Informatiebeveiliging - Code voor Informatiebeveiliging

Wat moet ik me precies voorstellen bij die code cq die NEN norm (ken het niet)? Is dat een op beleidsniveau georienteerd document wat generiek beschrijft hoe informatiebeveiliging binnen een organisatie toegepast moet worden?

In [rml][ Discussie] Een OS is veilig als....[/rml] loopt ook een discussie die wellicht gedeeltelijk aansluit op wat jij wilt met deze discussie. Zelf heb ik me in het verleden bezig gehouden met (op operationeel en adviserend niveau) met infrastructuurbeveiligingen (firewalls, filesystem en netwerk acl's, proxy's, ids's etcetc).

De Code voor informatiebeveiliging bestaat uit twee delen:
Deel 1: Code voor informatiebeveiliging, geeft richtlijnen voor een goede implementatie van de eisen, vastgelegd in deze specificatie.
Deel 2: Specificatie voor managementsystemen voor informatiebeveiliging, vormt de basis voor een beoordeling van het management-systeem voor informatiebeveiliging voor de gehele organisatie of een deel ervan. Het kan gebruikt worden als basis voor een formeel certificatieproces, zoals aangeboden door KEMA of door KPMG.

Meer info:
http://www2.nen.nl/servlet/dispatcher.Dispatcher?id=083711
http://www.cvib.nl
http://www.security.nl/polls/5

Zie ook hier voor o.a. de "praktijkgids" voor de code voor informatiebeveiliging, van Ernst Oud:

De code voor informatiebeveiliging is niet hetzelfde als de britse bs7799, maar hierop gebaseerd. Het is een standaardwerk dat ik dus ook standaard in mijn koffer heb zitten en veel gebruik op mijn werk. Ik zie trouwens dat de meeste bedrijven deel I gebruiken.

Wanneer komt trouwens de nieuwe versie uit? Hierin zou deel 2 (aanpak) erg zijn verbeterd. Ik heb nog steeds de 2000 versie en die is nu langzamerhand verouderd. Veel zaken als bv mobiele camera telefoons etc zijn er niet in opgenomen.

Wie gebruikt trouwens het Voorschrift Informatiebeveiliging Rijksdienst (VIR)?

[ Voor 90% gewijzigd door Bor op 04-03-2004 11:12 ]

Deel twee is al uit hoor. Als je de 'code besteld bij het NEN, krijg je 1 bundel met daarin de "originele" code en het deel 2.

ow sorry ... ik had je reply niet goed gelezen - dacht dat je vroeg wanneer "het" deel twee uitkwam.

[ Voor 36% gewijzigd door Biedzjee op 04-03-2004 11:18 ]

Deel 2 ken ik, er zou een hele nieuwe versie komen die geheel deel I zou vervangen.

Ik heb deze versie: NEN-ISO/IEC 17799:2002 nl, die bedoel jij ook?

Ken iemand trouwens ook de PI standaarden en studies van het Platform informatiebeveiliging?

[ Voor 17% gewijzigd door Bor op 04-03-2004 11:21 ]

Security policies kun je met google wel vinden als voorbeeld. Erg veel heb je er niet aan (op het algemene deel na) want je mist het totale voortraject waarom en hoe een bepaald bedrijf tot het beleid is gekomen (bot gezegd natuurlijk, je kunt altijd veel leren van een voorbeeld). Ik heb al heel wat verschillende informatiebeveiliginsbeleidsstukken gezien in mijn werk, varierend van banken tot aardappelfabrieken en ik kan je verzekeren dat ze allemaal totaal anders van opbouw / inhoud zijn.

Het ene bedrijf maakt een beleid waarin bv technische maatregelen zijn opgenomen. De andere maakt een beleid waarin de methode voor het maken van en richtlijnen voor de inhoud van informatiebeveiligingsplannen en risico analyses zijn opgenomen.

Wat ik wel interessant vind ik hoe de posters in dit topic met deze materie bezig zijn. Is dit uit professie of persoonlijke interesse?

Een voorbeeld vind je bv hier: http://www.mississippi.gov/pdf/security_policy.pdf

[ Voor 23% gewijzigd door Bor op 04-03-2004 15:33 ]

Bor_de_Wollef schreef op 04 maart 2004 @ 15:12:
Security policies kun je met google wel vinden als voorbeeld.

Klopt. Een poosje goed zoeken levert je best leuke documenten op, oa beleidsdocumenten van gemeentes/provincies en zo. Paar voorbeelden:
http://www.e-provincies.nl/smartsite164.htm
http://tinyurl.com/3y6j5

Overigens staat op de tweede site niet echt een beleidsdocument, maar staan daar de richtlijnen beschreven voor degenen die met de IT-apparatuur moeten werken.

Wat ik wel interessant vind ik hoe de posters in dit topic met deze materie bezig zijn. Is dit uit professie of persoonlijke interesse?

Allebei, mag dat ook? Ik ben als manager R&D de initiator geweest bij de ontwikkeling van een softwarepakket voor de bekrachting van ICT-beleidsregels (het programma heette X-Tra Secure, het bedrijf ThunderStore). Helaas is de ICT-dip ook ons niet voorbij gegaan. Need I say more? Ik heb sinds 1991 altijd zelf een bedrijfje "voor erbij" gerund en dat is nu omgeturnd tot een "communicatie- en adviesbureau voor informatiebeveiliging"...

