” Dreiging K E R Medicijnen Foutieve medicijnen aan client 2 8 16 Medicijnen Verkeerde dosering 4 8 32 Patientenzorg Slechte overdracht van de zorg 6 6 36 Communicatie Fouten bij inplannen van zorgverleners 8 2 16 Effect 32 48 64 12 Kans  16 24 36 48 8 16 24 32 4 8 12 16
3) Resultaat van behandelen van risico’s  Risicobeheersplan;  Er zijn vier mogelijkheden voor risicobeheersing:  Het risico verminderen;  Het risico ontwijken;  Het risico doorschuiven naar derden;  Het risico accepteren.  Bij welke grenswaarde een of meer van de vier mogelijkheden in werking treedt.  Keuze van beheersmaatregelen en belang ervan (welke van de 133 zijn cruciaal).
Welke zekerheden? Welke zekerheden kunnen verkregen worden van leveranciers? Gangbare typen  Third Party audit (TPM)  Second party audit  ISAE3402 (voorheen SAS70) Essentie 1)ken je leveranciers risico’s voordat ze toegang krijgen tot vertrouwelijke informatie 2)Stel vast op welke scope zekerheid wordt verkregen
Landschap regels en normen (1) Risk management & IT Control Frameworks:  ISO/IEC 2700X – Security  NEN7510  Cobit 4.1  ISO/IEC 9001 / HKZ / NIAZ  ISO/IEC 13335  ITIL v2, v3 Veranderingen  COSO  BS25999 – BCM Cloud computing certificatie schema’s  Eurocloud Star Audit  CSA control matrix
Landschap regels en normen (2)  Industry & Regulatory requirements  Energy – NERC  Life Sciences – HIPAA  FSI – Basel III  US – Sarbanes-Oxley Data • BE – Code Lippens  Credit Card – PCI DSS  US – Patriot Act  US – Data Privacy Act  NL–WBP  EU – Data Protection Directive  EU – MiFID  NL – WCCII  NL – WGBO  NL – WBSN
Reinier van Es Business Development Manager Unit/ Department T +31 (0)652560816 E reinier.vanes@lr.org Lloyd’s Register LRQA K.P. v.d. Mandelelaan 41a, 3062 MB Rotterdam Improving performance, reducing risk Lloyd’s Register and variants of it are trading names of Lloyd’s Register Group Limited, its subsidiaries and affiliates. Copyright © Lloyd’s Register Quality Assurance Limited. 2013. A member of the Lloyd’s Register group.

Recommended

Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Ad Voets
 
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs UtrechtEric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Infosecurity2010
 
Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001
Ad Voets
 
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Ad Voets
 
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Ad Voets
 
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Ad Voets
 
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Ad Voets
 
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
Ad Voets
 

Recommended

Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Het ISO 27K certificatie project voor informatiebeveiliging - ISO 27001 - WWW...
Ad Voets
 
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs UtrechtEric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Eric Verheul, Infosecurity.nl, 3 november, Jaarbeurs Utrecht
Infosecurity2010
 
Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001Project revisie ISO27001 - ISO 27001
Project revisie ISO27001 - ISO 27001
Ad Voets
 
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Risico management ISO 9001:2015, een voorbeeld - Project revisie ISO9001 - r...
Ad Voets
 
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Transitieplan ISO 9001:2015, transitie plan - implementatie ISO9001 - implem...
Ad Voets
 
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Risico management ISO 9001:2015, HOE en tips - revisie ISO9001 - risicomanag...
Ad Voets
 
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Het certificatie project NEN7510 ISO27001 voor informatiebeveiliging - NEN 75...
Ad Voets
 
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
ISO 9001:2015, hoe en wanneer - implementatie ISO9001 2015 - implementatiepla...
Ad Voets
 
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Ad Voets
 
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
Lloyd's Register Quality Assurance Nederland
 
Continuous Integration en DevOps bij Vektis
Continuous Integration en DevOps bij VektisContinuous Integration en DevOps bij Vektis
Continuous Integration en DevOps bij Vektis
Delta-N
 
Training normkennis iso 90012015 20170707
Training normkennis iso 90012015 20170707Training normkennis iso 90012015 20170707
Training normkennis iso 90012015 20170707
Martijn Pulles
 
BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.
Ad Voets
 
Checklist NEN-ISO 55000
Checklist NEN-ISO 55000Checklist NEN-ISO 55000
Checklist NEN-ISO 55000Martine van den Boomen
 
Van OHSAS 18001 naar ISO 45001 (focus communicatie)
Van OHSAS 18001 naar ISO 45001 (focus communicatie)Van OHSAS 18001 naar ISO 45001 (focus communicatie)
Van OHSAS 18001 naar ISO 45001 (focus communicatie)
SCCM
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015Michel Noordzij
 
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
SCCM
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Stork
 
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur B.V.
 
