cloud en iso 27002
TRANSCRIPT
![Page 1: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/1.jpg)
![Page 2: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/2.jpg)
Cloud en ISO27000
Presentatie: Wim Muller
Management Trainer in Personal DevelopmentService-, Security- and Process ManagementACTASITIS
![Page 3: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/3.jpg)
Veilig de Cloud in met ISO 27000?Topics:
Waarde van informatieDe Cloud & InformatiebeveiligingRol ISO 27000Relevante opleidingen
![Page 4: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/4.jpg)
Waarde van Informatie
De waarde van informatie wordt bepaald door de verschillende belanghebbenden bij die informatie
Informatie
Managers
Verkopers
Werkvloer
Bestuur
![Page 5: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/5.jpg)
Waarde van Informatie
De waarde van informatie wordt bepaald door de verschillende belanghebbenden bij die informatie
Informatie
Managers
Onbedoeldebelanghebbenden
Verkopers
Werkvloer
Bestuur
Eigenaars
Klanten
Wetgeving
Politiek
![Page 6: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/6.jpg)
Belang van Informatie
Verschillende perspectieven, verschillende belangenOmgevingsvariabelen van de organisatie veranderen en daarmee de businessvereisten aan informatieOrganisaties zijn steeds meer onderdeel van ketens waardoor informatie steeds meer extern nodig is“Het Nieuwe werken” verandert eisen van businessOntwikkelingen Cloud en “As A Service”
Organisaties kunnen niet zonder informatie
![Page 7: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/7.jpg)
Informatie en businessInformatie is het bloed van de organisatie ....
Directiebestuur
AfdelingAfdeling
Team Team TeamTeam
........ de servers vormen het kloppende hart
![Page 8: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/8.jpg)
Informatie en business
Onderverdeling van business vereisten in drie betrouwbaarheidsaspecten:
BeschikbaarheidWaar, wanneer en bij wie het nodig is.
IntegriteitCorrect, authentiek en tijdig.
VertrouwelijkheidExclusief en gewaarborgde privacy
BIV
![Page 9: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/9.jpg)
De cloud beschouwd vanuit BIV
Uitgebreidere beschikbaarheid mogelijk middels de cloud, maar vereist goede afsprakenNieuwe vereisten vanuit de business, de 3 A’s:
AnytimeAnyplaceAnyway
Beschikbaarheid
![Page 10: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/10.jpg)
De cloud beschouwd vanuit BIV
De cloud vormt een grotere bedreiging voor de aspecten rondom de integriteit van gegevens
Hoe en waar worden ze opgeslagen?Via welke weg komen ze bij ons?Wie kan er bij?
Integriteit
![Page 11: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/11.jpg)
De cloud beschouwd vanuit BIV
De bedreigingen wat betreft vertrouwelijkheid worden talrijker en groter in de Cloud.
Hoe is de opslag beveiligd?Hoe is de communicatie afgeschermd?Hoe groter de omgeving, des te groter het aantal potentiële (cyber)criminelen!
Vertrouwelijkheid
![Page 12: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/12.jpg)
De cloud
Bron: Kurttronics
![Page 13: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/13.jpg)
De cloud
Letterlijk betekent Cloud wolk
![Page 14: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/14.jpg)
In de Cloud
![Page 15: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/15.jpg)
integriteitvertrouwelijkheidbeschikbaarheid
Sturen op business vereisten
![Page 16: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/16.jpg)
In de cloud
Zoeken naar zekerheden:
Dat er conform de BIV-eisen van de business met informatie wordt omgegaanDat de juiste maatregelen worden genomen t.o.v. de algemene bedrijfsrisico's van de organisatie Dat er geen wetten worden overtredenDat lokale wetgeving geldt (bijvoorbeeld privacy)Dat er aantoonbaar continue verbetering isDat er altijd objectieve meting mogelijk isDat ...............