Zelf ben ik wel geinteresseerd in een exemplaar van de VIR. Wie weet waar deze verkrijgbaar is?

i heb ook de code voor IB geimplementeerd in een grote gemeente. Van analyse tot daadwerkelijke beleid. Algemene indruk: IB kost geld, maar veel maatregelen zijn wettelijk verplicht. Met name het management moet je achter je krijgen wil IB een succes worden. Overigens is de code zeer uitgebreid, de VIR is bedoeld voor overheden.

Dat veel maatregelen verplicht zijn hangt voor een groot deel af van de branche waarin je zit. Heb jij de code voor IB gebruikt bij implementatie of juist de VIR? Awareness is altijd een van de grootste struikelblokken bij implementatietrajecten. Daarvoor is ondersteuning van het management niet genoeg. Uiteindelijk zal ook de eindgebruiker er achter moeten staan.

In welk stadium zitten jullie nu mbt implementatie? Werk je zelf bij de betreffende gemeente of heb je het als bv consultancy opdracht gedaan?

Dat veel maatregelen verplicht zijn hangt voor een groot deel af van de branche waarin je zit.

True maar er zijn wel standaard maatregelen die hoe dan ook verplicht zijn (stuk of 10), voor iedere organisatie.

Daarvoor is ondersteuning van het management niet genoeg. Uiteindelijk zal ook de eindgebruiker er achter moeten staan.

Ook waar, alleen is de eerste stap vaak formuleren van het beleid. Duidelijk maken wat wel en wat niet kan, zodat gebruikers een kader hebben. Uiteindelijk zijn idd de gebruikers die volgens dit beleid moeten functioneren.

Verwijderd schreef op 14 maart 2004 @ 16:09:
[...]
Uiteindelijk zijn idd de gebruikers die volgens dit beleid moeten functioneren.

Zowel het management als de gebruikers moet het beleid "dragen". Het formuleren van het beleid moet inderdaad met het management gedaan worden.

Maar goed,
In welk stadium zitten jullie nu mbt implementatie? Werk je zelf bij de betreffende gemeente of heb je het als bv consultancy opdracht gedaan?

Zowel het management als de gebruikers moet het beleid "dragen".

Deze vind ik persoonlijk heel interessant. Niet echt ontopic, alhoewel een discussie nooit kwaad kan. Want hoe kijken gebruikers naar IB. Zij zijn vaak degene die hun werkzaamheden moeten aanpassen ed. Ik had veel moeite bv. om hun te overtuigen hoe ze het best met pc's kunnen omgaan (paswoorden autorisaties etc).

Verwijderd schreef op 14 maart 2004 @ 19:40:
[...]


Deze vind ik persoonlijk heel interessant. Niet echt ontopic, alhoewel een discussie nooit kwaad kan. Want hoe kijken gebruikers naar IB. Zij zijn vaak degene die hun werkzaamheden moeten aanpassen ed. Ik had veel moeite bv. om hun te overtuigen hoe ze het best met pc's kunnen omgaan (paswoorden autorisaties etc).

Dat is zeker een interessant punt. Daarom is een awareness programma een zeer belangrijk onderdeel van een IB traject. Idealiter moet iedereen, vanaf de directie totaan de toilet mevrouw het belang van IB zien, begrijpen en hieraan mee willen werken. Awareness campagnes zijn een vak apart waar niet echt veel informatie over is te vinden. Zelf heb ik er wel wat ervaring mee op gedaan tijdens mijn werk. Het probleem zit hem ook een beetje in de aanpak die word gehanteerd bij het uitvoeren van het IB traject. Er zijn veel manieren om een dergelijk traject in te richten, elk met een ander resultaat.

Zo zie je ook heel veel verschillen in de inhoud en opbouw van een beveiligingsbeleid. Het ene beleid is een vrij uitgebreid veel omvatten document dat bv ook de password policies voorschrijft. Het andere beleid beschrijft alleen een aanpak en richtlijnen / regels + verantwoordelijkheden om tot" beveiligingsprogramma's/ plannen" te komen. Al met al een zeer uitgebreide materie.

Ik verbaas mij er persoonlijk over dat er nog geen aangepaste versie is van deel II van de Code voor IB. Deze is al een tijd geleden aangekondigd omdat dit deel van de code nog vatbaar is voor verbeteringen.

Kijk eens hier. Dit is een eenvoudige maar effectieve tool om awareness te verbeteren.

Alhoewel dat soort dingen natuurlijk meehelpen is de effectiviteit ervan behoorlijk laag. Het is belangrijk de awareness programma's leuk te maken en toe te spitsen op het bedrijf.

Berichten als "e-mail bijlagen kunnen kwaardaardig zijn" zijn niet echt pakkend genoeg imho.

Als onderdeel van een awareness programma kan het natuurlijk een mooi hulpmiddel zijn mits je ook je eigen teksten / plaatjes etc kan toevoegen.

[ Voor 50% gewijzigd door Bor op 15-03-2004 08:56 ]

Virusscanners op de laptops en harddisk encryptie, vpn access naar het netwerk voor de thuiswerker.

