Studentnaam:
Studentnummer:
Versiedatum:
Instituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica (met subsidie)
Module: Informatiebeveiliging
Onderwerp: Moduleopdracht Docent:
,Voorwoord
Geachte lezer,
Ik stel me graag kort voor en licht de reden van deelname aan deze module weer. Mijn naam is XXXX
en ik ben werkzaam voor XXXX XXXX te XXXX.
Er is bij mij altijd de behoefte geweest om een gerichte HBO-opleiding te volgen en een relevante
bachelor status te behalen. Ik volg dan nu ook de opleiding ‘HBO Bachelor Informatica (met subsidie)’
bij de Hogeschool NCOI naast mijn huidige baan. De beoogde bachelor status zal mij ondersteunen in
de competitieve ICT-markt.
Dit document bevat het eindresultaat van de moduleopdracht ‘Informatiebeveiliging’. Het schrijven en
aanbieden van deze moduleopdracht is de afsluitende opdracht van deze module.
Middels deze weg wil ik graag mijn werkgever en betrokken collega’s van harte bedanken voor de
mogelijkheden en bijdrage aan deze moduleopdracht. Een speciaal dankwoord gaat uit naar de
docent, de XXXX. Deze heeft mij als docent prima ondersteunt tijdens deze module.
Met vriendelijke groet,
XXXX
Document: XXXX Pagina: 2 van 19
Versie: 1.0
,Samenvatting
Deze moduleopdracht bevat een adviesplan voor het management van de Unit XXXX binnen XXXX.
Dit plan bevat een probleemstelling, de risicoanalyse (risico assessment) en een inrichtingsadvies met
betrekking tot de implementatie van een ISMS (Information Security Management System).
Dit ISMS is gericht op de klantprojecten dataomgeving. De klantprojecten dataomgeving is van groot
belang met betrekking de uitvoer van projecten bij klanten van deze unit. Alle inhoudelijke
projectdocumentatie wordt hierin bewerkt en vastgelegd. De scope van deze moduleopdracht richt
zich alleen op de dataomgeving deze klantprojecten.
Probleemdefinitie en -analyse
In de probleemdefinitie en -analyse zijn de centrale onderzoeksvraag en de deelvragen vastgesteld.
De centrale onderzoeksvraag is als volgt:
• Welke risico’s kunnen worden geïdentificeerd en potentieel gemitigeerd met betrekking tot het
proces klantprojecten data en op welke wijze kan een ISMS succesvol worden ontworpen en
geïmplementeerd?
Om de centrale onderzoeksvraag te kunnen beantwoorden zijn de volgende deelvragen vastgesteld:
• Welke risico’s zijn er momenteel aangaande het betreffende proces?
• Aan welke eisen dient het ISMS te voldoen?
• Welke maatregelen, controls en control objectives zijn noodzakelijk bij de invoering van het
ISMS naar aanleiding van de geïdentificeerde risico’s?
• Wat zijn de positie en benodigde competenties van de informatiebeveiliger?
Risicoanalyse
De eerste deelvraag wordt beantwoord door de uitgevoerde risicoanalyse. Tijdens deze analyse zijn
een 5-tal relevante risico’s vastgesteld en in een overzicht weergegeven. Het resultaat is dat de
risicowaarden zijn gekwalificeerd aan de hand van een risklevel matrix en de beveiligingsmaatregelen
en risicomanagement opties in kaart zijn gebracht.
Inrichtingsadvies
Binnen het inrichtingsadvies is de rol van de informatiebeveiliger en zijn centrale positie in de
organisatie beschreven. De samenwerking met andere directe en indirecte rollen worden aangehaald
en de verantwoordelijkheden en competenties van de informatiebeveiliger worden beschreven.
Samenvattend bestaan de eisen van het te implementeren ISMS uit het beperken en beheren van de
gebruikers en datatoegang, het veiligstellen van data middels back-up oplossingen en het technisch
en procedureel afdwingen van informatiebeveiliging.
Als raamwerk voor kwaliteit is gekozen om de PDCA-cyclus in te zetten, ook wel de ‘kwaliteitscirkel
van Deming’ genoemd. PDCA staat voor Plan, Do, Check en Act. Volgens Baars et al. (2015, p. 41)
wordt de PDCA-cyclus als basis voor het vaststellen, implementeren, monitoren, evalueren en het
bijstellen van het ISMS gebruikt.
Om het ISMS gestructureerd en gefaseerd te kunnen implementeren, wordt het 9 stappenplan volgens
Calder (2017) toegepast. Dit 9 stappenplan is als volgt opgebouwd:
Fase 1: Fase 2: Fase 3: Fase 4: Fase 5: Fase 6: Fase 7: Fase 8: Fase 9:
Project Project ISMS Management Baseline Risk Implemen- Measure, Achieve
Mandate Initiation Initiation Framework Security Management tation monitor and certification
Criteria Process review
Figuur 1: Het 9 stappenplan
Tijdens de uitvoer van dit 9 stappenplan, wordt het project samengesteld, beschreven,
geïmplementeerd, gemonitord en afgesloten met het behalen van de ISO/IEC 27000 certificering.
