Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
De ISO-normen voor informatiebeveiliging worden gewijzigd. De nieuwe benadering stelt het risicoprofiel voor informatiebeveiliging meer centraal, samen met de keuzes die het management van een organisatie kan en mag maken voor het wel of niet accepteren van bedrijfsrisico’s. Hierdoor kan een organisatie ISO 27001-gecertificeerd worden, zonder dat er ook maatregelen moeten worden ingevoerd, die voor de organisatie in feite overbodig zijn. In theorie was een lean and mean aanpak conform de ISO 27001 wel mogelijk. In de praktijk echter speelden adviseurs en auditors liever op safe en werden de controls uit ISO 27002 vaak toch verplicht gesteld, hoewel dit strikt genomen niet werd voorgeschreven. In het artikel ’Revisie ISO 27001 en ISO 27002′ leest u meer over de nieuwe opzet voor ISO 2700X.
In onze oorspronkelijke benadering stond ISO 27001 voor de bureaucratische compliance aanpak en ISO 27002 voor de pragmatische risk-driven benadering. In de nieuwe invulling van ISO 2700X is onze pragmatische benadering ook bruikbaar voor de invulling van uw informatiebeveiliging conform de ISO 27001-norm. Onze cursus zal zich in het vervolg ook richten op ISO 27001-certificatie.
Hieronder meer over onze huidige benadering:
1. Informatiebeveiliging is risicomanagement
Het spreekt vanzelf dat bij ministeries en banken informatiebeveiliging topprioriteit heeft. De meeste organisaties echter delen kennis en informatie met interne en externe partijen en informatiebeveiliging is dan een aandachtspunt voor en behoort tot het takenpakket van een ICT-manager, een stafmedewerker of een ICT-beheerder. Doelstelling is in dat geval meestal dat de kosten van preventie in balans zijn met de hoogte van de schade die door incidenten kan worden veroorzaakt en dat de te nemen maatregelen niet ten koste gaan van de efficiency van de bedrijfsvoering. Organisaties waarvoor dit geldt, hebben doorgaans geen behoefte aan gespecialiseerde en gecertificeerde informatiebeveiligers, maar meer aan een pragmatisch ingestelde functionaris, die de risico’s bepaalt en hierop passende maatregelen definieert. 100% beveiliging is tenslotte niet mogelijk en in de meeste gevallen ook niet gewenst. (Zie ook ‘Kosten en baten van beveiliging’.)
Helaas staan veel beveiligers op het standpunt dat je moet beveiligen wat je kunt beveiligen. Vaak zwaaien ze dan met de ISO 27001-norm en voegen hier de controls uit ISO 27002 aan toe als verplichting. Maar gelukkig is dat niet nodig. Het bepalen van een risicoprofiel is de basis en vervolgens moeten alleen die maatregelen worden getroffen, die op grond van dit risicoprofiel zinvol zijn. En wat de risico’s zijn en wat zinvolle maatregelen bepaalt niet de beveiliger of de auditor, maar de directie van de organisatie. Het geheel van maatregelen moet verder worden geïmplementeerd als een proces inclusief besturing en een ingebakken verbetercyclus. Dit kan echter op een heel pragmatische wijze. (Zie ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.)
In de nieuwe versies van ISO 27001 en 27002, die in 2013 zullen worden ingevoerd, wordt duidelijker dan voorheen tot uitdrukking gebracht dat dit de juiste aanpak is. (Zie ook ‘Revisie ISO 27001 en ISO 27002’.)
1.1 ISO 27002 is een geschikte standaard
In de cursus ‘Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ nemen we ISO 27002 als uitgangspunt. Dat voorkomt dat organisaties allemaal zelf het wiel moeten gaan uitvinden of anders met een onevenwichtige beveiliging worden opgezadeld. Hieraan voegen we toe de systeemelementen van ISO 27001, dat zijn de risico-inventarisatie, de procesbesturing (het ISMS) en de verbetercyclus. Deze aanpak ondervangt awareness-problematiek en voorkomt weerstanden en maakt dat er een werkend geheel ontstaat in plaats van een papieren tijger.
Omdat de nieuwe versie van NEN 7510 gelijkgetrokken wordt met ISO 27001 en 27002, zullen we in de verdere beschrijving van de cursus steeds spreken over ISO 2700X. Tijdens de cursus besteden we uiteraard wel aandacht aan de specifieke aspecten van NEN 7510 (met name aan privacy en het verkrijgen van toegang).
Juist in middelgrote organisaties worden wel maatregelen getroffen, maar schort het vaak aan balans en inbedding.
De kern van ISO 2700X:
- Er is balans tussen bedrijfsuitgangspunten, risico’s en best practices, waardoor per bedrijf een basisbeveiligingsniveau gedefinieerd kan worden.
- Er is sprake is van een systeem (beleid, planning, uitvoering en control) en niet van een willekeurige set van projecten en maatregelen.
Kortom, met ISO 2700x kan onder meer het conflict tussen vertrouwelijkheid en kennisdelen in dienstverlenende organisaties op een nette manier worden opgelost, evenals het probleem van ontbrekende awareness. Van deze cursus Informatiebeveiliging profiteert dus niet alleen de cursist zelf, maar vooral ook zijn of haar organisatie kan er haar voordeel mee doen.
2. Werkwijze
Tijdens de cursus Informatiebeveiliging leert de cursist genoemde kernpunten in te vullen voor zijn/ haar organisatie, op basis van de beleidsuitgangspunten (het opstellen van beleidsuitgangspunten wordt behandeld en geoefend tijdens de cursus), de reeds getroffen maatregelen en de bedrijfsrisico’s van zijn/ haar organisatie. We reiken hiervoor sjablonen uit, waarmee het bepalen van een informatiebeveiligingsbeleid en het vaststellen van een passend basisbeveiligingsniveau grotendeels invuloefeningen worden en waardoor nauw aangesloten kan worden bij de reeds bestaande situatie. Ook dit laatste voorkomt problemen als het ontbreken van awareness en commitment.