IT-governance
IT-governanceIT-governance
IT-governancebimc
 
Kwaliteitsmanagement met toegevoegde waarde
Kwaliteitsmanagement met toegevoegde waardeKwaliteitsmanagement met toegevoegde waarde
Kwaliteitsmanagement met toegevoegde waarde
Michel Van De Beek
 
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Frank Willems
 
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
Lloyd's Register Quality Assurance Nederland
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
drs Pieter de Kok RA
 
Informatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesInformatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken Methodes
Leon Kuunders
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
Geert Henk Wijnants
 
Seminar Simplified Security
Seminar Simplified SecuritySeminar Simplified Security
Seminar Simplified Security
Getting value from IoT, Integration and Data Analytics
 
De rol van communicatie binnen OHSAS 18001
De rol van communicatie binnen OHSAS 18001De rol van communicatie binnen OHSAS 18001
De rol van communicatie binnen OHSAS 18001
SCCM
 
Linked In 4m Focus
Linked In 4m FocusLinked In 4m Focus
Linked In 4m Focus
Jinius_Martin
 
151118_IP_Brochure
151118_IP_Brochure151118_IP_Brochure
151118_IP_BrochureFloris Kessener
 

More Related Content

What's hot

Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Ad Voets
 
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
Lloyd's Register Quality Assurance Nederland
 
Continuous Integration en DevOps bij Vektis
Continuous Integration en DevOps bij VektisContinuous Integration en DevOps bij Vektis
Continuous Integration en DevOps bij Vektis
Delta-N
 
Training normkennis iso 90012015 20170707
Training normkennis iso 90012015 20170707Training normkennis iso 90012015 20170707
Training normkennis iso 90012015 20170707
Martijn Pulles
 
BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.
Ad Voets
 
Van OHSAS 18001 naar ISO 45001 (focus communicatie)
Van OHSAS 18001 naar ISO 45001 (focus communicatie)Van OHSAS 18001 naar ISO 45001 (focus communicatie)
Van OHSAS 18001 naar ISO 45001 (focus communicatie)
SCCM
 

What's hot (7)

Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
 
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
LRQA Congres 2014: Sessie ronde 1 15 mei 14:10 - 14:40 IT Security en Risk ma...
 
Continuous Integration en DevOps bij Vektis
Continuous Integration en DevOps bij VektisContinuous Integration en DevOps bij Vektis
Continuous Integration en DevOps bij Vektis
 
Training normkennis iso 90012015 20170707
Training normkennis iso 90012015 20170707Training normkennis iso 90012015 20170707
Training normkennis iso 90012015 20170707
 
BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.BIR2017 vereist? Dan een Fit Gap analyse.
BIR2017 vereist? Dan een Fit Gap analyse.
 
Checklist NEN-ISO 55000
Checklist NEN-ISO 55000Checklist NEN-ISO 55000
Checklist NEN-ISO 55000
 
Van OHSAS 18001 naar ISO 45001 (focus communicatie)
Van OHSAS 18001 naar ISO 45001 (focus communicatie)Van OHSAS 18001 naar ISO 45001 (focus communicatie)
Van OHSAS 18001 naar ISO 45001 (focus communicatie)
 

Similar to Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementatie

CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015Michel Noordzij
 
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
SCCM
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Stork
 
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur B.V.
 
IT-governance
IT-governanceIT-governance
IT-governancebimc
 
Kwaliteitsmanagement met toegevoegde waarde
Kwaliteitsmanagement met toegevoegde waardeKwaliteitsmanagement met toegevoegde waarde
Kwaliteitsmanagement met toegevoegde waarde
Michel Van De Beek
 
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Frank Willems
 
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
Lloyd's Register Quality Assurance Nederland
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
drs Pieter de Kok RA
 
Informatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesInformatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken Methodes
Leon Kuunders
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
Geert Henk Wijnants
 
Seminar Simplified Security
Seminar Simplified SecuritySeminar Simplified Security
Seminar Simplified Security
Getting value from IoT, Integration and Data Analytics
 
De rol van communicatie binnen OHSAS 18001
De rol van communicatie binnen OHSAS 18001De rol van communicatie binnen OHSAS 18001
De rol van communicatie binnen OHSAS 18001
SCCM
 
Linked In 4m Focus
Linked In 4m FocusLinked In 4m Focus
Linked In 4m Focus
Jinius_Martin
 
151118_IP_Brochure
151118_IP_Brochure151118_IP_Brochure
151118_IP_BrochureJan Nieboer
 
Savacco op bezoek
Savacco op bezoekSavacco op bezoek
Savacco op bezoek
CVO Hitek vzw (Kortrijk)
 
Oplossing zakelijke dienstverlening
Oplossing zakelijke dienstverleningOplossing zakelijke dienstverlening
Oplossing zakelijke dienstverlening
Evelien Verkade
 
Oplossing Verpleging, Verzorging, Thuiszorg
Oplossing Verpleging, Verzorging, ThuiszorgOplossing Verpleging, Verzorging, Thuiszorg
Oplossing Verpleging, Verzorging, Thuiszorg
Evelien Verkade
 

Similar to Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementatie (20)

CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015
 
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
Webinar Herziening ISO 14001-norm | DIS-versie - 25 september 2014
 
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
Webinar - EAM /Reliability & Integrity Software selectie - 15 juli 2020
 
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
 
IT-governance
IT-governanceIT-governance
IT-governance
 
Kwaliteitsmanagement met toegevoegde waarde
Kwaliteitsmanagement met toegevoegde waardeKwaliteitsmanagement met toegevoegde waarde
Kwaliteitsmanagement met toegevoegde waarde
 
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
Masterclass Innovatie in de zorg; hoe realiseer je een innovatieklimaat met IT?
 
