Diagnose

U kunt pas effectief informatiebeveiliging volledig beheersen als u weet wat u te doen staat. Hiervoor bieden wij u ondersteuning door middel van diverse Diagnoses. Onze Diagnoses benoemen alle punten die geregeld moeten zijn voor goede beheersing. U kunt elke diagnose zelf uitvoeren of gebruik maken van een instructiebezoek, begeleiding op afstand of locatie, of totale uitbesteding aan ons.

De Diagnoses hebben drie verschillende invalshoeken. Samen dekken ze alle punten die u helpen tot effectieve informatiebeveiliging te komen. Wanneer u kiest voor ondersteuning combineren wij de diagnoses zoveel mogelijk. De Diagnoses zijn óók periodiek (meestal jaarlijks) terugkomende evaluatiemomenten. U kunt de diagnoses daarom ook inzetten als interne auditdocumenten van een eventueel ISO 27001/27002 systeem.

Met onze diagnoses kunt u direct een plan van aanpak definiëren. Wanneer u gebruik maakt van onze ondersteuning helpen wij u te focussen op de in onze ervaring meest kritische punten en delen we die toe aan de juiste personen in de organisatie.

 

Diagnose Informatiebeveiligingsmanagement

Deze diagnose richt zicht op de organisatie als geheel. Het helpt u de juiste taken bij de juiste personen neer te leggen en de organisatie bewustzijn en grip te geven op het algemene thema informatiebeveiliging. De diagnose is conform de ISO 27001 norm en dus tevens bruikbaar als interne auditlijst. Enkele voorbeelden van de thema’s die aan bod komen zijn:

  • Zijn de algemene bedrijfsrisico’s en behoeften van belanghebbenden (stakeholders) goed geanalyseerd?
  • Hoe effectief komt informatiebeveiliging van directie en (midden)management op de werkvloer?
  • Hebben de medewerkers de juiste competenties en beschikken ze over de juiste middelen? Zijn hun rollen, bevoegdheden en verantwoordelijkheden duidelijk?
  • Werkt het bedrijf planmatig aan verbeteracties, doelstellingen en verbetert het structureel na voorgekomen informatiebeveiligingsincidenten?

Diagnose Praktische Informatiebeveiliging

Deze diagnose gaat in op alle 14 aandachtsgebieden uit de ISO 27002 norm en is daarmee ook (her)bruikbaar als interne auditlijst. De aandacht gaat uit naar specifieke maatregelen en instructies op praktijkniveau. U past deze Diagnose toe als u wilt weten welke praktische beheersmaatregelen u door moet voeren om uw informatiebeveiliging direct te verbeteren. Enkele voorbeelden:

  • Hebben uw medewerkers en leveranciers een geheimhoudingsverklaring getekend?
  • Zijn uw overzichten van hard- en software (denk ook aan licenties!) actueel, ook ten behoeve van verzekeringen?
  • Hoe staat het met de mogelijkheid van vreemden om in uw organisatie te komen?
  • Hoe staat het met het gebruik van smartphones en laptops via onbeveiligde netwerken wanneer uw mensen op pad zijn?
  • Zijn taken, rechten en rollen voldoende gescheiden om onbedoelde wijzigingen van informatie te voorkomen?
  • Hebben wij onze systemen voldoende betrouwbaar uitgevoerd (redundancy) en hoe snel kunnen wij weer operationeel zijn bij een incident?

Diagnose Classificatie & Risicoprofiel

Deze diagnose brengt in kaart welke informatie u feitelijk heeft in uw organisatie. Gegevens van uw eigen organisatie (personeelsdossiers, financiële gegevens, intellectueel eigendom) én gegevens van uw klanten. Het belang (de classificatie) van die informatie wordt specifiek gemaakt en gedocumenteerd. Op basis daarvan kan bepaald worden welke eisen er gelden aan de informatiesystemen waar deze informatie in aanwezig is. Die eisen betreffen:

  • Beschikbaarheid: binnen welke termijn moeten gegevens beschikbaar kunnen zijn, en hoe erg is het als gegevens onherroepelijk verloren gaan? Dit is bepalend voor eigen beheersmaatregelen (bijvoorbeeld een betrouwbare stroomvoorziening) én prestatiecontracten met uw leveranciers (bijvoorbeeld responstijd, backups).
  • Integriteit: hoe belangrijk is het dat de gegevens juist en volledig zijn, en dat wijzigingen alleen door competente en geautoriseerde personen uitgevoerd worden? Dit kan bepalen welke controles, rollen en rechten, en registratie van wijzigingen nodig zijn.
  • Vertrouwelijkheid: hoe belangrijk is het dat alleen geautoriseerde personen toegang hebben tot de informatie? Dit kan bepalen zijn voor bewustzijn tijdens het werken, authenticatie, of wettelijke verplichtingen.
  • U gebruikt deze diagnose onder andere om op basis van echt aanwezige informatie de verantwoordelijken voor die informatie aan te wijzen, beheersmaatregelen in te richten, respons op incidenten vorm te geven én de juiste (contractuele) afspraken rondom soorten informatie met uw klanten en leveranciers te maken.

Meer informatie?

Maak gebruik van het contact-formulier om meer informatie te vragen.