Startpagina / Samenvattingen / Class notes - Management van Informatiebeveiliging / code-certificatie-maatregelen

Code voor Informatie beveiliging en certificeren

13 belangrijke vragen over Code voor Informatie beveiliging en certificeren

Wat is de Code, en wat is de meerwaarde

De Code (CoP, 2000) is een leidraad voor praktische informatiebeveiliging. De code biedt een gemeenschappelijke basis om beveiligingsbeleid te ontwikkelen., maatregelen te selecteren, de nodige plannen op te stellen en zo tot beveiliging op maat te komen.

De code kan worden gebruikt om de informatiehuishouding op orde te krijgen
De code biedt een gemeenschappelijk referentiekader
De code bevorderd het vertrouwen in handelsverkeer (EDI)

Waarom kan je niet zomaar spreken over gebrekkige technische beveiliging

Het gaat altijd om het evenwicht tussen beveiligingsmaatregelen (fysiek, technisch en organisatorisch) en inbedding in de organisatie.

Wat is het uitgangspunt van de code

Het doel van de code is het waarborgen van de continuiteit van bedrijfsprocessen en het minimaliseren van de schade die direct of indirect ontstaat door beveiligingsincidenten. Dit doel wordt bereikt door het treffen van een evenwichtig pakket van preventieve, detectieve, repressieve en correctieve maatregelen. Hierbij gaat het om de drie eenheid: Vertrouwelijkheid, Integriteit en Beschikbaarheid.
  • Hogere cijfers + sneller leren
  • Niets twee keer studeren
  • 100% zeker alles onthouden
Ontdek Study Smart
Testimonial person
Paloma
Rechten
Quotes

Voor mijn 1e tentamen haalde ik een 6. Toen ben ik gaan zoeken naar manieren om beter te leren en ben ik Study Smart tegen gekomen. Sindsdien heb ik een 9,0 - 8,0 - 7,6 - 8,0 - 8,0 gehaald. Ik raad het echt íédereen aan die het maar horen wil. Ik ben er zo blij mee!!

Testimonial person
Zeger
Handels- wetenschappen
Quotes

Met mijn oude methode was ik geslaagd voor maar 3 van de 8 vakken. Sinds ik mijn aantekeningen digitaal maak in study smart, ben ik voor alle vakken de éérste keer geslaagd. StudySmart neemt voor mij de stress van slagen of niet slagen weg.

Testimonial person
Sara
Bestuurskunde
Quotes

Door StudySmart gaat het op zo veel vlakken beter met mij. Eerst had ik continu studiestress en ik had nergens tijd voor. Nu voel ik mij rustig en zelfverzekerd (door gebruik van het programma). Eerst haalde ik meestal een 7, nu vaak een 8 of zelfs een 9.

Testimonial person
Fleur
Bedrijfskunde HBO
Quotes

Hey Chris, ik wil je echt hartelijk danken voor het ontwikkelen van het platform. Ik haalde hiervoor altijd rond de 6/10 voor m'n tentamens, nu een 8,6, een 7,9 en een 7,6!!

Testimonial person
Amber
Psychologie (master)
Quotes

Sinds ik Study Smart gebruik, is mijn gemiddelde 1 punt gestegen. Ik heb zelfs een statistisch vak met een 10/10 afgerond terwijl ik slecht ben in statistiek. Nu volg ik extra vakken omdat vorig jaar zo goed ging door Study Smart. Veel dank!

Testimonial person
Jana
Verpleegkunde
Quotes

Sinds ik ben gaan leren met StudySmart ben ik geslaagd voor al mijn examens!!! Geen herexamens!! Eerst was ik al blij met een voldoende en nu haal ik alleen maar goede cijfers. Veel dank!

Testimonial person
Miloe
24 – Student B&O
Quotes

Ik heb alle vakken die ik met Study Smart heb geleerd gehaald. Met rechten ben ik van een 5 naar een 8 gegaan! Ik weet nu zeker dat ik al mijn vakken gewoon ga halen.

Testimonial person
Nina
19 – Student Communication
Quotes

Ik dacht altijd dat ik goed studeerde. Mijn cijfers waren ook prima. Ik had mij nooit kunnen voorstellen dat ik zo veel beter en sneller zou studeren door het toepassen van deze vaardigheden.