[ Voor 33% gewijzigd door Bor op 25-03-2004 11:54 ]

Ik ben juist bezig met de implementatie hiervan. Heb van de originele code een aangepaste versie gemaakt voor mijn organisatie. Het implementatietraject is echter grotendeels gericht op awareness aangezien beveiliging volgens deze code verder gaat dan alleen de ICT beveiliging en dus absoluut een MT issue moet zijn. Eerste stap die gepland is is een presentatie aan het MT nog voordat de code aan hen gegeven wordt. De presentatie is erop gericht om een discussie omtrent het onderwerp op gang te brenegen zodat mensen het belangrijk gaan vinden dat er een code komt.
De praktijk leert vaak dat managers bij ontvangst van dit soort omvangrijke stukken alleen nog maar kijken naar kosten en rendement terwijl informatiebeveiliging een breder issue is waarbij privacy van cliëntinformatie een belangrijke rol speelt (in mijn sector)
Tips voor de implementatie zijn welkom.

[ Voor 6% gewijzigd door pbd op 11-04-2007 11:48 ]

Kun je daar iets meer over vertellen? Je gaat het MT een "eigen versie" van de Code geven zodat zij het kunnen gaan implementeren? Of is het alleen om awareness te creeeren (dat red je niet met "alleen" een presentatie).

Voor sprint is toch ook niet echt goede software voor? Sprint vind ik zelf niet heel erg goed moet ik zeggen. Cramm word ook bij defensie gebruikt maar kost heel veel tijd om alles in models te zetten.

Bor_de_Wollef schreef op 31 maart 2004 @ 10:13:
Kun je daar iets meer over vertellen? Je gaat het MT een "eigen versie" van de Code geven zodat zij het kunnen gaan implementeren? Of is het alleen om awareness te creeeren (dat red je niet met "alleen" een presentatie).

Nee niet helemaal. Aangepaste versie is misschien ook niet het juiste woord, uitgewerkte versie is beter.
Er is onlangs een AO/IC uitgevoerd en diverse audits. Eén van de uitkomsten daarvan was het ontbreken van informatiebeveiligingsbeleid. Ik was al bezig met het ontwikkelen van dit beleid aangezien ik kortgeleden ook een gedragscode internet/emailgebruik ingevoerd heb. De presentatie is puur bedoeld om het MT enigszins voor te bereiden op de impact van een dergelijke code (NEN).
Ik heb gemerkt dat de overige MT leden niet duidelijk een beeld hebben wat informatiebeveiliging in de breedste zin van het woord omhelst. Dit heeft o.a. te maken met dat de organisatie in korte tijd enorm gegroeid is en de meeste MT leden nog steeds te klein denken. Even enorm overdreven: bij informatiebeveiliging denken sommigen aan wachtwoordbeveiliging. Op zich geen probleem in directe zin maar wel belangrijk om te onderkennen.
Ik verwacht ook geen awareness te bereiken d.m.v. een presentatie, dit maakt slechts deel uit van een breder traject die aangezwengeld is door de AO/IC. Ik merk de laatste tijd namelijk ook dat individuele gesprekken meer impact lijken te hebben en onderwerpen daardoor meer gaan leven dan door simpel een beleidsnotitie voor te leggen.

[ Voor 17% gewijzigd door pbd op 11-04-2007 11:50 ]

HomeY schreef op 21 april 2004 @ 14:50:
[...]


Nee niet helemaal. Aangepaste versie is misschien ook niet het juiste woord, uitgewerkte versie is beter.
Ik ben zelf ook lid van het MT. Er is onlangs een AO/IC uitgevoerd en diverse audits. Eén van de uitkomsten daarvan was het ontbreken van informatiebeveiligingsbeleid (nieuwe gefuseerde organisatie). Ik was al bezig met het ontwikkelen van dit beleid aangezien ik kortgeleden ook een gedragscode internet/emailgebruik ingevoerd heb. De presentatie is puur bedoeld om het MT enigszins voor te bereiden op de impact van een dergelijke code (NEN).
Ik heb gemerkt dat de overige MT leden niet duidelijk een beeld hebben wat informatiebeveiliging in de breedste zin van het woord omhelst. Dit heeft o.a. te maken met dat de organisatie in korte tijd enorm gegroeid is (door fusies) en de meeste MT leden nog steeds te klein denken. Even enorm overdreven: bij informatiebeveiliging denken sommigen aan wachtwoordbeveiliging. Daar komt nog bij dat managers in de zorgsector veelal zelf afkomstig zijn uit het primaire proces (zorg) en dus vaak weinig kaas gegeten hebben van de 'harde' kant van het werk. Op zich geen probleem in directe zin maar wel belangrijk om te onderkennen.
Ik verwacht ook geen awareness te bereiken d.m.v. een presentatie, dit maakt slechts deel uit van een breder traject die aangezwengeld is door de AO/IC. Ik merk de laatste tijd namelijk ook dat individuele gesprekken meer impact lijken te hebben en onderwerpen daardoor meer gaan leven dan door simpel een beleidsnotitie voor te leggen.

Oeps...Zie je mail

[ Voor 12% gewijzigd door Wokschotel op 22-04-2004 15:17 ]

Voor school moet ik een voorbeeld hebben van een Security Policy, ik kan ze helaas alleen in het engels vinden weet iemand van jullie waar ik deze in het Nederlands kan vinden. Bijvoorbeeld Nen BS7779 of moet je hier altijd voor betalen?

Groet

Amansio

Verwijderd schreef op maandag 25 april 2005 @ 10:09:
Voor school moet ik een voorbeeld hebben van een Security Policy, ik kan ze helaas alleen in het engels vinden weet iemand van jullie waar ik deze in het Nederlands kan vinden. Bijvoorbeeld Nen BS7779 of moet je hier altijd voor betalen?

