Basiskennis informatiebeveiliging op basis van ISO27001 en
ISO27002
Kwaliteit is een maat voor overeenkomst tussen prestatie en verwachting. In het
algemeen wordt met kwaliteit aangegeven of eigenschappen van een product of dienst
overeenkomen met wat ervan wordt verwacht.
Hoofdstuk 3. Termen en definities
Aanval = een poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie. Die
informatie te lezen, te stelen, te wijzigen, onbruikbaar te maken, of ongeoorloofd
gebruik van die bedrijfsinformatie maken.
Asset (bedrijfsmiddel) = alles wat waarde heeft voor de organisatie. Dit is een brede
definitie, waarbij je kunt denken aan gebouwen, informatie, software, hardware,
hardcopies (papier), diensten, maar ook aan mensen, vaardigheden en ervaring en
immateriële vaste activa, zoals de reputatie en het imago van de organisatie.
Authentiseren = het authentiek, rechtsgeldig maken, vaststellen of het echt waar is. In de
IT-context wordt hier vooral mee bedoeld: het vaststellen van de juiste identiteit van
een persoon of systeem dat zich aanmeldt bij een systeem om toegang te krijgen tot
informatie in dat systeem.
Bedreiging = potentiële oorzaak van een ongewenst incident dat een systeem of
organisatie schade kan toebrengen.
Beheersmaatregel = een middel om risico’s te beheersen, waaronder beleid, procedures,
richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch,
beheersmatig of juridisch van aard kunnen zijn.
Beleid = de formeel uitgesproken inrichting van informatiebeveiliging en de intentie van
de directie hoe om te gaan met bedrijfsrisico’s en de bescherming van de organisatie
tegen informatiebeveiligingsrisico’s.
Beschikbaarheid = beschikbaarheid waarborgt de betrouwbare en tijdige toegang tot
date of computercapaciteit voor de medewerkers. Met andere woorden;
beschikbaarheid garandeert dat de computersystemen beschikbaar zijn op het moment
dat ze nodig zijn om de werkprocessen uit te kunnen voeren.
Blootstelling = met blootstelling wordt bedoeld dat een bepaald risico werkelijkheid
wordt en de organisatie op dat moment schade oploopt.
Control (maatregel) = middelen voor het managen van een risico.
Derde partij = iedere persoon, die niet als contractspartij bij een overeenkomst is
betrokken, is ten opzichte van de betreffende contractspartijen een derde.
,Faciliteiten voor het gebruik van informatie = iedere vorm van een informatiesysteem,
service of infrastructuur die gebruikt wordt om informatie op te slaan, te bewerken en
te beheren en de fysieke middelen en locaties dienen daardoor aanwezig te zijn.
Handreiking = onder een handreiking worden richtlijnen bedoeld die niet per se op die
manier opgevolgd hoeven te worden. Het zijn hulpmiddelen die richting geven aan een
werkwijze.
Informatie = informatie is data die betekenis heeft voor de ontvanger van die informatie.
Wanneer informatie in een computersysteem wordt opgeslagen, wordt daar meestal
naar verwezen als data. Nadat de data is verwerkt, zal dit als informatie worden gezien.
Informatieanalyse = informatieanalyse geeft een duidelijk beeld van hoe een organisatie
met zijn informatie omgaat; hoe de informatie door de organisatie stroomt.
Informatiebeveiliging = het behouden van de vertrouwelijkheid, integriteit en
beschikbaarheid van informatie. Daarbij kunnen ook andere eigenschappen, zoals
authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid een rol spelen.
Informatiebeveiligingsgebeurtenis = de vastgestelde status van een systeem, dienst of
netwerk die duidt op een mogelijke overtreding van het beleid voor
informatiebeveiliging of een falen van beveiligingsvoorzieningen, of een tot dan toe
onbekende situatie die relevant kan zijn voor beveiliging.
Informatiebeveiligingsincident = afzonderlijke gebeurtenis of serie ongewenste of
onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze
nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de
informatiebeveiliging.
Informatiebeveiligingsmanagement = alle gecoördineerde activiteiten die richting geven
aan het beleid van een organisatie ten aanzien van alle risico’s. Risicomanagement
omvat normaal gesproken risicoanalyses, het nemen van beveiligingsmaatregelen, het
accepteren van risico’s tot een bepaald niveau en het communiceren van risico’s binnen
de organisatie.
Informatiemanagement = informatiemanagement beschrijft de wijze waarop een
organisatie haar informatiestromen efficiënt plant, verzamelt, organiseert, gebruikt en
controleert. En informatiemanagement gaat ook over hoe de organisatie de informatie
verspreidt en uitdaagt en de wijze waarop ze ervoor zorgt dat de waarde die de
informatie in zich heeft ook ten volle benut heeft.
Informatiesysteem = applicatie, service of IT – onderdeel waarmee informatie verwerkt
kan worden.
Integriteit = integriteit gaat over de bescherming tegen ongeautoriseerde modificatie
van software en hardware. Dit kan gebeuren door geautoriseerde en ongeautoriseerde
medewerkers. Het gaat erom te waarborgen dat data betrouwbaar is.
