Samenvatting CISM & Ethiek
Inhoudsopgave
Toets informatie:........................................................................................................................................... 1
Samenvatting CISM:....................................................................................................................................... 2
Information security governance:........................................................................................................................2
Information security management systeem (ISMS):............................................................................................5
Risicomanagement:..............................................................................................................................................7
Samenvatting Ethiek.................................................................................................................................... 11
Hoofdstuk 1........................................................................................................................................................12
Hoofdstuk 2........................................................................................................................................................12
Hoofdstuk 3........................................................................................................................................................13
Hoofdstuk 4........................................................................................................................................................14
Hoofdstuk 6........................................................................................................................................................15
Toets informatie:
Studiepunten: 5 EC
Verdeling vragen:
48 vragen CISM
12 vragen Ethiek
Leerdoelen CISM:
- De student begrijpt de eisen die gesteld worden aan effectieve governance van
informatiebeveiliging en kan een informatiebeveiligingsstrategie ontwikkelen
gekoppeld aan de strategische doelen van een organisatie.
- De student begrijpt het belang en de functie van een managementsysteem voor
informatiebeveiliging op basis van ISO 27001 en kan de elementen ervan plaatsen
binnen de PDCA-cyclus.
- De student begrijpt de gangbare methoden en technieken voor het managen
van informatiebeveiligingsrisico’s.
- De student kan op basis van een risicoanalyse maatregelen bepalen die passen bij het
gewenste beveiligingsniveau.
Leerdoelen Ethiek:
- De student toont kennis van de ethische basistheorie.
- De student toont inzicht in bedrijfsethiek.
- De student weet ethische kennis in maatschappelijke/veiligheidsdilemma’s toe te
passen.
1
, Samenvatting CISM & Ethiek
Samenvatting CISM:
CISM= Certified Information Security Management
Information security governance:
De aanleiding van corporate governance zijn meerdere financiële fraude gevallen bij grote
beursgenoteerde bedrijven.
Zoals het grootste fraudegeval ooit bij Enron. Hier werden onjuiste gegevens in de financiële
verslaglegging. Deze informatie werd door de CEO bevestigd met de woorden “as best we
believe”
SOX-wetgeving= Wetgeving die externe audit van de financiën verplicht en leidinggevende
zoals CEO en CFO persoonlijk de eindverantwoordelijk krijgen (dit kan leiden tot
gevangenisstraffen).
Due care & Due diligence= Gepaste zorgvuldigheid in de context van de integriteit van
informatie.
Governance = een taak die zich bezighoudt met het stellen van doelen voor een organisatie,
de te volgen koers om deze doelen te bereiken en de rollen en verantwoordelijkheden van
functionarissen in de organisatie.
Corporate governance = Gaat over het besturen van
een organisatie.
Denk hierbij aan het tegengaan van conflicterende
belangen. Uitvoerende taken en controlerende taken
moeten gescheiden worden.
2
, Samenvatting CISM & Ethiek
COBIT 5 = Een belangrijk framework om governance te realiseren. Het strategisch
management en uitvoerend management wordt gescheiden.
Governance>
Strategisch
Bijv. raad van bestuur &
Leidinggevende
Management >
Uitvoerend
Bijv. managers &
medewerkers
De COBIT 5 principes:
1. Meeting stakeholder needs
2. Covering the enterprise end-to-end
3. Applying a single integrated framework
4. Enabling a holistic approach
5. Separating governance from management
Information Security Governance in de managementniveaus:
Strategisch: De strategie wordt ontwikkeld
door CISO en bekrachtigd door raad van
bestuur / directie Missie, visie, strategie
Tactisch: Richtlijnen en standaarden.
Organisatie rondom informatiebeveiliging.
Taken, verantwoordelijkheden,
bevoegdheden (TVB)
Operationeel: Procedures, werkinstructies,
trainingen, virusscanners, beheer firewall
Het belang van information security governance is:
- Informatie is een vitaal productiemiddel dit moet op het hoogste managementniveau
worden erkend.
