Code voor Informatie beveiliging en certificeren

13 belangrijke vragen over Code voor Informatie beveiliging en certificeren

Wat is de Code, en wat is de meerwaarde

De Code (CoP, 2000) is een leidraad voor praktische informatiebeveiliging. De code biedt een gemeenschappelijke basis om beveiligingsbeleid te ontwikkelen., maatregelen te selecteren, de nodige plannen op te stellen en zo tot beveiliging op maat te komen.

De code kan worden gebruikt om de informatiehuishouding op orde te krijgen
De code biedt een gemeenschappelijk referentiekader
De code bevorderd het vertrouwen in handelsverkeer (EDI)

Waarom kan je niet zomaar spreken over gebrekkige technische beveiliging

Het gaat altijd om het evenwicht tussen beveiligingsmaatregelen (fysiek, technisch en organisatorisch) en inbedding in de organisatie.

Wat is het uitgangspunt van de code

Het doel van de code is het waarborgen van de continuiteit van bedrijfsprocessen en het minimaliseren van de schade die direct of indirect ontstaat door beveiligingsincidenten. Dit doel wordt bereikt door het treffen van een evenwichtig pakket van preventieve, detectieve, repressieve en correctieve maatregelen. Hierbij gaat het om de drie eenheid: Vertrouwelijkheid, Integriteit en Beschikbaarheid.
  • Hogere cijfers + sneller leren
  • Niets twee keer studeren
  • 100% zeker alles onthouden
Ontdek Study Smart

Welke maatregelen eerst


Een klein aantal maatregelen binnen de code is onmisbaar omdat ze essentieel zijn(Wettelijke eisen) of fundamenteel(nodig voor management raamwerk) zijn voor de informatiebeveiliging
Essentiële maatregelen vanuit wettelijk oogpunt
  • Voorkomen van onrechtmatig kopiëren van programmatuur of informatie
  • Veiligstellen van bedrijfskritische documenten ivm wettelijke eisen
  • Bescherming van persoonsgegevens

Essentiële maatregelen die de basis vormen van beveiliging
  • Doelstelling voor beveiliging (beveiligingsbeleid)
  • Toewijzing van verantwoordelijkheden
  • Training en opleiding
  • Rapportage en afhandeling van beveiligingsincidenten
  • Continuiteitsplannning


Deze zaken moeten bovenaan de prioriteitslijst worden geplaatst. Deze vormen tevens de basis voor de managementcyclus. (Plan, Do, Check)

Welke drie bronnen worden door de code genoemd voor het opstellen van beveiligingsdoelstellingen

  • Inschatten van de grootste beveiligingsrisico's (bedreigingen en zwakke plekken) voor de informatie in de computers en netwerken. Om deze top 10 van risico's te benoemen kan de lijst van essentiele maatregelen worden gebruikt.
  • Een externe conformiteitsanalyse; wat schrijven wetten en regels en niet te vergeten contracten voor; en wat zijn goede gebruiken in de branche. Voorbeeld hierbij de privacywetgeving waarvoor de registratiekamer waarin de in redelijk te verwachten beveiliging is beschreven.
  • Vervolgens kan je intern toetsen:  uitgaande van bedrijfsdoelstellingen worden de implicaties van voor ontwikkelingen bepaald en wordt de vraag beantwoord hoe beveiliging hierop moet acteren

Waarom wordt er gecertificeerd en welke twee hoofdvormen zijn er

Om het vertrouwen in en tussen organisaties te bevorderen wordt er getoetst aan een norm. Indien hieraan voldaan wordt kan er kwaliteitswaarmerk of certificaat worden afgegeven. Certificeren valt onder te verdelen in  proces- of systeemgerichte certificatie of productgerichte certificatie.
  1. proces- of systeemcertificatie toetst het managementsysteem dat voor informatiebeveiling wordt ingezet. De certificatie vindt plaats tegen de code voor informatiebeveiliging
  2. Product certificatie richt zich op producten / hardware of software. Hierbij maakt men gebruik van de Common Criteria, het orange book (TCSEC) of de (ITSEC)