![Page 17: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/17.jpg)
In de cloud
Vertalen van eisen, regels, richtlijnen, principes van business naar aanbiedersBehoefte aan onafhankelijke audits van de verschillende aanbiedersZoeken naar zekerheden middels certificeringBijvoorbeeld via de normen ISO/IEC 27000 .........
![Page 18: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/18.jpg)
ISO/IEC 27000 “familie”
ISO/IEC 27001: specificaties en richtlijnen voor een Information Security Management System (ISMS) (vh BS7799-2)ISO/IEC 27002: praktische richtlijnen voor maatregelen “de code” (vh ISO 17799, BS7799-1)ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 270............
De ISO 27000 “familie” is nog volop in ontwikkeling. Bijvoorbeeld:ISO/IEC 270017 :Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002. (stage 20.20 Working draft study initiated )
![Page 19: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/19.jpg)
ISO/IEC 27001
Internationale norm opgesteld om een model te bieden voor het vaststellen, implementeren,
uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een managementsysteem voor
informatiebeveiliging (ISMS).
![Page 20: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/20.jpg)
ISO/IEC 27001
Doelstellingen:inzicht in de eisen van de organisatie met betrekking tot informatiebeveiliginginzicht in de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging implementeren en uitvoeren van beheersmaatregelen om risico's te beheren voor informatiebeveiliging ten opzichte van de algemene bedrijfsrisico's van de organisatie continue verbetering, gebaseerd op objectieve meting
![Page 21: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/21.jpg)
ISO/IEC 27001:Procesbenadering
Bron: NEN-ISO/IEC 27001
![Page 22: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/22.jpg)
ISO 27002:2007
Bekend als de “Code voor informatiebeveiliging” Praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatiePraktische richtlijn voor het ontwerpen van effectieve methoden voor het bereiken van veiligheidsstandaarden. Handleiding voor het opstellen van beveiligingsnormen en doeltreffend beheer van informatiebeveiliging voor de organisatieHelpt vertrouwen te scheppen in relaties tussen organisaties
![Page 23: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/23.jpg)
ISO 27002:2007 Structuur
11 hoofdstukken met 39 hoofdbeveiligingscategorieën:
Beveiligingsbeleid (1); Organisatie van de informatiebeveiliging (2); Beheer van bedrijfsmiddelen (2); Personele beveiligingseisen (3); Fysieke beveiliging en beveiliging van de omgeving (2); Beheer van communicatie- en bedieningsprocessen (10); Toegangsbeveiliging (7); Aanschaf, ontwikkeling, onderhoud van informatiesystemen (6); Beheersen van informatiebeveiligingsincidenten (2); Beheerproces bedrijfscontinuiteit (1); Naleving (3).
Bron: NEN-ISO/IEC 27002
![Page 24: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/24.jpg)
ISO 27002:2007 Structuur
Elke hoofdbeveiligingscategorie bevat:een beheersdoelstellingeen of meer beheersmaatregelen
Een beheersmaatregel is als volgt gestructureerdBeheersmaatregelDefinieert de specifieke maatregel om aan de beheersdoelstelling te voldoen.
ImplementatierichtlijnenNadere informatie voor implementatie van de beheersmaatregel
Overige informatieVerdere informatie waarmee rekening moet worden gehouden, zoals juridische overwegingen en verwijzingen naar andere normen.
Bron: NEN-ISO/IEC 27002
![Page 25: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/25.jpg)
Voorbeeld ISO27002
Hoofdstuk 6: Organisatie van de informatiebeveiligingHoofdbeveiligingscategorie 6.2: “Externe partijen”
Doelstelling: Beveiligen van de informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.
De beveiliging van de informatie en IT-voorzieningen van de organisatie behoort niet te worden verminderd door het invoeren van producten of diensten van externe partijen.