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
LRQA Congres 2014: sessie 3 15 mei en 19 juni 14:10 - 14:40 Integratie manage...
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
 
Informatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken MethodesInformatiebeveiliging: Modellen Raamwerken Methodes
Informatiebeveiliging: Modellen Raamwerken Methodes
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
 
Seminar Simplified Security
Seminar Simplified SecuritySeminar Simplified Security
Seminar Simplified Security
 
De rol van communicatie binnen OHSAS 18001
De rol van communicatie binnen OHSAS 18001De rol van communicatie binnen OHSAS 18001
De rol van communicatie binnen OHSAS 18001
 
Linked In 4m Focus
Linked In 4m FocusLinked In 4m Focus
Linked In 4m Focus
 
151118_IP_Brochure
151118_IP_Brochure151118_IP_Brochure
151118_IP_Brochure
 
151118_IP_Brochure
151118_IP_Brochure151118_IP_Brochure
151118_IP_Brochure
 
Portfolio ict portfolio 2012
Portfolio ict portfolio 2012Portfolio ict portfolio 2012
Portfolio ict portfolio 2012
 
Savacco op bezoek
Savacco op bezoekSavacco op bezoek
Savacco op bezoek
 
Oplossing zakelijke dienstverlening
Oplossing zakelijke dienstverleningOplossing zakelijke dienstverlening
Oplossing zakelijke dienstverlening
 
Oplossing Verpleging, Verzorging, Thuiszorg
Oplossing Verpleging, Verzorging, ThuiszorgOplossing Verpleging, Verzorging, Thuiszorg
Oplossing Verpleging, Verzorging, Thuiszorg
 

More from Lloyd's Register Quality Assurance Nederland

LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...
LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...
LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...
Lloyd's Register Quality Assurance Nederland
 
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
Lloyd's Register Quality Assurance Nederland
 
LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...
LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...
LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...
Lloyd's Register Quality Assurance Nederland
 
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...
Lloyd's Register Quality Assurance Nederland
 
LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...
LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...
LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...
Lloyd's Register Quality Assurance Nederland
 
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...
Lloyd's Register Quality Assurance Nederland
 
LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...
LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...
LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...
Lloyd's Register Quality Assurance Nederland
 
ISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
ISO/IEC 27001:2005 naar ISO 27001:2013 ChecklistISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
ISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
Lloyd's Register Quality Assurance Nederland
 
Webinar nieuwe MVO prestatieladder
Webinar nieuwe MVO prestatieladder Webinar nieuwe MVO prestatieladder
Webinar nieuwe MVO prestatieladder
Lloyd's Register Quality Assurance Nederland
 
Betrouwbare Food certificatie - artikel in VMT van april 2014
Betrouwbare Food certificatie - artikel in VMT van april 2014Betrouwbare Food certificatie - artikel in VMT van april 2014
Betrouwbare Food certificatie - artikel in VMT van april 2014
Lloyd's Register Quality Assurance Nederland
 
Webinar ISO 50001 Energiemanagement
Webinar ISO 50001 Energiemanagement Webinar ISO 50001 Energiemanagement
Webinar ISO 50001 Energiemanagement
Lloyd's Register Quality Assurance Nederland
 
Webinar duurzaamheidsverslaggeving GRI en G4
Webinar duurzaamheidsverslaggeving GRI en G4Webinar duurzaamheidsverslaggeving GRI en G4
Webinar duurzaamheidsverslaggeving GRI en G4
Lloyd's Register Quality Assurance Nederland
 
Webinar mvo en aantrekkelijk werkgeverschap.
Webinar mvo en aantrekkelijk werkgeverschap.Webinar mvo en aantrekkelijk werkgeverschap.
Webinar mvo en aantrekkelijk werkgeverschap.
Lloyd's Register Quality Assurance Nederland
 

More from Lloyd's Register Quality Assurance Nederland (15)

LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...
LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...
LRQA congres 2014: 19 juni 16:15 - 16:45 Circle lines een nieuwe duurzame log...
 
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
 
LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...
LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...
LRQA Congres 2014: Sessie ronde 1 15 mei en 19 juni Verduurzaming van de kete...
 
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie 4 Kwaliteitsborging...
 
LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...
LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...
LRQA Congres 2014: 15 mei en 19 juni 13:10 -13:35 De keten ontketent? Trend...
 