Review
Na implementatie zal de werking van het ISMS geregeld gecontroleerd, getest en mogelijk verbeterd
moeten worden. Hiervoor zijn een 3-tal testmogelijkheden geadviseerd.
Document: XXXX Pagina: 3 van 19
Versie: 1.0
, Inhoudsopgave
Voorwoord ............................................................................................................................................... 2
Samenvatting ........................................................................................................................................... 3
1 Inleiding ............................................................................................................................................ 5
1.1 Organisatiekeuze ..................................................................................................................... 5
1.2 Moduleopdracht ....................................................................................................................... 5
1.3 Leeswijzer ................................................................................................................................ 5
2 Probleemstelling ............................................................................................................................... 6
2.1 Scope ....................................................................................................................................... 6
2.1.1 Actoren ................................................................................................................................ 6
2.1.2 Output .................................................................................................................................. 6
2.2 Probleemdefinitie en -analyse ................................................................................................. 6
1.1.1 Doelstelling .......................................................................................................................... 6
1.1.2 Centrale onderzoeksvraag .................................................................................................. 6
1.1.3 Deelvragen .......................................................................................................................... 6
3 Risicoanalyse ................................................................................................................................... 7
3.1 Type risicoanalyses ................................................................................................................. 7
3.2 Resultaat risicoanalyse ............................................................................................................ 7
3.2.1 Overzicht risicoanalyse ........................................................................................................ 7
3.2.2 Resultaat Risk Level Matrix ................................................................................................. 8
4 Inrichtingsadvies ............................................................................................................................... 9
4.1 Eisen ISMS .............................................................................................................................. 9
4.2 Rol informatiebeveiliger ........................................................................................................... 9
4.2.1 Positie in de organisatie ...................................................................................................... 9
4.2.2 Competenties CISO en ISO ................................................................................................ 9
4.3 Maatregelen ........................................................................................................................... 10
4.3.1 Raamwerk ISMS ................................................................................................................ 10
4.3.2 Implementatie .................................................................................................................... 10
4.3.3 Beveiligingsmaatregelen ................................................................................................... 10
4.4 Review ................................................................................................................................... 11
Literatuurlijst .......................................................................................................................................... 12
Bijlage: Overzicht relaties informatiebeveiligers .................................................................................... 13
Bijlage: detailinformatie relevante competenties ................................................................................... 14
Bijlage: PDCA-cyclus ............................................................................................................................. 18
Bijlage: Overzicht 9 fasen ISMS-implementatie .................................................................................... 19
Document: XXXX Pagina: 4 van 19
Versie: 1.0
Studentnummer:
Versiedatum:
Instituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica (met subsidie)
Module: Informatiebeveiliging
Onderwerp: Moduleopdracht Docent:
,Voorwoord
Geachte lezer,
Ik stel me graag kort voor en licht de reden van deelname aan deze module weer. Mijn naam is XXXX
en ik ben werkzaam voor XXXX XXXX te XXXX.
Er is bij mij altijd de behoefte geweest om een gerichte HBO-opleiding te volgen en een relevante
bachelor status te behalen. Ik volg dan nu ook de opleiding ‘HBO Bachelor Informatica (met subsidie)’
bij de Hogeschool NCOI naast mijn huidige baan. De beoogde bachelor status zal mij ondersteunen in
de competitieve ICT-markt.
Dit document bevat het eindresultaat van de moduleopdracht ‘Informatiebeveiliging’. Het schrijven en
aanbieden van deze moduleopdracht is de afsluitende opdracht van deze module.
Middels deze weg wil ik graag mijn werkgever en betrokken collega’s van harte bedanken voor de
mogelijkheden en bijdrage aan deze moduleopdracht. Een speciaal dankwoord gaat uit naar de
docent, de XXXX. Deze heeft mij als docent prima ondersteunt tijdens deze module.
Met vriendelijke groet,
XXXX
Document: XXXX Pagina: 2 van 19
Versie: 1.0
,Samenvatting
Deze moduleopdracht bevat een adviesplan voor het management van de Unit XXXX binnen XXXX.
Dit plan bevat een probleemstelling, de risicoanalyse (risico assessment) en een inrichtingsadvies met
betrekking tot de implementatie van een ISMS (Information Security Management System).
Dit ISMS is gericht op de klantprojecten dataomgeving. De klantprojecten dataomgeving is van groot
belang met betrekking de uitvoer van projecten bij klanten van deze unit. Alle inhoudelijke
projectdocumentatie wordt hierin bewerkt en vastgelegd. De scope van deze moduleopdracht richt
zich alleen op de dataomgeving deze klantprojecten.
Probleemdefinitie en -analyse
In de probleemdefinitie en -analyse zijn de centrale onderzoeksvraag en de deelvragen vastgesteld.
De centrale onderzoeksvraag is als volgt:
• Welke risico’s kunnen worden geïdentificeerd en potentieel gemitigeerd met betrekking tot het
proces klantprojecten data en op welke wijze kan een ISMS succesvol worden ontworpen en
geïmplementeerd?