- Organisaties zijn heel afhankelijk van informatie en informatiesystemen.
3
, Samenvatting CISM & Ethiek
- De dreigingen gericht op informatie nemen toe.
- Er is steeds meer wet- en regelgeving die eisen stelt aan het gebruik en omgang met
informatie.
- De raad van bestuur kan aansprakelijk gesteld worden als informatie assets
onvoldoende beveiligd worden. (geen Due care)
Als de informatie security governance goed is dan leidt dit tot de volgende uitkomsten:
- Informatiebeveiliging is in lijn met strategische doelstellingen van de organisatie. Dit
heet strategic alignment.
- Informatiebeveiliging is een business-enabler en wordt dus gebruikt als middel om
doelstellingen te behalen.
- De informatiebeveiligingsoplossingen passen bij de organisatie en haar: cultuur,
technologie, bestuursstijl en organisatiestructuur.
- De investeringen in informatiebeveiliging passen bij de strategie van de organisatie,
risicostrategie/-appetite en de uitvoering van de organisatie.
Three lines of defense= een model dat als doel heeft om risico’s te beheersen door de
organisatie op te delen in 3 lijnen waar fouten of problemen kunnen worden gedetecteerd
en gemitigeerd.
1e line of defense: management controls & internal control measures. Hier zitten veel van de
uitvoerende taken.
2e line of defense: Financial controls, security, Quality, Risk management, compliance.
Bijvoorbeeld ook de information security officer.
3e line of defense: (interne) audits
Als de three lines of defence goed werken leidt dit tot de volgende uitkomsten:
Er worden passende maatregelen genomen om de risico’s op een voorde organisatie
acceptabel niveau te brengen en te houden. Dit gebeurt door:
- Het begrijpen van de dreigingen, kwetsbaarheden en het risicoprofiel van de
organisatie.
- Het begrijpen van de blootstelling aan risico’s en de potentiële consequenties van
een inbreuk op de beveiliging
4
Inhoudsopgave
Toets informatie:........................................................................................................................................... 1
Samenvatting CISM:....................................................................................................................................... 2
Information security governance:........................................................................................................................2
Information security management systeem (ISMS):............................................................................................5
Risicomanagement:..............................................................................................................................................7
Samenvatting Ethiek.................................................................................................................................... 11
Hoofdstuk 1........................................................................................................................................................12
Hoofdstuk 2........................................................................................................................................................12
Hoofdstuk 3........................................................................................................................................................13
Hoofdstuk 4........................................................................................................................................................14
Hoofdstuk 6........................................................................................................................................................15
Toets informatie:
Studiepunten: 5 EC
Verdeling vragen:
48 vragen CISM
12 vragen Ethiek
Leerdoelen CISM:
- De student begrijpt de eisen die gesteld worden aan effectieve governance van
informatiebeveiliging en kan een informatiebeveiligingsstrategie ontwikkelen
gekoppeld aan de strategische doelen van een organisatie.
- De student begrijpt het belang en de functie van een managementsysteem voor
informatiebeveiliging op basis van ISO 27001 en kan de elementen ervan plaatsen
binnen de PDCA-cyclus.
- De student begrijpt de gangbare methoden en technieken voor het managen
van informatiebeveiligingsrisico’s.
- De student kan op basis van een risicoanalyse maatregelen bepalen die passen bij het
gewenste beveiligingsniveau.
Leerdoelen Ethiek:
- De student toont kennis van de ethische basistheorie.
- De student toont inzicht in bedrijfsethiek.
- De student weet ethische kennis in maatschappelijke/veiligheidsdilemma’s toe te
passen.
1
, Samenvatting CISM & Ethiek
Samenvatting CISM:
CISM= Certified Information Security Management
Information security governance:
De aanleiding van corporate governance zijn meerdere financiële fraude gevallen bij grote
beursgenoteerde bedrijven.