IT – voorzieningen = elk systeem, elke dienst of infrastructuur voor
informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht.
, Kwetsbaarheid = zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een
of meer bedreigingen kan worden benut.
Non – repudiation (onweerlegbaarheid) = onweerlegbaarheid is de waarborg dat
ontvangst en/of verzending van een contract of een bericht niet kan worden ontkend
door de beide betrokken partijen, respectievelijk de ontvanger en de verzender.
Preventieve actie = maatregel genomen om een incident te voorkomen.
Procedure = specifieke beschrijving hoe een bepaald proces uitgevoerd moet worden.
Proces = een samenhangende set van inter-gerelateerde of interactieve handelingen die
samen leiden tot een bepaalde in – of output.
Restrisico = het risico dat overblijft nadat beveiligingsmaatregelen genomen zijn. Het is
vaak onmogelijk om risico’s volledig uit te sluiten, maar het is meestal wel mogelijk om
risico’s tot een aanvaardbaar niveau terug te brengen. Het kleine, geaccepteerde risico,
is het restrisico.
Risico = combinatie van waarschijnlijkheid van een gebeurtenis en het gevolg hiervan.
Risicoacceptatie = het risico dat een organisatie bereid is te nemen. (op basis van
risicoanalyse)
Risicobeheer = gecoördineerde activiteiten om een organisatie sturing te geven en te
bewaken met betrekking tot risico’s.
Risicobehandeling = proces van keuze en implementatie van maatregelen om risico’s te
verlagen.
- Het vermijden van het risico door te besluiten niet te starten of verder te gaan
met de activiteit die zorgt dat het risico groter wordt.
- Het accepteren van het risico, waardoor de kans om een opdracht te winnen,
groter wordt.
- De risicobron verwijderen.
- Door bepaalde maatregelen te nemen de gevolgen van een incident veranderen.
- Het delen van het risico met een andere partij of partijen.
- Het risico weloverwogen accepteren.
Risicobeoordeling = het gehele proces van risicoanalyse en risico evaluatie en dienen om
risico’s te identificeren en te kwantificeren.
Risico – evaluatie = proces waarin het ingeschatte risico wordt afgewogen tegen
vastgestelde risicocriteria om te bepalen in welke mate het risico significant is.
Risico – identificatie = het proces van het vinden, beoordelen en beschrijven van risico’s
= de identificatie van risicobronnen, incidenten, oorzaken en consequenties.
Vertrouwelijkheid = de mate waarin de toegang tot informatie wordt beperkt tot een
bepaalde groep gerechtigheden, die inzage mag hebben in data.
ISO27002
Kwaliteit is een maat voor overeenkomst tussen prestatie en verwachting. In het
algemeen wordt met kwaliteit aangegeven of eigenschappen van een product of dienst
overeenkomen met wat ervan wordt verwacht.
Hoofdstuk 3. Termen en definities
Aanval = een poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie. Die
informatie te lezen, te stelen, te wijzigen, onbruikbaar te maken, of ongeoorloofd
gebruik van die bedrijfsinformatie maken.
Asset (bedrijfsmiddel) = alles wat waarde heeft voor de organisatie. Dit is een brede
definitie, waarbij je kunt denken aan gebouwen, informatie, software, hardware,
hardcopies (papier), diensten, maar ook aan mensen, vaardigheden en ervaring en
immateriële vaste activa, zoals de reputatie en het imago van de organisatie.
Authentiseren = het authentiek, rechtsgeldig maken, vaststellen of het echt waar is. In de
IT-context wordt hier vooral mee bedoeld: het vaststellen van de juiste identiteit van
een persoon of systeem dat zich aanmeldt bij een systeem om toegang te krijgen tot
informatie in dat systeem.
Bedreiging = potentiële oorzaak van een ongewenst incident dat een systeem of
organisatie schade kan toebrengen.
Beheersmaatregel = een middel om risico’s te beheersen, waaronder beleid, procedures,
richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch,
beheersmatig of juridisch van aard kunnen zijn.
Beleid = de formeel uitgesproken inrichting van informatiebeveiliging en de intentie van
de directie hoe om te gaan met bedrijfsrisico’s en de bescherming van de organisatie
tegen informatiebeveiligingsrisico’s.
Beschikbaarheid = beschikbaarheid waarborgt de betrouwbare en tijdige toegang tot
date of computercapaciteit voor de medewerkers. Met andere woorden;
beschikbaarheid garandeert dat de computersystemen beschikbaar zijn op het moment
dat ze nodig zijn om de werkprocessen uit te kunnen voeren.
Blootstelling = met blootstelling wordt bedoeld dat een bepaald risico werkelijkheid
wordt en de organisatie op dat moment schade oploopt.
Control (maatregel) = middelen voor het managen van een risico.
Derde partij = iedere persoon, die niet als contractspartij bij een overeenkomst is
betrokken, is ten opzichte van de betreffende contractspartijen een derde.
,Faciliteiten voor het gebruik van informatie = iedere vorm van een informatiesysteem,
service of infrastructuur die gebruikt wordt om informatie op te slaan, te bewerken en
te beheren en de fysieke middelen en locaties dienen daardoor aanwezig te zijn.