Groet

Amansio

Modbreak:

Als de oplossing gewoon legaal is, post het dan hier. Anders doe je het maar niet via GoT

[ Voor 14% gewijzigd door pasta op 26-04-2005 13:51 ]

Voor mijn afstudeerstage ben ik bezig met het opstellen van een informatiebeveiligingsplan voor een gemeente.

Ik ben op zoek naar de code voor informatiebeveiligingsbeleid nen19997:2002.
Is deze enkel te bestellen via de Nen Normshop?

alvast bedankt voor de hulp!

De code voor informatiebeveiliging is inderdaad alleen bij NeN te koop.

Wat voor aanpak ga je volgen om tot een informatiebeveiligingsplan te komen? Heb je al ervaring op dit vlak? Interessante opdracht Hopelijk wil je je bevindingen met ons delen wat betreft aanpak, struikelblokken etc. Hoeveel tijd heb je gekregen voor deze opdracht?

Bor de Wollef schreef op dinsdag 11 oktober 2005 @ 10:56:
De code voor informatiebeveiliging is inderdaad alleen bij NeN te koop.

Wat voor aanpak ga je volgen om tot een informatiebeveiligingsplan te komen? Heb je al ervaring op dit vlak? Interessante opdracht Hopelijk wil je je bevindingen met ons delen wat betreft aanpak, struikelblokken etc. Hoeveel tijd heb je gekregen voor deze opdracht?

Ok bedankt!

Ik heb enige ervaring omdat EDP wel een onderdeel is van mijn studie maar ik heb het nog nooit in de praktijk toegepast.

Ik heb een half jaar om mijn opdracht te voltooien. Ik ben van plan om aan de hand van de code van informatiebeveilging een eigen norm op te stellen die toepasbaar is op de gemeente.
Onderdelen die niet van toepassing zijn haal ik eruit, en door wetten en regelgevingen die specifiek voor een gemeente van toepassing zijn (bijv. GBA, WBP etc.) zal ik aanvullingen moeten doen op de code voor informatiebeveiliging. Daarna ga ik aan de hand van interviews binnen de organisatie inventariseren of er wel/niet aan de aan de norm voldaan wordt. Uiteindelijk zal daar een prioriteitenlijst van maatregelen uitrollen. Aan de organisatie dan zelf te beslissen welke ze gaan implementeren.

Ik heb natuurlijk ook een informatiebeveiligingsbeleid op moeten stellen, dit gaat over 2 weken naar het MT, waarbij ik een korte presentatie zal houden.

Het is zeker een interessante opdracht, zeker omdat het over het algemeen nog op vrijwel geen enkel niveau speelt binnen de organisatie, natuurlijk is er wel het een en ander gedaan maar er is nog niets structureel vastgelegd. Awareness moet vanuit de opleiding specifiek een onerdeel zijn om aan te werken, om te voorkomen dat er enkel een -plan wordt opgesteld omdat het er 'moet' zijn.

tips e.d. zijn natuurlijk altijd welkom!

Omdat je specifiek naar gemeenten kijkt: check de sites van en neem evt. contact op met VNG, EGEM en ICTU.

De 2005 editie is dacht ik een nieuwe uitgave die weer beter de BS7799 en andere standaarden volgt. Misschien een vreemde vraag, maar valt een gemeente niet deels onder het VIR (Voorschrift informatiebeveiliging rijksoverheid)?

Het VIR is formeel niet van toepassing op een gemeentelijke organisatie. Het VIR is opgesteld voor de (rijks)overheid.

VIR: goede vraag. "Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen." Nee, mischien is het als inspiratiebron te nemen.

160? Ik zie 'm staan voor 140?
Het lijkt me niet verstandig te gaan kijken naar de oudere versie. Een NL vertaling is er trouwens geloof ik nog niet. Kijk evt ook naar de - goedkopere en NL - NEN 7799-2:2004 nl

F_J_K schreef op dinsdag 11 oktober 2005 @ 12:19:
VIR: goede vraag. "Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen." Nee, mischien is het als inspiratiebron te nemen.

edit:
Aha, ik ben spuit 11

160? Ik zie 'm staan voor 140?
Het lijkt me niet verstandig te gaan kijken naar de oudere versie. Een NL vertaling is er trouwens geloof ik nog niet. Kijk evt ook naar de - goedkopere en NL - NEN 7799-2:2004 nl

offtopic:
Trouwens: als je binnen 24 uur een extra reply wilt zetten zonder dat anderen hebben gereageerd, gebruik dan ajb even de edit knop naast je eigen bericht. Dat houdt het beter leesbaar

idd €140. er is inderdaad nog geen Nederlandse vertaling.

De NL - NEN 7799-2:2004 nl is niet de code zelf, dit is de norm Managementsystemen voor informatiebeveiliging, een specificatie met richtlijnen voor gebruik. De meest recente voor de laatste versie van 2005 is volgens mij toch die van 2002.

Weet ik, het was niet mijn bedoeling te doen voorkomen alsof het een vervanger ipv. mogelijk interessante aanvulling was

F_J_K schreef op dinsdag 11 oktober 2005 @ 12:51:
Weet ik, het was niet mijn bedoeling te doen voorkomen alsof het een vervanger ipv. mogelijk interessante aanvulling was

die aanvulling is voor mij op dit moment nog niet interessant Toch bedankt!

Verwijderd schreef op dinsdag 11 oktober 2005 @ 11:14:
[...]

