LW 10 #6.

Question 1

waar is de directie van een organisatie verantwoordelijk voor?

Answer 1

• • alle processen binnen de organisatie + informatiebeveiliging
• directie + ISO -> opstellen en uitdragen van het informatiebeveiligingsbeleid
• > controleren naleving van het beleid en het evalueren van het gerealiseerde beveiligingsniveau

Question 2

waarvan moet iedere manager in staat zijn om te doen?

Answer 2

• eisen formuleren die aan de informatiebeveiliging gesteld worden
• kritische vragen stellen aan degenen die met de invulling en de evaluatie van de informatiebeveiliging belast worden

Question 3

om informatiebeveiliging adequaat in te vullen kan het zinvol zijn bepaalde verantwoordelijkheden te leggen bij specifieke functionarissen. (niet de eindverantwoordelijkheid)
[beveiligingsfunctionaris]
Welke 4 functies zijn er?

Answer 3

CISO
ISO
IT- beveiligingsmanager
IT-beveiligingsspecialist

Question 4

Chief information security officer (CISO)

Answer 4

• topmanagement
• definieert namens het topmanagement het informatiebeveiligingsbeleid en organiseert en stuurt de informatiebeveiliging vd organisatie iom de behoeften en de risicobereidheid van de organisatie
• • eindverantwoordelijke

Question 5

Information security officer ISO

Answer 5

faciliteert de implementatie vd informatiebeveiliging iom het informatiebeveiligingsbeleid vd organisatie, monitort de naleving van de beveiligingsmaatregelen en rapporteert hierover aan het topmanagement

Question 6

IT-beveiligingsmanager

Answer 6

definieert de informatiebeveiligingsrichtlijnen voor de organisatie iom het informatiebeveiligingbeleid van de organisatie en organiseert en managet de IT-beveiliging van de organisatie

Question 7

IT-beveiligingsspecialist

Answer 7

geeft op specialistisch niveau invulling aan de IT-beveiligingsrichtlijnen van de organisatie.

Question 8

verschillende activiteiten op het gebied van informatiebeveiliging kunnen worden uitbesteedt aan derden.
Wat wordt dan door de CISO gedaan?

Answer 8

er worden overeenkomsten (Service level agreements) afgesloten met andere eenheden en externe partijen die diensten leveren op het gebied van informatiebeveiliging

Question 9

Stuurgroep informatiebeveiliging

Answer 9

ondersteunt en bewaakt de totstandkoming van het beveiligingsbeleid en de beveiligingsvoorschriften alsmede de invoering daarvan

Question 10

IT-auditor

Answer 10

onderzoekt of de informatiesystemen en de bijbehorende documentatie voldoen aan de gestelde kwaliteitseisen en in hoeverre de relevante procedures voldoende nageleefd worden

Question 11

wat wordt er verwacht van een IT-auditor?

Answer 11

een onbevooroordeelde evaluatie, dus bij voorkeur zal hij onafhankelijk moeten zijn van de organisatie waarbinnen de evaluatie uitgevoerd wordt (externe auditor)

Question 12

waar kan je interne IT-auditors vinden?

Answer 12

voornamelijk in grote organisaties, waar het mogelijk is min of meer een onafhankelijke afdeling voor IT-auditors te positioneren

Question 13

obv wat werkt een interne IT-auditor?

Answer 13

een meerjarig controleprogramma, waarin is vastgelegd welke auditobjecten over een periode van 1 tot 3 jaar zullen worden onderzocht
-> een partieel roulerende controle is daarbij noodzakelijk als het aantal auditobjecten de jaarlijkse audiocapaciteit overstijgt.

Question 14

voor elk auditobject wordt een controleprogramma vastgelegd -> welke stappen worden er gedefinieerd?

Answer 14

opdrachtafbakening, opdrachtomschrijving, pre-audit-meeting, opstellen normenkader, interviews, documentatiereview, eigen waarneming, conceptrapportage, afstemming rapportage, definitieve rapportage, toelichting aan het management

Question 15

wat zijn de doelen van een beveiligingsbeleid?

Answer 15

• het inrichten van een duurzaam stelsel van beveiligingsmaatregelen in de organisatie en de informatietechnologie, gericht op een adequate beheersing van de risico’s.
  [beleid is een communicatie-instrument binnen de org]
• het beleid laten zien dat de organisatie voldoet aan eisen die worden gesteld door diverse partijen uit het maatschappelijk verkeer.

Question 16

wat is het voordeel als er inhoudelijk wordt ingegaan op concrete beveiligingsmaatregelen?

Answer 16

dat organisatieonderdelen direct aan de slag kunnen met de implementatie

Question 17

wat is het nadeel als er inhoudelijk wordt ingegaan op concrete beveiligingsmaatregelen?

Answer 17

het beleid zal snel verouderen

Question 18

wanneer is het niet verstandig om concrete maatregelen op te nemen?

Answer 18

als de maatregelen technologiespecifiek zijn.

- er kan beter worden verwezen naar bestaande standaarden en best practices

Question 19

waarom is het handig om het beveiligingsbeleid te laten opstellen door een team van betrokken lijnmanagers uit de desbetreffende organisatie?

Answer 19

• het resulterende beleid, indien dit door alle leden van het team wordt onderschreven, direct sponsors heeft in de verschillende organisatieonderdelen die het beleid zullen moeten invoeren
• op deze wijze ontwikkeld beleid zal nauw aansluiten op de bedrijfsprocessen, de organisatie, de organisatiecultuur en de in de organisatie gehanteerde terminologie

Question 20

een projectgroep voor het tot stand komen van het beleid moet bij voorkeur bestaan uit key players, wat is dat?

Answer 20

invloedrijke en enthousiaste personen die zich bewust zijn van de risico’s van informatietechnologie en die beveiliging een warm hart toedragen

Question 21

informatiebeveiligingsplan

Answer 21

• Het is een document waarin beschreven staat welke beveiligingsmaatregelen gekozen zijn, waarom de betreffende maatregelen gekozen zijn, welke middelen hierbij gebruikt worden en welke richtlijnen er gelden voor de implementatie ervan. Ook beschrijft het de werkwijze en planning om tot implementatie van maatregelen te komen
• Een informatiebeveiligingsplan is de concretisering van het informatiebeveiligingsbeleid

Question 22

informatiebeveiliging

Answer 22

Het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen.

• Samenhangend pakket
Organisatorisch, logisch, fysiek
Preventief, detectief, repressief, correctief

• Betrouwbaarheid
Beschikbaarheid, Availability
Integriteit, Integrity
Vertrouwelijkheid, Confidentiality

• Waarborgen
P–D–C–A

Question 23

Wat is de belangrijkste stap voor een ISO om passende maatregelen op te stellen voor het beveiligen van de organisatie?

Answer 23

het uitvoeren van een risicoanalyse

Question 24

In de incidentcyclus worden vier stappen onderscheiden. Welke volgorde hebben deze stappen?

Answer 24

bedreiging, verstoring, schade, herstel

Question 25

Wie is verantwoordelijk voor het inrichten van het informatiebeveiligingsproces?

Answer 25

management

Question 26

Welke beveiligingsfunctionaris toetst doorgaans het gerealiseerde beveiligingsniveau?

Answer 26

IT auditor

Question 27

wat is een voorbeeld van een repressieve maatregel?

Answer 27

brandblusser