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...
LRQA Congres 2014: 15 mei en 19 juni 14:10 - 14:40 Sessie ronde 1 MVO en verd...
 
LRQA Congres 2014: Sessie 2 15 mei en 19 juni 14:10: 14:40
LRQA Congres 2014: Sessie 2 15 mei en 19 juni 14:10: 14:40 LRQA Congres 2014: Sessie 2 15 mei en 19 juni 14:10: 14:40
LRQA Congres 2014: Sessie 2 15 mei en 19 juni 14:10: 14:40
 
LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...
LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...
LRQA Congres 2014: Praktijkcase: 19 juni 16:10 - 16:45 Herman Journee, sticht...
 
Artikel iso 14001 2015 fdk tijdschrift milieu maart 2014
Artikel iso 14001 2015 fdk tijdschrift milieu maart 2014Artikel iso 14001 2015 fdk tijdschrift milieu maart 2014
Artikel iso 14001 2015 fdk tijdschrift milieu maart 2014
 
ISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
ISO/IEC 27001:2005 naar ISO 27001:2013 ChecklistISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
ISO/IEC 27001:2005 naar ISO 27001:2013 Checklist
 
Webinar nieuwe MVO prestatieladder
Webinar nieuwe MVO prestatieladder Webinar nieuwe MVO prestatieladder
Webinar nieuwe MVO prestatieladder
 
Betrouwbare Food certificatie - artikel in VMT van april 2014
Betrouwbare Food certificatie - artikel in VMT van april 2014Betrouwbare Food certificatie - artikel in VMT van april 2014
Betrouwbare Food certificatie - artikel in VMT van april 2014
 
Webinar ISO 50001 Energiemanagement
Webinar ISO 50001 Energiemanagement Webinar ISO 50001 Energiemanagement
Webinar ISO 50001 Energiemanagement
 
Webinar duurzaamheidsverslaggeving GRI en G4
Webinar duurzaamheidsverslaggeving GRI en G4Webinar duurzaamheidsverslaggeving GRI en G4
Webinar duurzaamheidsverslaggeving GRI en G4
 
Webinar mvo en aantrekkelijk werkgeverschap.
Webinar mvo en aantrekkelijk werkgeverschap.Webinar mvo en aantrekkelijk werkgeverschap.
Webinar mvo en aantrekkelijk werkgeverschap.
 

Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementatie

  • 1. De ISO 27001 - 2 Veranderingen En wat is de werkelijke impact ? Improving performance, reducing risk
  • 2. Agenda • Introductie • Verandering ISO 27001:2013 • ISMS certificeringsproces • ISMS opzetten • Risicomanagement • Contracten leveranciers / marktstandaarden
  • 3. Introductie Naam: Reinier van Es Functie: Business Development & Project Manager, Ervaring:  Bank (IT Audit Management & Risk Info Management)  Management Consultant GRC (IDS Scheer (nu onderdeel Software AG)  Kwaliteits -, IT auditor, adviseur, trainer
  • 4. Introductie Naam: ir. Marco Bom, CISSP Functie: Lead assessor ISMS/ QMS Ervaring:  Vanaf 2010 lead assessor ISMS / QMS bij LRQA (specialisme ICT) toetsing van ca. 25 ISMS organisaties  Vanaf 2006 oprichter/ eigenaar van Audit orde BV, adviesbureau voor informatiebeveiliging, kwaliteit- en risicomanagement  1998 – 2006 Senior consultant Getronics / PinkRoccade klanten: KPN, ING, Rabobank, UWV, Robeco, Randstad HR en PinkRoccade
  • 5. Introductie LRQA Global België Nederland 250 miljoen 4,3 miljoen euro 25,6 miljoen euro 2200 medewerkers 25 medewerkers 150 medewerkers 1200 freelancers 10 freelancers 100 freelancers en experts 30 accreditations Belac, IRCA plus RvA, IRCA plus NPS 34 NPS 30 NPS 14 45.000 klanten 1550 klanten 6500 klanten
  • 6. Hoofd activiteiten LRQA Certificatie, Training, Onderzoek, Verificatie, Supply Chain audits, Gap Analyses in vele markten Certiked Certificatie van kennis intensieve organisaties Cedeo Erkenning van trainingen, opleidingen en andere HR diensten CPION Toetsing, registratie en diplomering van post-initiële opleidingen Certiked VBI Accreditatie van Master en Bachelor opleidingen
  • 10. ISO 27001:2013 Aanpassingen Wat is de werkelijke impact ? Improving performance, reducing risk
  • 11. Doelgroep van de sessie Het doel van dit Webinar is om inzicht te geven aan de veranderingen in de ISO 27001 , waarbij het niet uitmaakt of  U al ISO 27001 gecertificeerd bent en graag impact wilt weten;  U denkt erover na voor het verkrijgen van een ISO 27001 certificaat.
  • 12. Doelstelling Tegen het einde van de sessie moet bent u op de hoogte van:  het doel van Annex SL (High Level Structure) en haar rol in het toekomstige beheer systemen  de wijzigingen en impact van de ISO 27001 norm op bestaande systemen  het certificeringsproces voor de overgang
  • 13. Huidige ISMS familie • ISO 27000:- Overview and vocabulary • ISO 27001:- Information security management systems - Requirements • ISO 27002:- Code of practice for information security management • ISO 27003:- Information security management systems - Implementation guidance • ISO 27004:- Information security management - Measurement • ISO 27005:- Standard for information security risk management • ISO 27006:- Requirements for certification bodies Andere richtlijnen: • ISO 27013:- Guidance on the integrated implementation of ISO 27001 and ISO 20000-1 • ISO 27014:- Governance of information security • ISO 27015:- Guidelines for the financial services • NEN7510:2011: Informatiebeveiliging in de zorg
  • 14. Waarom Annex SL / High level structuur (voorheen ISO Guide 83)  Vanwege recente ontwikkelen hebben organisaties verschillende management systemen en standaarden geïmplementeerd en gecertifieerd  Deze verschillende management systemen (normen):    gemeenschappelijke eisen (Internal Audit, Management Review enz.) eigen termen en definities Dit veroorzaakt verwarring, inconsistente interpretatie en uitvoering Annex SL beschrijft het kader voor een generiek systeem • In de toekomst hebben alle ISO managementsystemen dezelfde look en feel • Dit zou het einde kunnen betekenen van verwarring, verspilling en misverstanden veroorzaakt door het werken met verschillende Management Systemen.
  • 15. Kader van Annex SL The major clause numbers and titles of all management system standards will be identical. They are: Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Context of the organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance evaluation 10. Improvement
  • 16. 4. Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system Op het eerste gezicht lijkt dit een grote verandering, in de praktijk valt dit mee. • Wat zijn de overwegingen van de organisatie om überhaupt een management systeem te implementeren. • De organisatie moet bepalen wat relevante kwesties zijn (zowel binnen als buiten), welke impact er is en wat het probeert te bereiken (outcome) • Ook, wie de belanghebbende partijen zijn (stakeholders) en wat zijn hun behoeften zijn. => Centraal: de toegevoegde waarde (opbrengsten) van het ISMS
  • 17. 5. Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organization roles responsibilities and authorities Nauwelijks verandering Management betrokkenheid, voorbeeld gedrag en leiderschap.
  • 18. 6. Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them Grote verandering • Dit grijpt terug op 4.1 en 4.2 • Er is noodzaak om alle risico eigenaren te identificeren • Risico’s moeten geassocieerd zijn met verlies van BIV (beschikbaarheid, integriteit, vertrouwelijkheid). • Assessment gericht op informatiebeveiligingsrisico’s. Dit proces vastgelegd in lijn met het gedachtengoed van de ISO31000 risicomanagement