Ik heb natuurlijk ook een informatiebeveiligingsbeleid op moeten stellen, dit gaat over 2 weken naar het MT, waarbij ik een korte presentatie zal houden.

Welke aanpak heb je daar voor gebruikt als ik vragen mag? Ik zie nogal verschillende beleidsvormen namelijk. De ene is een algemeen verhaal, de andere direct toegespitst op de Code voor informatiebeveiliging. Zat dit beleid openbaar worden gemaakt trouwens (openbaarheid van bestuur)?

in het beleid ben ik ingegaan op algemene zaken:
- Definitie informatiebeveiliging
- Doel van het beleid
- Kaders
- Reikwijdtje beleid
- Het proces informatiebeveiliging
- Uitgangspunten en randvoorwaarden
- Wettelijk kader
- Organisatie, taken en verantwoordelijkheden
- Toetsing
- Melding van incidenten
- Bevorderen beveiligingsbewustzijn

Bij het opstellen van het plan zal ik het beleid als uitgangspunt gebruiken.

Of het openbaar wordt gemaakt weet ik nog niet. Het zal eerst door het MT en het college van B&W moeten.

Over het algemeen worden dit soort stukken niet echt openbaar. Het ging om beveiliging, weet je nog?

Maar als ik jou was, zou ik eens (gewoon telefonisch!) te raden gaan bij de VNG of aanverwante instanties. Zeggen dat je student bent helpt je vaak heel veel om iets voor (bijna) niets te pakken te krijgen
Ik kon destijds geen in-depth info over SAP krijgen....1 telefoontje naar SAP support met de melding dat ik student was, was voldoende om alle info te krijgen die ik nodig had.

Want vergeet niet: ieder persoon op een HBO / WO positie is ooit student geweest, en kan zich dus volledig in je inleven

The_Eagle schreef op woensdag 12 oktober 2005 @ 09:33:
Over het algemeen worden dit soort stukken niet echt openbaar. Het ging om beveiliging, weet je nog?

Maar als ik jou was, zou ik eens (gewoon telefonisch!) te raden gaan bij de VNG of aanverwante instanties. Zeggen dat je student bent helpt je vaak heel veel om iets voor (bijna) niets te pakken te krijgen
Ik kon destijds geen in-depth info over SAP krijgen....1 telefoontje naar SAP support met de melding dat ik student was, was voldoende om alle info te krijgen die ik nodig had.

Want vergeet niet: ieder persoon op een HBO / WO positie is ooit student geweest, en kan zich dus volledig in je inleven

bedankt voor de tip!

The_Eagle schreef op woensdag 12 oktober 2005 @ 09:33:
Over het algemeen worden dit soort stukken niet echt openbaar. Het ging om beveiliging, weet je nog?

Zoek maar eens op internet, veel bedrijven hebben daar hun informatiebeveiligingsbeleid staan hoor. Daarnaast is er iets zoals openbaarheid van bestuur wat voor een gemeente geldt. Als het beleid geen echte maatregelen beschrijft maar meer de aanpak neerzet is er niet zo veel op tegen om dit openbaar te maken. Er zijn veel manieren om een beleid te maken, bij het ene bedrijf is het beleid ook gelijk het informatiebeveiligingsplan, bij het andere bedrijf beschrijft het eigenlijk alleen wat informatiebeveiliging is, de verantwoordelijkheden etc, bij weer andere is het bijna een copy van de BS7799.

[ Voor 4% gewijzigd door Bor op 12-10-2005 10:25 ]

Verwijderd schreef op dinsdag 11 oktober 2005 @ 11:14:
[...]
tips e.d. zijn natuurlijk altijd welkom!

Leuke opdracht. Ik heb iets soortgelijks gedaan maar niet bij de overheid. Mijn doel was het schrijven van een informatiebeveiligingsplan op basis van het beleid van de moederbedrijf (zeer grote verzekeraar) nav een audit/nulmeting en het gestelde beleid om daarna het bedrijf (intern) gecerticeerd te krijgen. Ik moest echt op nu beginnen, maar had wel een blanco cheque tot mijn beschikking. Begin vorig jaar zijn we geslaagd voor de certificering en afgelopen jaar hebben we ook een tweede certificering gehaald.

Bij het google-en naar informatiebeveiligingsplan en gemeente kwam ik bij onderstaande link terecht: http://www.bkwi.nl/inform...beeldplan%20gemeente2.htm
Misschien heb je er wat aan ter inspiratie, misschien ook wel niet.

biobak schreef op woensdag 12 oktober 2005 @ 12:25:
[...]
maar had wel een blanco cheque tot mijn beschikking.

Bij het google-en naar informatiebeveiligingsplan en gemeente kwam ik bij onderstaande link terecht: http://www.bkwi.nl/inform...beeldplan%20gemeente2.htm
Misschien heb je er wat aan ter inspiratie, misschien ook wel niet.

wat bedoel je met een blanco cheque?

en bedankt voor de link!

Verwijderd schreef op woensdag 12 oktober 2005 @ 12:52:
[...]


wat bedoel je met een blanco cheque?

Laat ik het zo stellen dat kosten niet zo belangrijk waren

[ Voor 7% gewijzigd door biobak op 12-10-2005 13:07 ]

Mag ik vragen wat jou aanpak is geweest?

Verwijderd schreef op woensdag 12 oktober 2005 @ 13:40:
Mag ik vragen wat jou aanpak is geweest?

