LW 10 #6. Flashcards

1
Q

waar is de directie van een organisatie verantwoordelijk voor?

A
    • alle processen binnen de organisatie + informatiebeveiliging
  • directie + ISO -> opstellen en uitdragen van het informatiebeveiligingsbeleid
  • > controleren naleving van het beleid en het evalueren van het gerealiseerde beveiligingsniveau
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

waarvan moet iedere manager in staat zijn om te doen?

A
  • eisen formuleren die aan de informatiebeveiliging gesteld worden
  • kritische vragen stellen aan degenen die met de invulling en de evaluatie van de informatiebeveiliging belast worden
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

om informatiebeveiliging adequaat in te vullen kan het zinvol zijn bepaalde verantwoordelijkheden te leggen bij specifieke functionarissen. (niet de eindverantwoordelijkheid)
[beveiligingsfunctionaris]
Welke 4 functies zijn er?

A

CISO
ISO
IT- beveiligingsmanager
IT-beveiligingsspecialist

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Chief information security officer (CISO)

A
  • topmanagement
  • definieert namens het topmanagement het informatiebeveiligingsbeleid en organiseert en stuurt de informatiebeveiliging vd organisatie iom de behoeften en de risicobereidheid van de organisatie
    • eindverantwoordelijke
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Information security officer ISO

A

faciliteert de implementatie vd informatiebeveiliging iom het informatiebeveiligingsbeleid vd organisatie, monitort de naleving van de beveiligingsmaatregelen en rapporteert hierover aan het topmanagement

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

IT-beveiligingsmanager

A

definieert de informatiebeveiligingsrichtlijnen voor de organisatie iom het informatiebeveiligingbeleid van de organisatie en organiseert en managet de IT-beveiliging van de organisatie

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

IT-beveiligingsspecialist

A

geeft op specialistisch niveau invulling aan de IT-beveiligingsrichtlijnen van de organisatie.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

verschillende activiteiten op het gebied van informatiebeveiliging kunnen worden uitbesteedt aan derden.
Wat wordt dan door de CISO gedaan?

A

er worden overeenkomsten (Service level agreements) afgesloten met andere eenheden en externe partijen die diensten leveren op het gebied van informatiebeveiliging

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Stuurgroep informatiebeveiliging

A

ondersteunt en bewaakt de totstandkoming van het beveiligingsbeleid en de beveiligingsvoorschriften alsmede de invoering daarvan

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

IT-auditor

A

onderzoekt of de informatiesystemen en de bijbehorende documentatie voldoen aan de gestelde kwaliteitseisen en in hoeverre de relevante procedures voldoende nageleefd worden

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

wat wordt er verwacht van een IT-auditor?

A

een onbevooroordeelde evaluatie, dus bij voorkeur zal hij onafhankelijk moeten zijn van de organisatie waarbinnen de evaluatie uitgevoerd wordt (externe auditor)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

waar kan je interne IT-auditors vinden?

A

voornamelijk in grote organisaties, waar het mogelijk is min of meer een onafhankelijke afdeling voor IT-auditors te positioneren

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

obv wat werkt een interne IT-auditor?

A

een meerjarig controleprogramma, waarin is vastgelegd welke auditobjecten over een periode van 1 tot 3 jaar zullen worden onderzocht
-> een partieel roulerende controle is daarbij noodzakelijk als het aantal auditobjecten de jaarlijkse audiocapaciteit overstijgt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

voor elk auditobject wordt een controleprogramma vastgelegd -> welke stappen worden er gedefinieerd?

A

opdrachtafbakening, opdrachtomschrijving, pre-audit-meeting, opstellen normenkader, interviews, documentatiereview, eigen waarneming, conceptrapportage, afstemming rapportage, definitieve rapportage, toelichting aan het management

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

wat zijn de doelen van een beveiligingsbeleid?

A
  • het inrichten van een duurzaam stelsel van beveiligingsmaatregelen in de organisatie en de informatietechnologie, gericht op een adequate beheersing van de risico’s.
    [beleid is een communicatie-instrument binnen de org]
  • het beleid laten zien dat de organisatie voldoet aan eisen die worden gesteld door diverse partijen uit het maatschappelijk verkeer.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

wat is het voordeel als er inhoudelijk wordt ingegaan op concrete beveiligingsmaatregelen?

A

dat organisatieonderdelen direct aan de slag kunnen met de implementatie

17
Q

wat is het nadeel als er inhoudelijk wordt ingegaan op concrete beveiligingsmaatregelen?

A

het beleid zal snel verouderen

18
Q

wanneer is het niet verstandig om concrete maatregelen op te nemen?

A

als de maatregelen technologiespecifiek zijn.

- er kan beter worden verwezen naar bestaande standaarden en best practices

19
Q

waarom is het handig om het beveiligingsbeleid te laten opstellen door een team van betrokken lijnmanagers uit de desbetreffende organisatie?

A
  • het resulterende beleid, indien dit door alle leden van het team wordt onderschreven, direct sponsors heeft in de verschillende organisatieonderdelen die het beleid zullen moeten invoeren
  • op deze wijze ontwikkeld beleid zal nauw aansluiten op de bedrijfsprocessen, de organisatie, de organisatiecultuur en de in de organisatie gehanteerde terminologie
20
Q

een projectgroep voor het tot stand komen van het beleid moet bij voorkeur bestaan uit key players, wat is dat?

A

invloedrijke en enthousiaste personen die zich bewust zijn van de risico’s van informatietechnologie en die beveiliging een warm hart toedragen

21
Q

informatiebeveiligingsplan

A
  • Het is een document waarin beschreven staat welke beveiligingsmaatregelen gekozen zijn, waarom de betreffende maatregelen gekozen zijn, welke middelen hierbij gebruikt worden en welke richtlijnen er gelden voor de implementatie ervan. Ook beschrijft het de werkwijze en planning om tot implementatie van maatregelen te komen
  • Een informatiebeveiligingsplan is de concretisering van het informatiebeveiligingsbeleid
22
Q

informatiebeveiliging

A

Het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen.

• Samenhangend pakket
Organisatorisch, logisch, fysiek
Preventief, detectief, repressief, correctief

• Betrouwbaarheid
Beschikbaarheid, Availability
Integriteit, Integrity
Vertrouwelijkheid, Confidentiality

• Waarborgen
P–D–C–A

23
Q

Wat is de belangrijkste stap voor een ISO om passende maatregelen op te stellen voor het beveiligen van de organisatie?

A

het uitvoeren van een risicoanalyse

24
Q

In de incidentcyclus worden vier stappen onderscheiden. Welke volgorde hebben deze stappen?

A

bedreiging, verstoring, schade, herstel

25
Q

Wie is verantwoordelijk voor het inrichten van het informatiebeveiligingsproces?

A

management

26
Q

Welke beveiligingsfunctionaris toetst doorgaans het gerealiseerde beveiligingsniveau?

A

IT auditor

27
Q

wat is een voorbeeld van een repressieve maatregel?

A

brandblusser