  • 19. 6. planning (ISO 31000 risicomanagement)
  • 20. 7. Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 7.5.1 General 7.5.2 Creating and updating 7.5.3 Control of documented information Kleine verandering • Interne en externe communicatie – nieuw (maar afkomstig van de ISO9001) • Eisen rondom omgang en controle van gedocumenteerde informatie • Wordt 16x genoemd in de norm
  • 21. 8. operation 8.1 Operational planning and control – emphasis on outsourcing. 8.2 Information security risk assessment - Implementation 8.3 Information security risk treatment - Implementation Grote verandering • het managen van de gevonden risico’s en de maatregelen om de risico’s te mitigeren. • Verschil met H6: daar vinden van risico’s, nu omgaan met risico’s
  • 22. 9. performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review Kleine verandering maar alle ISMS controles vallen onder 9.1. Duidelijk maken: • wat moet worden gecontroleerd en gemeten • methoden • wanneer het wordt uitgevoerd • wie zal meten en bewaken • wanneer de resultaten worden geanalyseerd en geëvalueerd • wie analyseert en beoordeelt deze resultaten
  • 23. 10. improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Geen verandering
  • 24. Wijzigingen in Bijlage A (Annex A - normative)  Aantal secties is gestegen van 11 tot 14  Aantal beheersdoelstellingen (controls) is gedaald van 133 naar 113  Structuur van secties - Cryptografie is uitgegroeid tot een apart hoofdstuk 10  Communicatie en operations management is verdeeld in twee secties    Operations security H12 Communication security H13 Relatie met leveranciers is nu opgenomen in een apart hoofdstuk 15
  • 25. Bijlage A: nieuwe controls (#11) A.6.1.5 Information security in project management * A.12.6.2 Restriction on software installation A.14.2.1 Secure development policy A.14.2.5 Secure system engineering principles* A.14.2.6 Secure development environment A.14.2.8 System security testing A.15.1.1 Information security policy for supplier relationships A.15.1.3 Information and communication technology supply chain* A.16.1.4 Assessment of any decision on information security events A.16.1.5 Response to information security incidents A.17.2.1 Availability of information processing facilities*
  • 26. Bijlage A: Verdwenen controls (1) Control from ISO27001:2005 Where they have gone? A.6.1.1 Management commitment to information security Covered by main requirements of standard - Leadership A.6.1.2 Information security co-ordination Covered by main requirements of standard A.6.1.4 Authorisation process for information processing facilities Deleted A.6.2.1 Identification of risks related to external parties Covered by main requirements of standard - Risk Assessment A.6.2.2 Addressing security when dealing with customers Covered by main requirements of standard - Risk Assessment A.8.1.1 Roles and responsibilities Covered by main requirements of standard - (5.3) A.10.2.1 Service delivery Covered by other controls (A.15.2.1) A.10.4.2 Controls against mobile code Covered by other controls (A.12.2.1) A.10.7.4 Security of system documentation Covered by main requirements of standard - Risk Assessment A.10.8.5 Business information systems Deleted A.10.9.3 Publicly available information Covered by other controls (A.14.1.2) A.10.10.2 Monitoring system use Covered by other controls (A.12.4.1) A.10.10.5 Fault logging Covered by other controls (A.12.4.1) A.11.4.2 User authentication for external conections Covered by other controls (A.9.1.2, A.9.4.2)
  • 27. Bijlage A: Verdwenen controls (2) Control from ISO27001:2005 Where they have gone? A.11.4.3 Equipment identification in networks subsumed into A.13.1 A.11.4.4 Remote diagnostic and configuration port protection subsumed into A.13.1 A.11.4.6 Network connection control subsumed into A.13.1 A.11.4.7 Network routing control subsumed into A.13.1 A.11.5.5 Session time-out subsumed into A.13.1 A.11.5.6 Limitation of connection time Covered by other controls (A.9.4.2) A.11.6.2 Sensitive system isolation subsumed into A.11.2.1 & A13.1.3 A.12.2.1 Input data validation subsumed into A.14.1.1 & A.14.2.5 A.12.2.2 Control of internal processing Covered by other controls (A.14.2.5) A.12.2.3 Message integrity subsumed into A.14.1.1 & A.14.2.5 A.12.2.4 Output data validation subsumed into A.14.1.1 & A.14.2.5 A.12.5.4 Information leakage subsumed into A 13.1 & A 13.2 A.14.1.3 Developing and implementing continuity plans including information security subsumed into A17.1.2 A.14.1.4 Business continuity planning framework subsumed into A17.1.2 A.15.1.5 Provention of misuse of information processing facilities Covered by main requirements of standard - Risk Assessment A.15.3.2 Protection of information systems audit tools subsumed into 9.4