Natuurlijk
Het bedrijf waar ik werk is een paar jaar geleden onderdeel geworden van een grote verzekeraar. Deze verzekeraar eist van alle onderdelen dat ze voldoen aan het door het moederbedrijf gestelde beleid gebaseerd op de code voor informatiebeveiliging. Daarom worden de onderdelen regelmatig ge-audit op basis van dit bestaande beleid. Toen we net onderdeel waren geworden bleek uit de eerste audit dat mijn werkgever slecht scoorde op het gebied van informatiebeveiliging. Ik ben daar toen mee aan de slag gegaan. Ik heb materiaal en informatie uit mijn opleiding verzameld en heb toen mijn eigen sjabloon voor een informatiebeveiligingsplan opgesteld. Een van de uitgangspunten was MAPGOOD.
Ik heb bedrijfsprocessen en informatiesystemen geinventariseerd en bekeken waar koppelingen met andere systemen waren ingericht. Ik heb alle informatiesystemen geclassificeerd op de gebieden beschikbaarheid, vertrouwelijkheid en integriteit via een soort van puntensysteem. Vervolgens per systeem onderzocht wat de bedreigingen zijn en hoe groot de risico's zijn. Ik heb bekeken wat de genomen maatregelen zijn en hoe de huidige situatie eruit ziet. Vervolgens per systeem per aspect een serie maatregelen opgesteld als voorstel aan de directie.
Vervolgens zijn we aan de slag gegaan met de implementatie van de gekozen maatregelen (waaronder de ontwikkeling van een nieuw client-volgsysteem) en als kersje op de appelmoes zijn we toen gecertificeerd

biobak schreef op woensdag 12 oktober 2005 @ 14:34:
[...]

Natuurlijk
Het bedrijf waar ik werk is een paar jaar geleden onderdeel geworden van een grote verzekeraar. Deze verzekeraar eist van alle onderdelen dat ze voldoen aan het door het moederbedrijf gestelde beleid gebaseerd op de code voor informatiebeveiliging. Daarom worden de onderdelen regelmatig ge-audit op basis van dit bestaande beleid. Toen we net onderdeel waren geworden bleek uit de eerste audit dat mijn werkgever slecht scoorde op het gebied van informatiebeveiliging. Ik ben daar toen mee aan de slag gegaan. Ik heb materiaal en informatie uit mijn opleiding verzameld en heb toen mijn eigen sjabloon voor een informatiebeveiligingsplan opgesteld. Een van de uitgangspunten was MAPGOOD.
Ik heb bedrijfsprocessen en informatiesystemen geinventariseerd en bekeken waar koppelingen met andere systemen waren ingericht. Ik heb alle informatiesystemen geclassificeerd op de gebieden beschikbaarheid, vertrouwelijkheid en integriteit via een soort van puntensysteem. Vervolgens per systeem onderzocht wat de bedreigingen zijn en hoe groot de risico's zijn. Ik heb bekeken wat de genomen maatregelen zijn en hoe de huidige situatie eruit ziet. Vervolgens per systeem per aspect een serie maatregelen opgesteld als voorstel aan de directie.
Vervolgens zijn we aan de slag gegaan met de implementatie van de gekozen maatregelen (waaronder de ontwikkeling van een nieuw client-volgsysteem) en als kersje op de appelmoes zijn we toen gecertificeerd

Ik heb een aantal vraagjes:

1.Wat bedoel je precies met een sjabloon?
Ik ben bezig met het opstellen van een baseline voor de gemeente. Kan ik dat daarmee vergelijken?

2. Hoe heb je dat sjabloon toegepast?

3. Wat bedoel je met MAPGOOD? zijn dat de componenten behorende bij de processen?

4. voor alle systemen heb je daarna een soort van risicoanalyse uitgevoerd?

Verwijderd schreef op donderdag 13 oktober 2005 @ 08:59:
[...]


Ik heb een aantal vraagjes:

1.Wat bedoel je precies met een sjabloon?

Een sjabloon (engels: template) zodat ik een soort van universeel plan heb dat ik later helemaal opnieuw zou kunnen vullen (bijvoorbeeld elders binnen de organisatie).

Ik ben bezig met het opstellen van een baseline voor de gemeente. Kan ik dat daarmee vergelijken?

Een baseline is min of meer een soort beleid waar het minimaal aan moet voldoen. Het plan dat ik geschreven heb komt voor uit een soort van baseline (beleid) en bevatte ook concrete acties.

2. Hoe heb je dat sjabloon toegepast?

Interviewen, documentatie lezen, mensen lastig vallen, uitzoeken hoe systemen in elkaar zitten en dan nog twee maanden schrijven

3. Wat bedoel je met MAPGOOD? zijn dat de componenten behorende bij de processen?

MAPGOOD: mensen, apparatuur, programmatuur, gegevens, organisatie, omgeving en diensten

4. voor alle systemen heb je daarna een soort van risicoanalyse uitgevoerd?

Klopt. het kan per systeem, maar je zou het ook per bedrijfsproces kunnen doen.

biobak schreef op donderdag 13 oktober 2005 @ 17:49:
[...]


Een sjabloon (engels: template) zodat ik een soort van universeel plan heb dat ik later helemaal opnieuw zou kunnen vullen (bijvoorbeeld elders binnen de organisatie).


[...]

Een baseline is min of meer een soort beleid waar het minimaal aan moet voldoen. Het plan dat ik geschreven heb komt voor uit een soort van baseline (beleid) en bevatte ook concrete acties.


[...]

