Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510
12, 13 en 14 november 2013
1. Informatiebeveiliging is risicomanagement
Het spreekt vanzelf dat bij ministeries en banken informatiebeveiliging topprioriteit heeft. De meeste organisaties echter delen kennis en informatie met interne en externe partijen en informatiebeveiliging is dan een aandachtspunt voor en behoort tot het takenpakket van een ICT-manager, een stafmedewerker of een ICT-beheerder. Doelstelling is in dat geval meestal dat de kosten van preventie in balans zijn met de hoogte van de schade die door incidenten kan worden veroorzaakt en dat de te nemen maatregelen niet ten koste gaan van de efficiency van de bedrijfsvoering. Organisaties waarvoor dit geldt, hebben doorgaans geen behoefte aan gespecialiseerde en gecertificeerde informatiebeveiligers, maar meer aan een pragmatisch ingestelde functionaris, die de risico’s bepaalt en hierop passende maatregelen definieert. 100% beveiliging is tenslotte niet mogelijk en in de meeste gevallen ook niet gewenst. (Zie ook ‘Kosten en baten van beveiliging’.)
Helaas staan veel beveiligers op het standpunt dat je moet beveiligen wat je kunt beveiligen. Vaak zwaaien ze dan met de ISO 27001-norm en voegen hier de controls uit ISO 27002 aan toe als verplichting. Maar gelukkig is dat niet nodig. Het bepalen van een risicoprofiel is de basis en vervolgens moeten alleen die maatregelen worden getroffen, die op grond van dit risicoprofiel zinvol zijn. En wat de risico’s zijn en wat zinvolle maatregelen bepaalt niet de beveiliger of de auditor, maar de directie van de organisatie. Het geheel van maatregelen moet verder worden geïmplementeerd als een proces inclusief besturing en een ingebakken verbetercyclus. Dit kan echter op een heel pragmatische wijze. (Zie ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)
In de nieuwe versies van ISO 27001 en 27002, die in 2013 zullen worden ingevoerd, wordt duidelijker dan voorheen tot uitdrukking gebracht dat dit de juiste aanpak is. (Zie ook ‘Revisie ISO 27001 en ISO 27002’.)
1.1 ISO 27002 is een geschikte standaard
In de cursus ‘Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ nemen we ISO 27002 als uitgangspunt. Dat voorkomt dat organisaties allemaal zelf het wiel moeten gaan uitvinden of anders met een onevenwichtige beveiliging worden opgezadeld. Hieraan voegen we toe de systeemelementen van ISO 27001, dat zijn de risico-inventarisatie, de procesbesturing (het ISMS) en de verbetercyclus. Deze aanpak ondervangt awareness-problematiek en voorkomt weerstanden en maakt dat er een werkend geheel ontstaat in plaats van een papieren tijger.
Omdat de nieuwe versie van NEN 7510 gelijkgetrokken wordt met ISO 27001 en 27002, zullen we in de verdere beschrijving van de cursus steeds spreken over ISO 2700X. Tijdens de cursus besteden we uiteraard wel aandacht aan de specifieke aspecten van NEN 7510 (met name aan privacy en het verkrijgen van toegang).
Juist in middelgrote organisaties worden wel maatregelen getroffen, maar schort het vaak aan balans en inbedding.
De kern van ISO 2700X:
- Er is balans tussen bedrijfsuitgangspunten, risico’s en best practices, waardoor per bedrijf een basisbeveiligingsniveau gedefinieerd kan worden.
- Er is sprake is van een systeem (beleid, planning, uitvoering en control) en niet van een willekeurige set van projecten en maatregelen.
Kortom, met ISO 2700x kan onder meer het conflict tussen vertrouwelijkheid en kennisdelen in dienstverlenende organisaties op een nette manier worden opgelost, evenals het probleem van ontbrekende awareness. Van deze cursus Informatiebeveiliging profiteert dus niet alleen de cursist zelf, maar vooral ook zijn of haar organisatie kan er haar voordeel mee doen.
2. Werkwijze
Tijdens de cursus Informatiebeveiliging leert de cursist genoemde kernpunten in te vullen voor zijn/ haar organisatie, op basis van de beleidsuitgangspunten (het opstellen van beleidsuitgangspunten wordt behandeld en geoefend tijdens de cursus), de reeds getroffen maatregelen en de bedrijfsrisico’s van zijn/ haar organisatie. We reiken hiervoor sjablonen uit, waarmee het bepalen van een informatiebeveiligingsbeleid en het vaststellen van een passend basisbeveiligingsniveau grotendeels invuloefeningen worden en waardoor nauw aangesloten kan worden bij de reeds bestaande situatie. Ook dit laatste voorkomt problemen als het ontbreken van awareness en commitment.