  • 28. Bijlage A uit ISO 27001:2005  ISO 27001:2013 A.5 A.6 A.18 Security Policy Organization of Information Security Compliance A.17 A.7 Human Resources Security A.5 Information security Aspects of business continuity management A.16 A.14 Information Security Incident Management A.13 Security Policy A.15 Compliance Asset Management A.7 Asset Management Information Security Incident Management Human Resources Security Information Systems Acquisition, Development and Maintenance Access Control System acquisition, development and maintenance Communications and Operations Management A.11 A.12 A.14 A.8 Organization of Information Security Business Continuity Management Supplier relationship A.15 A.6 A.9 A.12 Cryptography A.10 Physical and Environmental Security Operations Security Access Control A.9 A.10 Communications Security A.13 Physical and Environmental Security A.8 A.11
  • 29. Certificeringsproces voor overgang Van ISO27001:2005 naar ISO27001:2013
  • 30. Aanpak Een gecertificeerd bedrijf doorloopt een “Transitie checklist” waarbij  Review van risicobeoordeling  De mapping naar de nieuwe norm  Risicobeheer Behandelplan  De eisen 'nieuwe' bijlage SL eisen zijn gedocumenteerd De assessor beoordeelt:  De transitie checklist:  Of noodzakelijke beleidsmaatregelen en procedures gedocumenteerd zijn  Het risicobehandelplan  Of de nieuwe of gewijzigde controls zijn geïmplementeerd.
  • 31. Zaken om over na te denken  Review de algemene doelstellingen van uw ISMS in lijn met clausules 4.1 en 4.2  Review uw risico assessment  Review de verklaring van toepasselijkheid m.b.t. de nieuwe controls  Controleer uw ISMS documentatie voor het opnemen van nieuwe benodigde informatie  Controleer uw bestaande performances om ervoor te zorgen dat u voldoet
  • 33. ISO 27001:2013 certificeren, implementeren en toepassen Hoe kan ik mijn organisatie het beste voorbereiden? Improving performance, reducing risk
  • 34. BIV definitie Beschikbaarheid Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en informatiesystemen. Nadruk op beheerder. Integriteit Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn geautoriseerd. Nadruk op techniek.
  • 35. Certificeringsproces en Wat levert certificering mij op?  Aantoonbaar in control >> vertrouwen naar de markt en cliënten en toezichthouders  Vragen of verplichtingen van toezichthouders ben je voor of kun je kun je door middel van tonen certificaat (ISO27001 of NEN7510) ontwijken. - College bescherming persoonsgegevens (CBP) - Inspectie voor de Gezondheidszorg (IGZ)  USP: nog maar weinig certificaten afgegeven  Bewustzijn van personeel zal omhoog gaan  Zwakke punten in uw informatiebeveiliging worden zichtbaar gemaakt  Minimaal jaarlijks bezoek auditor aan uw organisatie >> thematische aanpak
  • 36. Ontwikkelingen ISO27001 ISO/IEC 27001 - Europe Year Country Germany Italy Netherlands Romania Spain United Kingdom Bron: www.iso.org 2006 2007 2008 2009 2010 2011 2012 1064 1432 2172 3563 4800 5289 6384 95 135 239 253 357 424 488 175 148 233 297 374 425 495 41 41 56 76 97 125 190 4 16 44 303 350 575 866 23 93 203 483 711 642 805 486 519 738 946 1157 1464 1701
  • 37. Hoe ziet een certificeringsproces eruit en wat kost het? Fase 0: Nulmeting / proefaudit (optioneel) Herhalingsaudit Tussentijdse audit Fase 1: Documentatie onderzoek extra audit Fase 2: Implementatie audit Tussentijdse audit
  • 38. Hoe ziet een certificeringsproces eruit en wat kost het? Fase 0: Fase 0: Nulmeting / Nulmeting / proefaudit proefaudit (optioneel) (optioneel)  Fase 1: Fase 1: Documentatie Documentatie onderzoek onderzoek  Fase 2: Fase 2: Implementatie Implementatie audit audit Nulmeting / proefaudit optioneel, maar wel betere resultaten bij vervolgstappen Documentatie onderzoek: bent u klaar voor implementatieaudit? Omvang audit (aantal dagen) afh. van:  Volwassenheid systeem  Aantal medewerkers/ locaties  Complexiteit, Aantal applicaties  In- of outsourcing Implementieaudit: wordt u aanbevolen voor certificering ja of nee? Gemiddelde organisatie van 50 fte:  Minimaal jaarlijkse terugkomdag opvolging openstaande punten •Tussentijds  Bij ernstige tekortkoming: verplichte opvolging en audit  Zie Implementatie audit  Tussentijdse audit Tussentijdse audit extra audit Herhalingsaudit •Fase 1 2 dagen •Fase 2 3 dagen (3jr) 5 dagen
  • 39. Hoe ziet een certificeringsaudit eruit (fase 1)? Documentatieonderzoek • Vaststelling Verklaring van Toepasselijkheid • Risicoanalyse • Informatiebeveiligingsbeleid • Overige beleidsdocumenten en procedures • Interne en externe audits • Bepaling mate van uitbesteding • Rapportage documentatieonderzoek + aanbeveling ‘klaar voor implementatie-audit?’
  • 40. Hoe ziet een certificeringsaudit eruit (fase 2)? Implementatie audit •Afwikkeling •Interviews openstaande punten rapportage documentatieonderzoek met o.a. • Verantwoordelijke voor informatiebeveiliging (management en operationeel) • IT-medewerkers • Verantwoordelijke voor fysieke beveiliging • Human Resources • Afdelingshoofden / kwaliteitsmedewerkers •Rondleiding computerruimte en afdelingen •Rapportage implementatie-audit + aanbeveling ‘certificering ja of nee?’
  • 41. Hoe kan ik mij voorbereiden (als audittee) • Loop zelf een rondje door uw gebouw/ kantoor en kijk kritisch rond. • Er is al best veel geregeld bij u (inbraak, brandweer, ICT etc.) • Voer een gedegen risicoanalyse uit en kom tot een selectie van maatregelen, leg zo veel mogelijk vast en onderbouw gemaakte keuzes • Zorg dat beleidsdocumenten aanwezig en door management (zichtbaar) goedgekeurd zijn • Houd een register van meldingen en incidenten bij en rapporteer hierover • Achterhaal op welke vertrouwelijke informatie met anderen worden uitgewisseld? • Praat met andere partijen en werk samen met: • • • Uw ICT leverancier(s) Collega afdelingen, vind het wiel niet nog een keer uit! Bepaal de juiste beheersmaatregelen voor u en onderbouw uw keuze