Handreiking = onder een handreiking worden richtlijnen bedoeld die niet per se op die
manier opgevolgd hoeven te worden. Het zijn hulpmiddelen die richting geven aan een
werkwijze.
Informatie = informatie is data die betekenis heeft voor de ontvanger van die informatie.
Wanneer informatie in een computersysteem wordt opgeslagen, wordt daar meestal
naar verwezen als data. Nadat de data is verwerkt, zal dit als informatie worden gezien.
Informatieanalyse = informatieanalyse geeft een duidelijk beeld van hoe een organisatie
met zijn informatie omgaat; hoe de informatie door de organisatie stroomt.
Informatiebeveiliging = het behouden van de vertrouwelijkheid, integriteit en
beschikbaarheid van informatie. Daarbij kunnen ook andere eigenschappen, zoals
authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid een rol spelen.
Informatiebeveiligingsgebeurtenis = de vastgestelde status van een systeem, dienst of
netwerk die duidt op een mogelijke overtreding van het beleid voor
informatiebeveiliging of een falen van beveiligingsvoorzieningen, of een tot dan toe
onbekende situatie die relevant kan zijn voor beveiliging.
Informatiebeveiligingsincident = afzonderlijke gebeurtenis of serie ongewenste of
onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze
nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de
informatiebeveiliging.
Informatiebeveiligingsmanagement = alle gecoördineerde activiteiten die richting geven
aan het beleid van een organisatie ten aanzien van alle risico’s. Risicomanagement
omvat normaal gesproken risicoanalyses, het nemen van beveiligingsmaatregelen, het
accepteren van risico’s tot een bepaald niveau en het communiceren van risico’s binnen
de organisatie.
Informatiemanagement = informatiemanagement beschrijft de wijze waarop een
organisatie haar informatiestromen efficiënt plant, verzamelt, organiseert, gebruikt en
controleert. En informatiemanagement gaat ook over hoe de organisatie de informatie
verspreidt en uitdaagt en de wijze waarop ze ervoor zorgt dat de waarde die de
informatie in zich heeft ook ten volle benut heeft.
Informatiesysteem = applicatie, service of IT – onderdeel waarmee informatie verwerkt
kan worden.
Integriteit = integriteit gaat over de bescherming tegen ongeautoriseerde modificatie
van software en hardware. Dit kan gebeuren door geautoriseerde en ongeautoriseerde
medewerkers. Het gaat erom te waarborgen dat data betrouwbaar is.
IT – voorzieningen = elk systeem, elke dienst of infrastructuur voor
informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht.
, Kwetsbaarheid = zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een
of meer bedreigingen kan worden benut.
Non – repudiation (onweerlegbaarheid) = onweerlegbaarheid is de waarborg dat
ontvangst en/of verzending van een contract of een bericht niet kan worden ontkend
door de beide betrokken partijen, respectievelijk de ontvanger en de verzender.
Preventieve actie = maatregel genomen om een incident te voorkomen.
Procedure = specifieke beschrijving hoe een bepaald proces uitgevoerd moet worden.
Proces = een samenhangende set van inter-gerelateerde of interactieve handelingen die
samen leiden tot een bepaalde in – of output.
Restrisico = het risico dat overblijft nadat beveiligingsmaatregelen genomen zijn. Het is
vaak onmogelijk om risico’s volledig uit te sluiten, maar het is meestal wel mogelijk om
risico’s tot een aanvaardbaar niveau terug te brengen. Het kleine, geaccepteerde risico,
is het restrisico.
Risico = combinatie van waarschijnlijkheid van een gebeurtenis en het gevolg hiervan.
Risicoacceptatie = het risico dat een organisatie bereid is te nemen. (op basis van
risicoanalyse)
Risicobeheer = gecoördineerde activiteiten om een organisatie sturing te geven en te
bewaken met betrekking tot risico’s.
Risicobehandeling = proces van keuze en implementatie van maatregelen om risico’s te
verlagen.
- Het vermijden van het risico door te besluiten niet te starten of verder te gaan
met de activiteit die zorgt dat het risico groter wordt.
- Het accepteren van het risico, waardoor de kans om een opdracht te winnen,
groter wordt.
- De risicobron verwijderen.
- Door bepaalde maatregelen te nemen de gevolgen van een incident veranderen.
- Het delen van het risico met een andere partij of partijen.
- Het risico weloverwogen accepteren.
Risicobeoordeling = het gehele proces van risicoanalyse en risico evaluatie en dienen om
risico’s te identificeren en te kwantificeren.
Risico – evaluatie = proces waarin het ingeschatte risico wordt afgewogen tegen
vastgestelde risicocriteria om te bepalen in welke mate het risico significant is.
Risico – identificatie = het proces van het vinden, beoordelen en beschrijven van risico’s
= de identificatie van risicobronnen, incidenten, oorzaken en consequenties.
Vertrouwelijkheid = de mate waarin de toegang tot informatie wordt beperkt tot een
bepaalde groep gerechtigheden, die inzage mag hebben in data.