Om de centrale onderzoeksvraag te kunnen beantwoorden zijn de volgende deelvragen vastgesteld:
• Welke risico’s zijn er momenteel aangaande het betreffende proces?
• Aan welke eisen dient het ISMS te voldoen?
• Welke maatregelen, controls en control objectives zijn noodzakelijk bij de invoering van het
ISMS naar aanleiding van de geïdentificeerde risico’s?
• Wat zijn de positie en benodigde competenties van de informatiebeveiliger?
Risicoanalyse
De eerste deelvraag wordt beantwoord door de uitgevoerde risicoanalyse. Tijdens deze analyse zijn
een 5-tal relevante risico’s vastgesteld en in een overzicht weergegeven. Het resultaat is dat de
risicowaarden zijn gekwalificeerd aan de hand van een risklevel matrix en de beveiligingsmaatregelen
en risicomanagement opties in kaart zijn gebracht.
Inrichtingsadvies
Binnen het inrichtingsadvies is de rol van de informatiebeveiliger en zijn centrale positie in de
organisatie beschreven. De samenwerking met andere directe en indirecte rollen worden aangehaald
en de verantwoordelijkheden en competenties van de informatiebeveiliger worden beschreven.
Samenvattend bestaan de eisen van het te implementeren ISMS uit het beperken en beheren van de
gebruikers en datatoegang, het veiligstellen van data middels back-up oplossingen en het technisch
en procedureel afdwingen van informatiebeveiliging.
Als raamwerk voor kwaliteit is gekozen om de PDCA-cyclus in te zetten, ook wel de ‘kwaliteitscirkel
van Deming’ genoemd. PDCA staat voor Plan, Do, Check en Act. Volgens Baars et al. (2015, p. 41)
wordt de PDCA-cyclus als basis voor het vaststellen, implementeren, monitoren, evalueren en het
bijstellen van het ISMS gebruikt.
Om het ISMS gestructureerd en gefaseerd te kunnen implementeren, wordt het 9 stappenplan volgens
Calder (2017) toegepast. Dit 9 stappenplan is als volgt opgebouwd:
Fase 1: Fase 2: Fase 3: Fase 4: Fase 5: Fase 6: Fase 7: Fase 8: Fase 9:
Project Project ISMS Management Baseline Risk Implemen- Measure, Achieve
Mandate Initiation Initiation Framework Security Management tation monitor and certification
Criteria Process review
Figuur 1: Het 9 stappenplan
Tijdens de uitvoer van dit 9 stappenplan, wordt het project samengesteld, beschreven,
geïmplementeerd, gemonitord en afgesloten met het behalen van de ISO/IEC 27000 certificering.
Review
Na implementatie zal de werking van het ISMS geregeld gecontroleerd, getest en mogelijk verbeterd
moeten worden. Hiervoor zijn een 3-tal testmogelijkheden geadviseerd.
Document: XXXX Pagina: 3 van 19
Versie: 1.0
, Inhoudsopgave
Voorwoord ............................................................................................................................................... 2
Samenvatting ........................................................................................................................................... 3
1 Inleiding ............................................................................................................................................ 5
1.1 Organisatiekeuze ..................................................................................................................... 5
1.2 Moduleopdracht ....................................................................................................................... 5
1.3 Leeswijzer ................................................................................................................................ 5
2 Probleemstelling ............................................................................................................................... 6
2.1 Scope ....................................................................................................................................... 6
2.1.1 Actoren ................................................................................................................................ 6
2.1.2 Output .................................................................................................................................. 6
2.2 Probleemdefinitie en -analyse ................................................................................................. 6
1.1.1 Doelstelling .......................................................................................................................... 6
1.1.2 Centrale onderzoeksvraag .................................................................................................. 6
1.1.3 Deelvragen .......................................................................................................................... 6
3 Risicoanalyse ................................................................................................................................... 7
3.1 Type risicoanalyses ................................................................................................................. 7
3.2 Resultaat risicoanalyse ............................................................................................................ 7
3.2.1 Overzicht risicoanalyse ........................................................................................................ 7
3.2.2 Resultaat Risk Level Matrix ................................................................................................. 8
4 Inrichtingsadvies ............................................................................................................................... 9
4.1 Eisen ISMS .............................................................................................................................. 9
4.2 Rol informatiebeveiliger ........................................................................................................... 9
4.2.1 Positie in de organisatie ...................................................................................................... 9
4.2.2 Competenties CISO en ISO ................................................................................................ 9
4.3 Maatregelen ........................................................................................................................... 10
4.3.1 Raamwerk ISMS ................................................................................................................ 10
4.3.2 Implementatie .................................................................................................................... 10
4.3.3 Beveiligingsmaatregelen ................................................................................................... 10
4.4 Review ................................................................................................................................... 11
Literatuurlijst .......................................................................................................................................... 12
Bijlage: Overzicht relaties informatiebeveiligers .................................................................................... 13
Bijlage: detailinformatie relevante competenties ................................................................................... 14
Bijlage: PDCA-cyclus ............................................................................................................................. 18
Bijlage: Overzicht 9 fasen ISMS-implementatie .................................................................................... 19
Document: XXXX Pagina: 4 van 19
Versie: 1.0