Door de in de cursus gepresenteerde werkwijze, hoeft de opzet van informatiebeveiliging niet langer een complex en langdurig project te zijn. Het kan eenvoudig worden ondergebracht in het takenpakket van één of meerdere functionarissen.
Tijdens de cursus worden geen ingewikkelde verhalen gehouden over wat er in theorie allemaal fout kan gaan. We zetten een kader neer, oefenen het toepassen van de sjablonen in de praktijk en bespreken een groot aantal praktijkvoorbeelden. Ook gaan we in op actuele issues zoals de Wet Bescherming Persoonsgegevens, Business Continuity en het Jericho principe voor organisaties, waar kennisdeling een must is en dus de klassieke ‘fortbenadering’ niet werkt. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.)
3. Programma
Dag 1:
- Introductie
- Uiteenzetting van informatiebeveiliging conform ISO 2700X
- Praktijk: vaststellen van beleidsuitgangspunten en opstellen beleidsdocument informatiebeveiliging
Dag 2:
- Praktijk: uitvoeren risicoanalyse en managementrapportage (zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’)
- Praktijk: opstellen basisbeveiligingsniveau (zie ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau conform ISO 27002’)
Dag 3:
- Praktijk: opstellen plan van aanpak
- Theorie en praktijk:
- Business Continuity
- Voorkomen gegevensverlies (DLP)
- Wet Bescherming Persoongegevens
Cursisten mogen voor de praktijkopdrachten hun eigen organisatie als onderwerp nemen, als zij met minimaal twee personen die organisatie vertegenwoordigen. Zij zullen dan gerichte feedback ontvangen op de uitwerking voor hun eigen organisatie.
4. Organisatie
- De cursus wordt gegeven op 11, 12 en 13 oktober 2011 van 9.30 – 16.30 uur in de Reehorst te Ede (gelegen nabij het NS-station Ede-Wageningen).
- Cursusmateriaal is inclusief de ISO-norm en herbruikbare sjablonen.
- Kosten van de cursus bedragen € 1395,- excl. BTW.
- Het aantal deelnemers is minimaal 6 en maximaal 16.
- Voor een lunch, koffie en thee wordt gezorgd.
- Docent is Wiebe Zijlstra (ZBC).
- Voor vragen of opmerkingen kunt u het reactieformulier gebruiken.
- Een in-company training kan toegespitst worden op uw wensen.
- cursus_informatiebeveiliging_111011_2.docx
- inschrijfformulier_cursusIB_111011.pdf
- cursus_informatiebeveiliging_111011.doc
- inschrijfformulier_cursusIB_111011.pdf
- cursus_informatiebeveiliging_111011_2.docx
- inschrijfformulier_cursusIB_111011.pdf
Auteur: Wiebe Zijlstra | 31 augustus 2003 | Copyright Wiebe Zijlstra
Gerelateerde artikelen:
- Statuut Informatiebeveiliging
- Informatiebeveiliging in het INK-model
- Werkend maken van Informatiebeveiliging
- Informatiebeveiliging en ICT-beheer op basis van ITIL
- Risicoanalyse informatiebeveiliging
Voor de cursus klonkt het mij zo zwaar in de oren; het invoeren van informatiebeveiliging op basis van ISO 27002. Ik had geen idee hoe dat aangepakt moest worden.
Nu ik net de cursus gedaan heb is het allemaal vele malen helder wat gedaan moet worden. We hebben een duidelijk stappenplan meegekregen die we tijdens de cursus hebben uitgeprobeerd op een testcase.
Ik ga er bij de eigen organisatie mee aan de slag en heb er erg veel zin in gekregen.
De praktijkgerichte aanpak spreekt mij aan en is tijdens de cursus helemaal bevestigd. Niet tot in het kleinste detail doorlopen van de norm maar wel veel aandacht voor hoe invoering van de norm in de praktijk kan worden uitgevoerd. Aangevuld met vele relevante voorbeelden en bruikbare templates is dit een compacte en waardevolle training.
De cursus was voor mij zeer verhelderend. Heeft mij goed inzicht gegeven in de veschillen tussen ISO27001 ISO 27002. Tevens goede handvaten om zelf met beveiligingsbeleid aan de slag te gaan, ook de begruikte templates helpen daarbij. Kortom aan te bevelen.
Ik ben veel te weten gekomen door de cursus. Het is mij nu duidelijk wat precies de bedoeling is en hoe je het aan kunt pakken.
Enkele praktijkopdrachten kunnen naar mijn idee het beste gezamelijk uitgevoerd worden zodat je er meteen met elkaar over kunt discussieren.
De gegeven praktijkvoorbeelden helpen er een goed beeld bij te krijgen.
De cursus heeft een pragmatische instelling ten doel bij de opzet van de informatiebeveiliging.
De cursus biedt een overzicht en structuur van de informatiebeveiliging, en leert een ragmatische aanpak. Tevens wordt duidelijk, in mijn geval, wat de bron en het ontstaan is van de nodige aanwezige documenten. Aan de praktijkoefeningen mag iets minder tijd worden besteed.
N.a.v. de cursus CvIB/ISO27002 van 2009 zitten we nu midden in het proces om een informatiebeveligingsbeleidsplan ICT te schrijven voor onze Stichting. Met als basis de managementrapportage van jullie cursus en een aantal artikelen jullie website.
We (dit moet je uiteraard met een clubje doen) hebben erg veel baat bij de nuchtere en praktische aanpak van ZBC.