  • 43. Het proces rondom een ISMS Maak beleid Plan Documenten Bepaal scope Bepaal besturing Maak risico analyse Selecteer controls Maak beveiligingsplan Maak controle plan Security policy Scope reikwijdte Besturing security ISMS Rapport Risico analyse SoA Beveiligingspl an Controle programma Maak Implementatie plan Check Documenten Act Documenten Metingen en rapportages Rapporteer incidenten Implementatie plan Realiseren maatregelen Metingen en rapportages Incident rapportages Interne audit Externe audit Directie beoordeling Rapport controle programma Auditrapport interne audit Auditrapport externe audit Rapport directie beoordeling Bepaal correctieve acties Documenten Implementeer maatregelen Voer controles uit Do Bepaal verbeter maatregelen Correctieve maatregelen Verbeter plannen
  • 44. Verplichte ISMS procedures en beheersmaatregelen Verplichte procedures :  Beheersing van ISMS documenten   Corrigerende maatregelen •  identificeren afwijkingen, oorzaak analyse, vaststellen corrigerende maatregelen, registreren resultaten en beoordelen Preventieve maatregelen •  goedkeuren, beoordelen, wijzigen, identificeren, verspreiden, bewaren identificeren mogelijke afwijkingen, oorzaak analyse, vaststellen preventieve maatregelen, registreren resultaten en beoordelen Interne ISMS-audits • verantwoordelijkheden, eisen rapportages, bijhouden registraties  Directie beoordeling  Monitoring en beoordeling IB tekortkomingen  Continue verbetering
  • 45. Kernmaatregelen ISMS  Stel beleid op t.a.v. informatiebeveiliging  Inventariseer en analyseer alle risico’s  Stel vast wie waarvoor verantwoordelijk is, benoem risico eigenaren  Zorg voor bewustwording, opleiding en training  Neem maatregelen tegen kwaadaardige programmatuur  Sluit overeenkomsten voor gegevensuitwisseling  Beveilig de toegang tot systemen  Ontwikkel en implementeer Continuiteitsbeheer  Houd rekening met intellectueel eigendom  Beveilig bedrijfsdocumenten  Bescherm persoonsgegevens  Leef beveiligingsbeleid na  Rapporteer beveiligingsincidenten
  • 46. Risico Management Centraal in 27001: risicomanagement Dreiging Belang Kwetsbaarheid Risico 1) Identificeren -> 2) analyseren -> 3) maatregelen
  • 47. 1) Resultaat van identificatie risico’s Belang Bedreiging Gebouw Falende stroomvoorziening Gebouw Toegang niet-geautoriseerd personeel Tweede / derde lijn support Verlies van personeel Tweede / derde lijn support Gebrek aan beveiligingsbewustzijn Systeemapplicatie support Software upgrade / wijzigingen Systeemapplicatie support Foutieve softwaresystemen Systeemapplicatie support Software onvoldoende of incorrect gepatched Datahosting/database Database patientinformatie gekraakt Service delivery Misbruik account door ontevreden medewerkers
  • 48. 2) Resultaat van analyse risico’s “Belang” Dreiging K E R Medicijnen Foutieve medicijnen aan client 2 8 16 Medicijnen Verkeerde dosering 4 8 32 Patientenzorg Slechte overdracht van de zorg 6 6 36 Communicatie Fouten bij inplannen van zorgverleners 8 2 16 Effect 32 48 64 12 Kans  16 24 36 48 8 16 24 32 4 8 12 16
  • 49. 3) Resultaat van behandelen van risico’s  Risicobeheersplan;  Er zijn vier mogelijkheden voor risicobeheersing:  Het risico verminderen;  Het risico ontwijken;  Het risico doorschuiven naar derden;  Het risico accepteren.  Bij welke grenswaarde een of meer van de vier mogelijkheden in werking treedt.  Keuze van beheersmaatregelen en belang ervan (welke van de 133 zijn cruciaal).
  • 50. Welke zekerheden? Welke zekerheden kunnen verkregen worden van leveranciers? Gangbare typen  Third Party audit (TPM)  Second party audit  ISAE3402 (voorheen SAS70) Essentie 1)ken je leveranciers risico’s voordat ze toegang krijgen tot vertrouwelijke informatie 2)Stel vast op welke scope zekerheid wordt verkregen
  • 51. Landschap regels en normen (1) Risk management & IT Control Frameworks:  ISO/IEC 2700X – Security  NEN7510  Cobit 4.1  ISO/IEC 9001 / HKZ / NIAZ  ISO/IEC 13335  ITIL v2, v3 Veranderingen  COSO  BS25999 – BCM Cloud computing certificatie schema’s  Eurocloud Star Audit  CSA control matrix
  • 52. Landschap regels en normen (2)  Industry & Regulatory requirements  Energy – NERC  Life Sciences – HIPAA  FSI – Basel III  US – Sarbanes-Oxley Data • BE – Code Lippens  Credit Card – PCI DSS  US – Patriot Act  US – Data Privacy Act  NL–WBP  EU – Data Protection Directive  EU – MiFID  NL – WCCII  NL – WGBO  NL – WBSN
  • 53. Reinier van Es Business Development Manager Unit/ Department T +31 (0)652560816 E reinier.vanes@lr.org Lloyd’s Register LRQA K.P. v.d. Mandelelaan 41a, 3062 MB Rotterdam Improving performance, reducing risk Lloyd’s Register and variants of it are trading names of Lloyd’s Register Group Limited, its subsidiaries and affiliates. Copyright © Lloyd’s Register Quality Assurance Limited. 2013. A member of the Lloyd’s Register group.