LW 10 #6. Flashcards
waar is de directie van een organisatie verantwoordelijk voor?
- alle processen binnen de organisatie + informatiebeveiliging
- directie + ISO -> opstellen en uitdragen van het informatiebeveiligingsbeleid
- > controleren naleving van het beleid en het evalueren van het gerealiseerde beveiligingsniveau
waarvan moet iedere manager in staat zijn om te doen?
- eisen formuleren die aan de informatiebeveiliging gesteld worden
- kritische vragen stellen aan degenen die met de invulling en de evaluatie van de informatiebeveiliging belast worden
om informatiebeveiliging adequaat in te vullen kan het zinvol zijn bepaalde verantwoordelijkheden te leggen bij specifieke functionarissen. (niet de eindverantwoordelijkheid)
[beveiligingsfunctionaris]
Welke 4 functies zijn er?
CISO
ISO
IT- beveiligingsmanager
IT-beveiligingsspecialist
Chief information security officer (CISO)
- topmanagement
- definieert namens het topmanagement het informatiebeveiligingsbeleid en organiseert en stuurt de informatiebeveiliging vd organisatie iom de behoeften en de risicobereidheid van de organisatie
- eindverantwoordelijke
Information security officer ISO
faciliteert de implementatie vd informatiebeveiliging iom het informatiebeveiligingsbeleid vd organisatie, monitort de naleving van de beveiligingsmaatregelen en rapporteert hierover aan het topmanagement
IT-beveiligingsmanager
definieert de informatiebeveiligingsrichtlijnen voor de organisatie iom het informatiebeveiligingbeleid van de organisatie en organiseert en managet de IT-beveiliging van de organisatie
IT-beveiligingsspecialist
geeft op specialistisch niveau invulling aan de IT-beveiligingsrichtlijnen van de organisatie.
verschillende activiteiten op het gebied van informatiebeveiliging kunnen worden uitbesteedt aan derden.
Wat wordt dan door de CISO gedaan?
er worden overeenkomsten (Service level agreements) afgesloten met andere eenheden en externe partijen die diensten leveren op het gebied van informatiebeveiliging
Stuurgroep informatiebeveiliging
ondersteunt en bewaakt de totstandkoming van het beveiligingsbeleid en de beveiligingsvoorschriften alsmede de invoering daarvan
IT-auditor
onderzoekt of de informatiesystemen en de bijbehorende documentatie voldoen aan de gestelde kwaliteitseisen en in hoeverre de relevante procedures voldoende nageleefd worden
wat wordt er verwacht van een IT-auditor?
een onbevooroordeelde evaluatie, dus bij voorkeur zal hij onafhankelijk moeten zijn van de organisatie waarbinnen de evaluatie uitgevoerd wordt (externe auditor)
waar kan je interne IT-auditors vinden?
voornamelijk in grote organisaties, waar het mogelijk is min of meer een onafhankelijke afdeling voor IT-auditors te positioneren
obv wat werkt een interne IT-auditor?
een meerjarig controleprogramma, waarin is vastgelegd welke auditobjecten over een periode van 1 tot 3 jaar zullen worden onderzocht
-> een partieel roulerende controle is daarbij noodzakelijk als het aantal auditobjecten de jaarlijkse audiocapaciteit overstijgt.
voor elk auditobject wordt een controleprogramma vastgelegd -> welke stappen worden er gedefinieerd?
opdrachtafbakening, opdrachtomschrijving, pre-audit-meeting, opstellen normenkader, interviews, documentatiereview, eigen waarneming, conceptrapportage, afstemming rapportage, definitieve rapportage, toelichting aan het management
wat zijn de doelen van een beveiligingsbeleid?
- het inrichten van een duurzaam stelsel van beveiligingsmaatregelen in de organisatie en de informatietechnologie, gericht op een adequate beheersing van de risico’s.
[beleid is een communicatie-instrument binnen de org] - het beleid laten zien dat de organisatie voldoet aan eisen die worden gesteld door diverse partijen uit het maatschappelijk verkeer.