Zoals het grootste fraudegeval ooit bij Enron. Hier werden onjuiste gegevens in de financiële
verslaglegging. Deze informatie werd door de CEO bevestigd met de woorden “as best we
believe”
SOX-wetgeving= Wetgeving die externe audit van de financiën verplicht en leidinggevende
zoals CEO en CFO persoonlijk de eindverantwoordelijk krijgen (dit kan leiden tot
gevangenisstraffen).
Due care & Due diligence= Gepaste zorgvuldigheid in de context van de integriteit van
informatie.
Governance = een taak die zich bezighoudt met het stellen van doelen voor een organisatie,
de te volgen koers om deze doelen te bereiken en de rollen en verantwoordelijkheden van
functionarissen in de organisatie.
Corporate governance = Gaat over het besturen van
een organisatie.
Denk hierbij aan het tegengaan van conflicterende
belangen. Uitvoerende taken en controlerende taken
moeten gescheiden worden.
2
, Samenvatting CISM & Ethiek
COBIT 5 = Een belangrijk framework om governance te realiseren. Het strategisch
management en uitvoerend management wordt gescheiden.
Governance>
Strategisch
Bijv. raad van bestuur &
Leidinggevende
Management >
Uitvoerend
Bijv. managers &
medewerkers
De COBIT 5 principes:
1. Meeting stakeholder needs
2. Covering the enterprise end-to-end
3. Applying a single integrated framework
4. Enabling a holistic approach
5. Separating governance from management
Information Security Governance in de managementniveaus:
Strategisch: De strategie wordt ontwikkeld
door CISO en bekrachtigd door raad van
bestuur / directie Missie, visie, strategie
Tactisch: Richtlijnen en standaarden.
Organisatie rondom informatiebeveiliging.
Taken, verantwoordelijkheden,
bevoegdheden (TVB)
Operationeel: Procedures, werkinstructies,
trainingen, virusscanners, beheer firewall
Het belang van information security governance is:
- Informatie is een vitaal productiemiddel dit moet op het hoogste managementniveau
worden erkend.
- Organisaties zijn heel afhankelijk van informatie en informatiesystemen.
3
, Samenvatting CISM & Ethiek
- De dreigingen gericht op informatie nemen toe.
- Er is steeds meer wet- en regelgeving die eisen stelt aan het gebruik en omgang met
informatie.
- De raad van bestuur kan aansprakelijk gesteld worden als informatie assets
onvoldoende beveiligd worden. (geen Due care)
Als de informatie security governance goed is dan leidt dit tot de volgende uitkomsten:
- Informatiebeveiliging is in lijn met strategische doelstellingen van de organisatie. Dit
heet strategic alignment.
- Informatiebeveiliging is een business-enabler en wordt dus gebruikt als middel om
doelstellingen te behalen.
- De informatiebeveiligingsoplossingen passen bij de organisatie en haar: cultuur,
technologie, bestuursstijl en organisatiestructuur.
- De investeringen in informatiebeveiliging passen bij de strategie van de organisatie,
risicostrategie/-appetite en de uitvoering van de organisatie.
Three lines of defense= een model dat als doel heeft om risico’s te beheersen door de
organisatie op te delen in 3 lijnen waar fouten of problemen kunnen worden gedetecteerd
en gemitigeerd.
1e line of defense: management controls & internal control measures. Hier zitten veel van de
uitvoerende taken.
2e line of defense: Financial controls, security, Quality, Risk management, compliance.
Bijvoorbeeld ook de information security officer.
3e line of defense: (interne) audits
Als de three lines of defence goed werken leidt dit tot de volgende uitkomsten:
Er worden passende maatregelen genomen om de risico’s op een voorde organisatie
acceptabel niveau te brengen en te houden. Dit gebeurt door:
- Het begrijpen van de dreigingen, kwetsbaarheden en het risicoprofiel van de
organisatie.
- Het begrijpen van de blootstelling aan risico’s en de potentiële consequenties van
een inbreuk op de beveiliging
4
