Invoering NEN 7510 is eenvoudiger dan u denkt

De IGZ en het CBP hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’. Het lijkt erop dat het de bedoeling is hiermee zorginstellingen te intimideren, die NEN 7510 nog moeten invoeren. Hoe gaat u hier als zorginstelling mee om?

Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002

Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Casestudies Business Continuity Plan

Business Continuity gaat over de business van bedrijven en organisaties en nauwelijks over security, ICT of BHV. De factoren die er echt toe doen, worden hierbij vaak over het hoofd gezien. In dit artikel een aantal casestudies voor zowel profit als non-profit organisaties, uitgewerkt op hoofdlijnen.

Informatiebeveiliging awareness voor management en gebruikers

Veel beveiligers en ICT’ers zien gebrek aan awareness als een belangrijk probleem bij security. Als je security isoleert en de focus legt op alleen dit probleem, dan is dat ook inderdaad het geval. Een beveiliger echter is geen wetgever, maar een dienstverlener die zorgt voor optimale informatiebeveiliging.

Keuzes bij de invoering van NEN 7510 nader toegelicht

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven

Veel leveranciers van beveiligingsoplossingen gaan nog uit van de gedachte: Wie angst zaait zal business oogsten. ICT-bladen en -nieuwsbrieven worden vergiftigd met beveiligingsellende. Laat u daardoor niet misleiden. In dit artikel suggesties hoe u informatiebeveiliging en business continuity effectief en pragmatisch kunt aanpakken.

ISO 27001 of 27002 lean en mean implementeren als security management systeem

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

ITIL: professionalisering of indekken

ICT-afdelingen steken vaak veel effort en tijd in professionalisering, om weer adequate services aan gebruikers te kunnen leveren. De afspraken echter tussen de gebruikers en de ICT en de duidelijkheid wie wat doet en wie waarover beslist zijn vaak veel meer een probleem. Onbalans hierin leidt tot irritaties en verwijten. Ook een SLA lost dit meestal niet op. Als er sprake is van outsourcing, dan escaleert de situatie veelal nog verder. In dit artikel meer over de basis voor een goede samenwerking tussengebruikers en de ICT.

Vervang uw gedragscodes door één ethische code

Normatieve gedragscodes met allerlei geboden en verboden kunnen beter vervangen worden door een inspirerende ethische code, waarvoor de hoogste baas graag op de zeepkist klimt.

Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510

[ 22 mei 2013 09:30 tot 24 mei 2013 17:00. 12 november 2013 09:30 tot 14 november 2013 16:30. ] Informatiebeveiliging is niet onbelangrijk, maar de keuze voor en de implementatie van adequate maatregelen om belangrijke bedrijfsrisico’s te verminderen mogen nooit gebaseerd zijn op bangmakerij en opgeblazen incidenten. Deze cursus is primair gericht op het in de praktijk beheersen van deze bedrijfsrisico’s.

volgende pagina »