Interviewen, documentatie lezen, mensen lastig vallen, uitzoeken hoe systemen in elkaar zitten en dan nog twee maanden schrijven


[...]

MAPGOOD: mensen, apparatuur, programmatuur, gegevens, organisatie, omgeving en diensten

[...]

Klopt. het kan per systeem, maar je zou het ook per bedrijfsproces kunnen doen.

Ik denk dat we een verschillende kijk op het geheel hebben. Ik ben dus inderdaad bezig met het opstellen van een baseline, maar ik kan de base-line geen beleid noemen. Het beleid beschouw ik als een lostaand stuk. De base-line is eerder een richtlijn, een minimale set van normen waaraan de informatievoorziening moet voldoen. Aan de hand van interviewen, documentatie lezen, mensen lastig vallen, uitzoeken hoe systemen in elkaar zitten e.d. ga ik kijken in hoeverre aan de baseline/norm voldaan wordt. Zwakke plekken zullen hierdoor aan het licht komen. Van daaruit ga ik maatregelen opstellen en deze invullen in een prioriteitentabel. Dit is, in mijn geval, inhoudelijk het informatiebeveiligingsplan.

Bij het bedrijf waar ik werk zijn beleid en baseline geintegreerd, omdat de baseline gebaseerd is op het beleid. Dat is een iets andere invalshoek.

Ik ben inmiddels bijna halverwege mijn afstudeerstage

Allereerst heb ik een algemeen informatiebeveiligingsbeleid opgesteld. Dit beleid biedt een kader voor het informatiebeveiligingsplan waarin uiteindelijk concrete voorstellen worden gedaan m.b.t. tot het nemen van maatregelen. Het beleid heb ik inmiddels toegelicht bij het MT, waar het goed ontvangen werd. Over enkele weken zal ik het beleid toelichten op het college van B&W.

Op dit moment ben ik bezig met het opstellen van het informatiebeveiligingsplan.
Ik heb een Norm opgesteld voor een gemeentelijke organisatie. Ik ben uitgegaan van de Code voor Informatiebeveiliging. Omdat de code geschreven is voor een algemene organisatie heb ik een selectie gemaakt op de behandelde onderdelen. Niet alle onderdelen zijn van toepassing op een gemeentelijke organisatie en behoeven dus ook niet behandeld te worden. Daarnaast gelden er voor een gemeentelijke organisatie specifieke wetten, die niet zijn opgenomen in de code. Hiervoor heb ik aanvullingen gedaan.

De norm bestaat dus in feite uit:
Norm Gemeente = selectie code voor informatiebeveilging + aanvullingen

Inmiddels ben ik bezig met het toetsen van de huidige situatie aan de opgestelde norm. Hierbij ben ik aan de hand van interviews door de gehele organisatie aan het inventariseren in hoeverre aan de norm voldaan wordt.

mijn volgende stap zal het opstellen van maatregelen zijn, op punten waarbij niet voldaan wordt aan de norm. Tevens dienen deze maatregelen gewogen te worden zodat duidelijk wordt welke de hoogste prioriteit hebben.

Daarnaast is het vanuit de opleiding de bedoeling om het beveiligingsbewustzijn van alle medewerkers te verhogen en om er voor te zorgen dat er ook daadwerkelijk iets gedaan wordt met het -beleid en informatiebeveiligingsplan.

Nu zit ik met een tweetal vragen:

1. Hoe kan ik het beste een weging meegeven aan de maatregelen zodat inzichtelijk wordt welke maatregelen prioriteit hebben? Moet ik dan kijken naar het risico dat er gelopen wordt wanneer ze niet genomen worden? Moet ik rekening houden met de kosten?

Stel: een van de maatregelen is het benoemen van een beveiligingsfunctionaris. Hoe kan ik hier een weging aan meegeven? Een ander voorbeeld: Het brandalarm dient tenminste eenmaal per jaar getest te worden. Met welke factoren moet ik rekening houden bij mijn beoordeling van de maatregelen?

2. Welke acties kan ik ondernemen / stellen jullie voor om het beveiligingsbewustzijn van de medewerkers te verhogen?

Alvast bedankt!

Hoe gaat het inmiddels? Erg interessant om je bevindingen te lezen. Welke bronnen gebruik je naast de Code voor Informatiebeveiliging? Hoe ga je het voldoen aan de norm toetsen / laten toetsen?

Een laatste poging om toch nog eens te horen hoe dit is afgelopen. Is het project inmiddels afgelopen? Welke struikelblokken ben je in de praktijk tegen gekomen?

Zijn er momenteel mensen die nog betrokken zijn bij een informatiebeveiligingstraject?

Ik hoop wat ervaringen te kunnen delen, met name met betrekking tot de risicoanalyse

Ik ben niet betrokken bij een project op dit moment maar vind het topic nog steeds interessant. Waar ben jij mee bezig en welke methode voor risico analyse gebruik je? Ik merk zelf dat er op risico analyse vlak niet heel erg veel standaard is te vinden behalve CRAMM etc. Ook de Code voor Informatiebeveiliging is niet echt duidelijk op dat vlak.

[ Voor 34% gewijzigd door Bor op 06-02-2007 19:10 ]

Ik ben bezig met een traject dat moet leiden tot certificering van een softwareontwikkelproces.
natuurlijk een proces waar intensief gebruik gemaakt van IT. Als het gaat om certificering op basis van ISO 27001 is met name een gedegen risicoanalyse van belang.