Welke informatie heeft de certificeerder voor het certificatieproces nodig

Hij moet eerst inzicht krijgen in de organisatie of het te certificeren onderdeel. en weten hoe er met risico's wordt omgegaan. Hiervoor heeft hij documentatie nodig:
Wat is het beleid voor informatiebeveiliging van de organisatie
Wat is de reikwijdte van het managementsysteem
Wat is de afhankelijkheid van de IT middelen en wat zijn de relavante bedreigingen
Hoe gaat de organisatie om met specifieke bedrijfsafhankelijkheden en bedreigingen.

Wat zijn de stappen die leiden tot certificatie

Voor de certificering tegen de code zijn 6 stappen beschreven:
  1. De aanvraag tot certificatie; De organisatie stelt hier de conformiteitsverklaring op.
  2. Proefonderzoek (optioneel)
  3. Documenten onderzoek; Hierbij wordt gekeken of de documentatie voldoet en of de eigen norm een juiste en passende interpretatie van de code vormt
  4. Implementatieonderzoek: De certificatieorganisatie rapporteert in hoeverre de eigen norm is geimplementeerd
  5. Eindrapportage
  6. Beslissing tot certificatie.

Wat is de meerwaarde van een eigen verklaring

Middels een eigen verklaring geeft een organisatie publiekelijk aan dat er serieuze inspanningen zijn en worden verricht aan informatiebeveiliging. Omdat een eigen verklaring feitelijk niet meer is dan de slager die zijn eigen vlees keurt is de vervolgstap (certificering) gewenst

Wat is het verschil tussen de eigen verklaring en certificeren

Het traject is grotendeels gelijk alleen wordt de toetsing door een onafhankelijke auditor uitgevoerd. Deze auditor is geacrediteerd door de Raad van Accreditatie.

Is een tekortkoming fataal voor certificering

Een tekortkoming hoeft een certificaat niet in de weg te staan. Als een auditor een afwijking van de norm constateert dan meldt hij dat aan de organisatie. Er zijn dan een drietal opties:
  1. Een tekortkomen wordt opgenomen als verbeterpunt en bij een volgende controle meegenomen.
  2. Een tekortkoming staat het certificeringstraject niet in de weg maar moet binnen een vastgestelde termijn voordat wordt gecertificeerd worden verholpen.
  3. Een tekortkoming moet worden verholpen voordat het certificeringsproces verder kan gaan.

Wat is de geldigheid van een certificaat en welke eisen gelden er tav de controle

Een certificaat is 3 jaar geldig. Ieder jaar moet er een controle plaats vinden op er nog aan de normen wordt voldaan en of het managementsysteem nog actueel is.

Op welke 4 uitgangspunten is het OrangeBook gebaseerd

  • Beveiligingsstrategie (Security Policy) - Het boek basseert zich op de Toegangsregels volgens het principe van Bell-laPaluda. Alle gegevens worden geclassificeerd. Alle gebruikers hebben een bevoegdheidsniveau wat samenhangt met hun plaats in de hierarchie. Iemand is bevoegd tot en met "geheim".
  • Toerekenbaarheid (Accountability) - activiteiten zijn altijd te herleiden tot de betreffende persoon.
  • Zekerheid (Assurance) - Het systeem moet zodanig zijn geconstrueerd dat het bedoelde beveiligingsniveau ook daadwerkelijk geboden wordt.
  • Documentatie - Alle beveiligingsmaatregelen moeten gedocumenteerd zijn, hiermee wordt transparantie van de beveiliging gestimuleerd

De vragen op deze pagina komen uit de samenvatting van het volgende studiemateriaal:

  • Een unieke studie- en oefentool
  • Nooit meer iets twee keer studeren
  • Haal de cijfers waar je op hoopt
  • 100% zeker alles onthouden
Onthoud sneller, leer beter. Wetenschappelijk bewezen.
Trustpilot-logo