Door de in de cursus gepresenteerde werkwijze, hoeft de opzet van informatiebeveiliging niet langer een complex en langdurig project te zijn. Het kan eenvoudig worden ondergebracht in het takenpakket van één of meerdere functionarissen.
Tijdens de cursus worden geen ingewikkelde verhalen gehouden over wat er in theorie allemaal fout kan gaan. We zetten een kader neer, oefenen het toepassen van de sjablonen in de praktijk en bespreken een groot aantal praktijkvoorbeelden. Ook gaan we in op actuele issues zoals de Wet Bescherming Persoonsgegevens, Business Continuity en het Jericho principe voor organisaties, waar kennisdeling een must is en dus de klassieke ‘fortbenadering’ niet werkt. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.)
3. Doelgroep
Deze driedaagse cursus is bedoeld voor security officers, projectgroepleden en andere operationeel betrokkenen bij dit traject. Voor (leden van) directies, stuurgroepen of managementteams die leiding gaan geven aan het traject om de informatiebeveiliging binnen hun organisatie te verbeteren is onze eendaagse ‘Workshop Pragmatisch omgaan met informatiebeveiliging conform ISO 27001’ beschikbaar.
4. Programma
Dag 1:
- Introductie
- Uiteenzetting van informatiebeveiliging conform ISO 2700X
- Praktijk: vaststellen van beleidsuitgangspunten en opstellen beleidsdocument informatiebeveiliging (met aandacht voor wet-en regelgeving en vrije keuze, het afstemmen van de kosten op de risico’s en het managementsysteem).
Dag 2:
- Praktijk: uitvoeren risicoanalyse en managementrapportage (zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’)
- Praktijk: opstellen basisbeveiligingsniveau (zie ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau conform ISO 27002’)
Dag 3:
- Praktijk: opstellen plan van aanpak
- Theorie en praktijk:
- Business Continuity
- Voorkomen gegevensverlies (DLP)
- Wet Bescherming Persoongegevens
Cursisten mogen voor de praktijkopdrachten hun eigen organisatie als onderwerp nemen, als zij met minimaal twee personen die organisatie vertegenwoordigen. Zij zullen dan gerichte feedback ontvangen op de uitwerking voor hun eigen organisatie.
5. Organisatie
- Deze driedaagse cursus wordt gegeven op 12, 13 en 14 november 2013 van 9.30 – 16.30 uur in de Reehorst te Ede (gelegen nabij het NS-station Ede-Wageningen).
- Cursusmateriaal is inclusief de ISO-norm en herbruikbare sjablonen.
- Kosten van de cursus bedragen € 1395,- excl. BTW.
- Het aantal deelnemers is maximaal 16.
- Voor een lunch, koffie en thee wordt gezorgd.
- Docent is Wiebe Zijlstra (ZBC).
- Inschrijven voor deze cursus kan via het het inschrijfformulier november.
- Voor vragen of opmerkingen kunt u het reactieformulier gebruiken.
- Een in-company training kan toegespitst worden op uw wensen.
Auteur: Wiebe Zijlstra | 31 augustus 2011 | Copyright Wiebe Zijlstra
Gerelateerde artikelen:
- Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
- ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
- Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren
- Lagere overheden kiezen steeds vaker voor ISO 27001 of 27002 als norm voor de informatiebeveiliging
- Webseminar Pragmatische aanpak informatiebeveiliging volgens ISO 27002 (=ISO 17799) en NEN 7510
- Nieuwe NEN 7510 norm in de zorg schuift op naar ISO 27002
- Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002
- ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
Wat voor mij vooral van nut was in deze cursus, is de nuchtere, pragmatische benadering die wordt gehanteerd. Het vergroot het inzicht in waar het in Informatiebeveiliging uiteindelijk om draait.
Tijdens deze cursus geeft Wiebe op een duidelijke en verhelderende wijze inzicht in de ISO norm. Daarnaast geeft hij handige tools om deze norm in de praktijk toe te passen. Deze cursus is zeker aan te bevelen voor iedereen die met informatiebeveiliging aan de slag gaat. Wiebe nogmaal hartelijk dank voor de cursus en het delen van je ervaringen.