CRAMM is wat dat betreft echt de defacto standaard, maar allesbehalve geschikt gezien de omvang van ons traject en de prijs van een CRAMM-licentie.

Na een intensieve literatuurstudie ben ik uitgekomen bij een Afhankelijkheids- en kwetsbaarheidsanalyse (A&K), zoals voorgeschreven in het Voorschrift Informatiebeveiliging Rijksdienst. Kortgezegd bepaal je de mate waarin je proces afhankelijk is van informatiesystemen, en koppel je op basis daarvan betrouwbaarheidseisen. Vervolgens voer je een kwetsbaarheidsanalyse uit, ofwel je bepaalt voor welke kwetsbaarheden de componenten van je IS vatbaar zijn.

Hoe echter vanuit deze A&K-analyse naar een selectie van maatregelen uit de ISO17799/27001 moet worden gekomen, is echter onduidelijk. Het lijkt vooralsnog een kwestie van gezond boerenverstand

Als je op dat gebied een aantal tips hebt, hoor ik ze graag.

Doe informatie uitwisselen gewoon via dit topic, daar is het forum nota bene voor bedoeld.

[ Voor 83% gewijzigd door pasta op 02-03-2007 14:54 ]

Beetje een late kick, maar ik ben ook met een afstudeeropdracht bezig dat precies in dit topic past. Mijn moeilijkheid is dezelfde als yahel had; hoe selecteer je de juiste maatregelen uit de CvIB wanneer je je risico's in kaart hebt?

Omdat het bedrijf voor de eerste keer bewust iets doet met informatiebeveiliging (buiten de gebruikelijke technische maatregelen ala antivirus en firewall) is het huidige idee de CvIB te gebruiken als menukaart waarbij door het bedrijfs-/ICT management de meest essentiële als uitgangspunt genomen worden, vergelijkend met andere 'essentiële' maatregelen uit andere normen. Toch vind ik het nodig daarbij aanvullende maatregelen te selecteren die echt zijn gebaseerd op de bedrijfssituatie. Bij het lezen van boeken/artikelen kom je meestal uit bij dure en lange risicoanalysemethoden als CRAMM, SPRINT e.d. Deze resulteren dan ook nog eens in bergen maatregelen. Dit is niet de bedoeling, ik moet snel tot aanvullende maatregelen komen omdat de opdracht nog andere facetten heeft die zwaarder wegen

Op dit moment is mijn idee iets van een baseline checklist te gebruiken of zelf een kleine risicoanalyse uit te voeren met de ICT Manager. Heb ik goed begrepen dat een baseline checklist alleen onvolkomenheden t.a.v. de baseline (bijv. de CvIB maatregelen) aan het licht brengt en dus niet echt bedrijfsspecifieke risico's? Ik neem aan dat je als uitkomst aandachtsgebieden hebt wat je keuze van maatregelen dan wat eenvoudiger maakt..

Ik heb wel een paar keer gelezen over een documentje van BSI: PD3005 dat moet helpen bij het selecteren van maatregelen. Helaas kost die een paar tientjes en weet ik niet of ik er wat aan ga hebben Het is bijvoorbeeld gebaseerd op BS17799.

Zijn er nog mensen met ervaringen op dit gebied? Hoe is het met de afstudeerders en projectmanagers uit dit topic afgelopen?

Google eens op informatie beveiligings plan of informatie beleidsplan.

In beide gevallen zijn wel enkele documenten te vinden van bv. gemeenten die een IBP opgezet hebbben aan de hand van de Code voor Informatie Beveiliging. In deze plannen staan ook behoorlijk wat maatregelen die je zou kunnen gebruiken als baseline checklist

Meer info heb ik helaas nog niet voor je aangezien ik zelf net ben begonnen met informatie verzamelen over het opstellen van een Informatie Beveiligings Plan voor een gemeente.

Pluk schreef op woensdag 27 februari 2008 @ 09:44:
Google eens op informatie beveiligings plan of informatie beleidsplan.

In beide gevallen zijn wel enkele documenten te vinden van bv. gemeenten die een IBP opgezet hebbben aan de hand van de Code voor Informatie Beveiliging. In deze plannen staan ook behoorlijk wat maatregelen die je zou kunnen gebruiken als baseline checklist

Meer info heb ik helaas nog niet voor je aangezien ik zelf net ben begonnen met informatie verzamelen over het opstellen van een Informatie Beveiligings Plan voor een gemeente.

Voorbeelden van IB beleidsstukken en -plannen heb ik al, net als boeken en artikelen die de mogelijke opbouw daarvan bespreken. Wat je veel ziet is dat de CvIB wordt gebruikt als leidraad voor maatregelen.

De CvIB heb ik, net als wat andere best practices (Duitse, Engelse), dus bergen mogelijke maatregelen Her en der wordt wel aangegeven welke daarvan echt essentieel zijn, maar hoe selecteer je de juiste aanvullende maatregelen? Het moet allemaal pragmatisch en binnen de perken blijven, het is nog maar een start. De mogelijkheden die ik zie en mogelijk acht in een korte tijd te realiseren zijn:

> baseline checklist uitvoeren waardoor duidelijk wordt op welke gebieden we wellicht risico's nemen doordat we op die gebieden slecht scoren (begrijp ik de baseline checklist aanpak zo goed?)

> keuzes maken uit de menukaart van mogelijke maatregelen op wat we belangrijk vinden (we is hierbij het management wat als het goed is ook redelijk kan inschatten wat echt belangrijk is)