Testimonial person
Babette
19 – Student Marketing
Quotes

Ik voel mij voor het eerst 100% zeker over de manier waarop ik leer. Ik heb nu het complete overzicht en de structuur die ik nodig had

Testimonial person
Kurt
22 – Student Industrial Eng
Quotes

Door Study Smart kreeg ik weer plezier in het studeren en haalde ik direct betere cijfers. Alles ging ineens beter. Ik raad Study Smart enorm aan aan scholieren en studenten.

Testimonial person
Regan
24 – Student Law
Quotes

Met dit plaform kan ik super snel en gestructueerd studeren. Ik ben nooit meer de weg kwijt in de stof of in mijn aantekeningen en maak veel sneller goede samenvattingen.

Testimonial person
Wouter
21 – Student Psychology
Quotes

Eerst waren mijn aantekeningen een zooitje. Nu gebruik ik Study Smart en studeer ik super gestructureerd. Het helpt mij om tijd te besparen waardoor ik ook andere dingen kan doen die ik belangrijk vind.

Testimonial person
Janneke T
Teacher
Quotes

Leerlingen die met het systeem hebben gewerkt hebben gewoon een beter resultaat behaald. Het systeem past alle leertrucjes zo toe, dat zowel de kinderen die goed scoren, maar ook zij die minder scoren, aan hun trekken komen.

Testimonial person
Sietse
Muziektherapie
Quotes

Hey Chris, ik wil je enorm bedanken. Het vak waar ik vorig jaar nog net een 5,5 voor haalde, heb ik nu voor ditzelfde vak maar liefst een 9,7 gehaald! Mede dankzij jouw methode! Heel erg bedankt!

Testimonial person
Marije
Parent
Quotes

Het grootste effect is dat mijn kind veel enthousiaster is over school! Elke ouder wilt graag dat zijn kind het goed doet op school, en Study Smart draagt daar aan bij.

Testimonial person
Delano
Diergeneeskunde
Quotes

Dankzij StudySmart heb ik vorig jaar al mn examens gehaald en ook veel betere punten gehaald. Maar bovenal heb ik nu gewoon een heel goede studiemethode onder de knie, waarmee ik zeker weet dat ik de rest van mijn studie gewoon ga halen.

Welke maatregelen eerst


Een klein aantal maatregelen binnen de code is onmisbaar omdat ze essentieel zijn(Wettelijke eisen) of fundamenteel(nodig voor management raamwerk) zijn voor de informatiebeveiliging
Essentiële maatregelen vanuit wettelijk oogpunt
  • Voorkomen van onrechtmatig kopiëren van programmatuur of informatie
  • Veiligstellen van bedrijfskritische documenten ivm wettelijke eisen
  • Bescherming van persoonsgegevens

Essentiële maatregelen die de basis vormen van beveiliging
  • Doelstelling voor beveiliging (beveiligingsbeleid)
  • Toewijzing van verantwoordelijkheden
  • Training en opleiding
  • Rapportage en afhandeling van beveiligingsincidenten
  • Continuiteitsplannning


Deze zaken moeten bovenaan de prioriteitslijst worden geplaatst. Deze vormen tevens de basis voor de managementcyclus. (Plan, Do, Check)

Welke drie bronnen worden door de code genoemd voor het opstellen van beveiligingsdoelstellingen

  • Inschatten van de grootste beveiligingsrisico's (bedreigingen en zwakke plekken) voor de informatie in de computers en netwerken. Om deze top 10 van risico's te benoemen kan de lijst van essentiele maatregelen worden gebruikt.
  • Een externe conformiteitsanalyse; wat schrijven wetten en regels en niet te vergeten contracten voor; en wat zijn goede gebruiken in de branche. Voorbeeld hierbij de privacywetgeving waarvoor de registratiekamer waarin de in redelijk te verwachten beveiliging is beschreven.
  • Vervolgens kan je intern toetsen:  uitgaande van bedrijfsdoelstellingen worden de implicaties van voor ontwikkelingen bepaald en wordt de vraag beantwoord hoe beveiliging hierop moet acteren

Waarom wordt er gecertificeerd en welke twee hoofdvormen zijn er

Om het vertrouwen in en tussen organisaties te bevorderen wordt er getoetst aan een norm. Indien hieraan voldaan wordt kan er kwaliteitswaarmerk of certificaat worden afgegeven. Certificeren valt onder te verdelen in  proces- of systeemgerichte certificatie of productgerichte certificatie.
  1. proces- of systeemcertificatie toetst het managementsysteem dat voor informatiebeveiling wordt ingezet. De certificatie vindt plaats tegen de code voor informatiebeveiliging
  2. Product certificatie richt zich op producten / hardware of software. Hierbij maakt men gebruik van de Common Criteria, het orange book (TCSEC) of de (ITSEC)

