Samenvatting: Novi

Lees hier de samenvatting en de meest belangrijke oefenvragen van novi

• 1 Week 1 hoofdstuk 1 module 'Security Orkestratie'

  Dit is een preview. Er zijn 24 andere flashcards beschikbaar voor hoofdstuk 1
  Laat hier meer flashcards zien

• Wat is information security governance?

  Information security governance is een systeem waarmee een organisatie de beveiliging beheerst, beheert en zich begeeft op bestuurlijk niveau.

• Uit welke onderdelen/lagen bestaat information security governance?

  Information security governance bestaat uit alle tools, personeel en bedrijfsprocessen die ervoor zorgen dat beveiliging wordt uitgevoerd om te voldoen aan de specifieke behoeften van de organisatie

• Wat is het doel van information security governance?

  Het doel van information security governance is het aansturen van IT-gerelateerde inspanningen om ervoor te zorgen dat de IT-prestaties optimaal benut worden.

• Geef voorbeelden door middel van  hoe de IT-gerelateerde inspanningen worden aangestuurd.

  • aansluiting van IT met de onderneming en de realisatie van de beloofde voordelen;
  • gebruik van IT om de onderneming in staat te stellen kansen en voordelen optimaal te benutten;
  • verantwoordelijk gebruik van IT-middelen;
  • geschikt beheer van IT-gerelateerde risico’s.

• Wat houd de rol van de derde linie in?

  Het reviewen van rapportages

• Wat wordt in het zeewering model duidelijk?

  Allereerst dat informatiebeveiliging als primair aangekaart dient te worden binnen het (lijn)management. Zo komen controles op plekken te liggen waar ze horen te liggen. De IT-afdeling is zo bijvoorbeeld zelf verantwoordelijk voor het implementeren van IT-gerelateerde beveiligingsmaatregelen én het uitvoeren van een eerste controle op de goede werking hiervan. Een ander voorbeeld van verantwoordelijkheden op de juiste plek is het regelmatig herzien van uitgegeven accounts en toegangsrechten.

• Noem een valkuil van het zeewering model

  Een valkuil bij de implementatie van dit model is dat de beveiligingsorganisatie te snel de tweede linie bezet, waardoor er een vacuüm ontstaat in de eerste linie. De rest van de organisatie is immers minder goed opgeleid in informatiebeveiliging en is vaak niet in staat zelf de nieuwe taken (zoals self-assessments) uit te voeren.

• Wat is de rol van organisatorische functies?

  De voornaamste is functiescheiding.Verder hebben ze een ondersteunende rol in informatiebeveiliging.

• Beschrijf de volgende rollen, en verantwoordelijkheden binnen de paragraaf 1.4 organisatorische functies.

  1.'Raad van bestuur-eindverantwoordelijk voor alle processen'
  
  2.'Beveiligingsfunctionaris-houd toezicht op algehele beveiligingsbeleid en faciliteert implementatie van dit beleid'
  
  3.'Afdeling IT-audit-toetst en rapporteert aan directie'
  
  4.'Lijnmanager-verantwoordelijk voor implementatie en uitvoering van het beveiligingsbeleid binnen de desbetreffende organisatorische eenheid'
  
  5.'Projectleider-verantwoordelijk voor implementeren en opstellen van beveiligingseisen die specifiek zijn'
  
  6.'leidinggevenden-verantwoordelijk voor een adequate beveiliging van de desbetreffende organisatorische eenheid'
  
  7.'medewerkers-verantwoordelijk voor alle aspecten van beveiliging met betrekking tot de eigen functie'

• Wat is het 'Raad van Bestuur'?

  De raad van bestuur is in principe verantwoordelijk voor alle processen binnen de organisatie. Daarmee ligt er ook een verantwoordelijkheid bij de informatiebeveiliging van de organisatie. De raad van bestuur houdt zich in samenspraak met de chief informatie security officer (CISO) enerzijds bezig met het bekrachtigen en uitdragen van het informatiebeveiligingsbeleid voor de organisatie, en anderzijds met het controleren van de naleving van het beleid en het evalueren van het gerealiseerde beveiligingsniveau.