De cursus heeft precies opgeleverd wat ik hoopte, heeft mijn beeld van ZBC bevestigd: pragmatisch, geen bureaucratie maar alleen dat doen wat werkelijk nodig is.
We zijn bij mijn bedrijf meteen van start gegaan volgens de aanpak die we in de cursus hebben beproefd. Voor mij waren ook de praktische oefeningen in de cursus heel welkom.
De combinatie van kennis én ervaring van Wiebe resulteert in een zeer pragmatische cursus en aanpak om bedrijven te begeleiding in het verkrijgen van het ISO certificaat. Voor diegene die twijfelen, DOEN!
De cursus is heel pragmatisch gericht en laat duidelijk zien dat het niveau van informatiebeveiliging een bedrijfskeuze is en geen regel. De ISO normen zijn een hulpmiddel bij het bepalen van het niveau.
De cursus biedt goede handvaten en je kunt er direct mee aan de slag.
De training van Wiebe Zijlstra was een verademing omdat hij erg realistisch was, geen opgeklopte hokus pokus, maar gewoon strak to the point met begrip voor de organisatie(s) en de mensen daarin. Hij reikt handvatten aan om management én medewerkers te kunnen overtuigen van de noodzaak, zonder bangmakerij met spionnen, terroristen of ander gespuis. Heerlijk! En….bedankt!
De cursus gaat voorbij aan allerlei theoretische beschouwingen en is praktijkgericht.
Daardoor is het mogelijk een en ander redelijk direct over te zetten naar de eigen situatie, waarbij voorbijgegaan kan worden aan de typische ICT/IM-omgeving waarin een en ander zijn oorsprong vindt.
Beste Wiebe,
De cursus informatiebeveiliging vond ik verhelderend en heeft mij nieuwe inzichten verschaft.
Persoonlijk: jouw performance hierin vond ik subliem.
Hallo Wiebe,
Ik wil je laten weten dat ik de training als zeer nuttig heb ervaren. Je hebt veel informatie gedeeld en goede handvatten aangereikt om met (informatie)beveiliging bij PWN verder aan de slag te gaan.
groetjes,
Ellen
Voor de cursus klonkt het mij zo zwaar in de oren; het invoeren van informatiebeveiliging op basis van ISO 27002. Ik had geen idee hoe dat aangepakt moest worden.
Nu ik net de cursus gedaan heb is het allemaal vele malen helder wat gedaan moet worden. We hebben een duidelijk stappenplan meegekregen die we tijdens de cursus hebben uitgeprobeerd op een testcase.
Ik ga er bij de eigen organisatie mee aan de slag en heb er erg veel zin in gekregen.
De praktijkgerichte aanpak spreekt mij aan en is tijdens de cursus helemaal bevestigd. Niet tot in het kleinste detail doorlopen van de norm maar wel veel aandacht voor hoe invoering van de norm in de praktijk kan worden uitgevoerd. Aangevuld met vele relevante voorbeelden en bruikbare templates is dit een compacte en waardevolle training.
De cursus was voor mij zeer verhelderend. Heeft mij goed inzicht gegeven in de veschillen tussen ISO27001 ISO 27002. Tevens goede handvaten om zelf met beveiligingsbeleid aan de slag te gaan, ook de begruikte templates helpen daarbij. Kortom aan te bevelen.
Ik ben veel te weten gekomen door de cursus. Het is mij nu duidelijk wat precies de bedoeling is en hoe je het aan kunt pakken.
Enkele praktijkopdrachten kunnen naar mijn idee het beste gezamelijk uitgevoerd worden zodat je er meteen met elkaar over kunt discussieren.
De gegeven praktijkvoorbeelden helpen er een goed beeld bij te krijgen.
De cursus heeft een pragmatische instelling ten doel bij de opzet van de informatiebeveiliging.
De cursus biedt een overzicht en structuur van de informatiebeveiliging, en leert een ragmatische aanpak. Tevens wordt duidelijk, in mijn geval, wat de bron en het ontstaan is van de nodige aanwezige documenten. Aan de praktijkoefeningen mag iets minder tijd worden besteed.
N.a.v. de cursus CvIB/ISO27002 van 2009 zitten we nu midden in het proces om een informatiebeveligingsbeleidsplan ICT te schrijven voor onze Stichting. Met als basis de managementrapportage van jullie cursus en een aantal artikelen jullie website.
We (dit moet je uiteraard met een clubje doen) hebben erg veel baat bij de nuchtere en praktische aanpak van ZB