Welke informatie heeft de certificeerder voor het certificatieproces nodig

Hij moet eerst inzicht krijgen in de organisatie of het te certificeren onderdeel. en weten hoe er met risico's wordt omgegaan. Hiervoor heeft hij documentatie nodig:
Wat is het beleid voor informatiebeveiliging van de organisatie
Wat is de reikwijdte van het managementsysteem
Wat is de afhankelijkheid van de IT middelen en wat zijn de relavante bedreigingen
Hoe gaat de organisatie om met specifieke bedrijfsafhankelijkheden en bedreigingen.

Wat zijn de stappen die leiden tot certificatie

Voor de certificering tegen de code zijn 6 stappen beschreven:
  1. De aanvraag tot certificatie; De organisatie stelt hier de conformiteitsverklaring op.
  2. Proefonderzoek (optioneel)
  3. Documenten onderzoek; Hierbij wordt gekeken of de documentatie voldoet en of de eigen norm een juiste en passende interpretatie van de code vormt
  4. Implementatieonderzoek: De certificatieorganisatie rapporteert in hoeverre de eigen norm is geimplementeerd
  5. Eindrapportage
  6. Beslissing tot certificatie.

Wat is de meerwaarde van een eigen verklaring

Middels een eigen verklaring geeft een organisatie publiekelijk aan dat er serieuze inspanningen zijn en worden verricht aan informatiebeveiliging. Omdat een eigen verklaring feitelijk niet meer is dan de slager die zijn eigen vlees keurt is de vervolgstap (certificering) gewenst

Wat is het verschil tussen de eigen verklaring en certificeren

Het traject is grotendeels gelijk alleen wordt de toetsing door een onafhankelijke auditor uitgevoerd. Deze auditor is geacrediteerd door de Raad van Accreditatie.

Is een tekortkoming fataal voor certificering

Een tekortkoming hoeft een certificaat niet in de weg te staan. Als een auditor een afwijking van de norm constateert dan meldt hij dat aan de organisatie. Er zijn dan een drietal opties:
  1. Een tekortkomen wordt opgenomen als verbeterpunt en bij een volgende controle meegenomen.
  2. Een tekortkoming staat het certificeringstraject niet in de weg maar moet binnen een vastgestelde termijn voordat wordt gecertificeerd worden verholpen.
  3. Een tekortkoming moet worden verholpen voordat het certificeringsproces verder kan gaan.

Wat is de geldigheid van een certificaat en welke eisen gelden er tav de controle

Een certificaat is 3 jaar geldig. Ieder jaar moet er een controle plaats vinden op er nog aan de normen wordt voldaan en of het managementsysteem nog actueel is.

Op welke 4 uitgangspunten is het OrangeBook gebaseerd

  • Beveiligingsstrategie (Security Policy) - Het boek basseert zich op de Toegangsregels volgens het principe van Bell-laPaluda. Alle gegevens worden geclassificeerd. Alle gebruikers hebben een bevoegdheidsniveau wat samenhangt met hun plaats in de hierarchie. Iemand is bevoegd tot en met "geheim".
  • Toerekenbaarheid (Accountability) - activiteiten zijn altijd te herleiden tot de betreffende persoon.
  • Zekerheid (Assurance) - Het systeem moet zodanig zijn geconstrueerd dat het bedoelde beveiligingsniveau ook daadwerkelijk geboden wordt.
  • Documentatie - Alle beveiligingsmaatregelen moeten gedocumenteerd zijn, hiermee wordt transparantie van de beveiliging gestimuleerd

De vragen op deze pagina komen uit de samenvatting van het volgende studiemateriaal:

Management van Informatiebeveiliging

Bekijk samenvatting
  • Een unieke studie- en oefentool
  • Nooit meer iets twee keer studeren
  • Haal de cijfers waar je op hoopt
  • 100% zeker alles onthouden
Onthoud sneller, leer beter. Wetenschappelijk bewezen.
Trustpilot-logo

Samenvattingen die gerelateerd zijn aan Organisatie van Informatiebeveiliging