Informatiebeveiliging, Security en ISO 27002
Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002
Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.
ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven
Veel leveranciers van beveiligingsoplossingen gaan nog uit van de gedachte: Wie angst zaait zal business oogsten. ICT-bladen en -nieuwsbrieven worden vergiftigd met beveiligingsellende. Laat u daardoor niet misleiden. In dit artikel suggesties hoe u informatiebeveiliging en business continuity effectief en pragmatisch kunt aanpakken.
ISO 27001 of 27002 lean en mean implementeren als security management systeem
Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.
Aanpak data loss prevention DLP
Data Loss Prevention begint bij identificatie van medewerkers die vertrouwelijke informatie genereren en distribueren. Zij kennen als geen ander de kwetsbaarheden en zij zijn in staat om voor uw organisatie adequate policies en maatregelen te bepalen.
Professionele informatiebeveiligers maken zich vaak ongeloofwaardig
Als risicoanalyses informatiebeveiliging van gerenommeerde accountantsbureaus geen beeld meer geven van de werkelijke bedrijfsrisico’s, dan raak je als directie van een organisatie wel in een lastig parket. In dit artikel een aantal voorbeelden en een korte analyse van dit ‘misverstand’.
Lagere overheden kiezen steeds vaker voor ISO 27001 of 27002 als norm voor de informatiebeveiliging
Gemeenten, provincies, waterschappen enzovoort worden zo langzamerhand gestoord van wat er, vooral ongecoördineerd, aan beveiligingseisen op hen afkomt. Vaak beschikken ze niet over de expertise en de capaciteit om adequaat aan al die eisen te voldoen. Pro-actief ISO 27002 invoeren kan een duurzame oplossing zijn voor dit probleem, tegen op termijn lagere kosten.
Voorbeeld Rapport Risico Analyse Informatiebeveiliging
De match tussen de maatregelen die ISO 27002 (=17799) voorschrijft en de risico’s die een organiatie loopt, is een keuzeproces. In dit artikel is in de vorm van een voorbeeld een methodiek uitgewerkt, waarmee deze match gemaakt kan worden en waarmee tegelijkertijd overbodige maatregelen worden geëlimineerd.
Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002
In dit artikel een voorbeeld van een aanpak om het basisbeveiligingsniveau volgens de norm ISO 27002 (is 17799) vast te stellen en de weergave van een maatregelenset. De aanpak houdt rekening met beleidsuitgangspunten en het belang dat de betrokkenen hechten aan de verschillende maatregelen. Zo wordt de basis gelegd voor awareness en commitment.
ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
Vaak wordt ISO 27002 (=17799) opgevat als een absolute norm met meer dan 100 verplichte maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan het management de eigen norm kan vaststellen. Geen verplichting dus, maar een keuze, waardoor awareness vaak geen issue meer is en er een werkbare implementatie mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.
Code voor Informatiebeveiliging weer up to date
De vernieuwde Code voor Informatiebeveiliging bevat een aantal nieuwe issues en legt daarnaast veel meer nadruk op de risicoanalyse. Hierdoor wint de Code aan kracht en biedt meer flexibiliteit. In dit artikel meer over de wijzigingen.