Bron: NEN-ISO/IEC 27002
![Page 26: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/26.jpg)
Voorbeeld ISO27002
Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregelen:
Identificatie van risico's die betrekking hebben op externe partijenBeveiliging behandelen in de omgang met klantenBeveiliging behandelen in overeenkomsten met een derde partij
Bron: NEN-ISO/IEC 27002
![Page 27: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/27.jpg)
Voorbeeld ISO27002
Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregel:
Beveiliging behandelen in overeenkomsten met derde partij.
Bron: NEN-ISO/IEC 27002
Omschrijving:In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan IT- voorzieningen waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.
![Page 28: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/28.jpg)
Voorbeeld ISO27002
6.2: “Externe partijen” Beheersmaatregel:
Beveiliging behandelen in overeenkomsten met derde partij.
Bron: NEN-ISO/IEC 27002
Waarin onder andere opgenomen:• beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen, • verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en
programmatuur; • een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage; • een duidelijk en gespecificeerd proces voor het beheer van wijzigingen; • afspraken over toegangsbeleid• waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten
van informatiebeveiliging; • opleiding voor gebruikers en beheerders op het gebied van methoden, procedures en
beveiliging;
![Page 29: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/29.jpg)
Awareness, training en opleiding
Opleiding en training is het geijkte middel voor beveiligingsbewustzijnDiverse trainingen voor diverse rollen en niveaus binnen de organisatie.
Bewustwording van alle medewerkers is ongetwijfeld de belangrijkste van alle
beveiligingsmaatregelen.
![Page 30: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/30.jpg)
Relevante trainingen
Ocean’s 99 GameEen business simulatie op het gebied van (informatie) beveiliging en risico managementDoelgroep:
Iedereen die maar enigszins met informatie werkt.(Vooral effectief op security awareness en samenwerking)
![Page 31: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/31.jpg)
Relevante trainingen
Information Security Foundation op basis van ISO27002Geeft inzicht in de basis principes van informatiebeveiliging en ISO 27000Doelgroep:
Senior informatiewerkerAfdelingsmanagerTeamleiderAdviseurKwaliteitsmedewerkerApplicatiebeheerderSysteembeheerder
![Page 32: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/32.jpg)
Relevante trainingen
Information Security Advanced op basis van ISO27002Gaat uitvoerig in op de code of practice ISO 27002.Doelgroep:Professionals die bezig zijn met het implementeren, evalueren en rapporteren van infrormatie risico’s
Information Security ManagementInformation Security ConsultantInformation Security SpecialistProject ManagerService Manager
![Page 33: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/33.jpg)
Relevante trainingen
Cloud Technology ProfessionalEssentiële concepten en terminologie van Cloud Computing, met voor- en nadelen en de impact van beslissingen om op Cloud Computing over te gaan.Doelgroep:Professionals die bezig zijn met beslissingen over of het inrichten van Cloud Computing
Cloud Technology ProfessionalsCloud ArchitectenCloud Specialisten
![Page 34: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/34.jpg)
Relevante trainingen
Certified Cloud Architectcombinatie tussen Cloud technologie concepten en architectuur.Doelgroep:
Cloud ArchitectenCloud Specialisten
![Page 35: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/35.jpg)
Relevante trainingen
SABSA Foundation, A1- en A3-moduleFramework voor Enterprise Security Architectuur en aanpak voor risicomanagement binnen zowel het bedrijfsleven als de overheid.Doelgroep:
CIO / CISO / CTO / CIROIT Strategy ConsultantsIT ArchitectenIT Programma ManagerSoftware ArchitectenNetwerk ArchitectenService Delivery Managers
![Page 36: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/36.jpg)
Meer Informatie?
Pink Elephant NederlandGooimeer 181411 DE Naarden
Telefoon: 088 – 0107 400E-mail: [email protected]
![Page 37: Cloud en iso 27002](https://reader035.vdocuments.site/reader035/viewer/2022081506/55d53dc0bb61eb43678b46dc/html5/thumbnails/37.jpg)
Bedankt voor uw aandacht
U kunt deze en alle andere presentaties terug zien op:
www.cloudxperience.nl