Hoe voer ik een Fit Gap analyse uit? WWW.META-AUDIT.NL
Welke maatregelen moeten nog worden uitgevoerd om aan de Baseline Informatiebeveiliging Rijksdienst te voldoen. Een korte inleiding.
Risicomanagement ISO9001, zonder advies, met tool - innovatief en simpel risi...
BIR2017 vereist? Dan een Fit Gap analyse.
1. Fit Gap BIR2017
Baseline Informatiebeveiliging
Rijksdienst
en nu ....... !?
www.meta-audit.nl
Presentatie
2. BIR 2017, geheel gestructureerd volgens ISO 27001
• Management systeem voor informatiebeveiliging
• ‘familie’ van normen
• Gericht op informatiebeveiliging
• Basis: Information Security Management System (ISMS)
www.meta-audit.nl
3. Basis van een management-systeem
Managementsysteem
• Wat wil je?
• Hoe bereik je het?
• Wie doet wat wanneer?
• Hoe doe ik het?
• Regellus: Plan-Do-Check-Act
www.meta-audit.nl
4. Wat is er al en wat niet …
www.meta-audit.nl
Managementsysteem
• Documenten: over organisatie, verantwoordelijkheden, procedures, ..
• Bestaande operationele systemen, minder beschreven..?
• Korte termijn: richten op informatiebeveiliging (= ISO 27K)
• Wat omvat ISMS
• Risico management
• Alle 114 maatregelen?
• BIG specifiek maatregelen?
• BBN 1, 2 of 3?
FitGap analyse
5. Waar zitten de ‘witte vlekken’
QuickScan
• Eisen in ISO 27001, ‘vertaald’ naar Baseline Informatiebeveiliging BBN 1, 2 of 3
• Huidige situatie per onderdeel vergelijken met eisen
www.meta-audit.nl
6. Roadmap
Project BIR - BIG
Deel 2: ontwikkeling
en implementatie ISMS
Deel 3: onderhoudDeel 1: QuickScan
www.meta-audit.nl
7. Het project
• Wie doet wat: organisatie zelf, Meta-audit
• Project scope
• Project fasering
www.meta-audit.nl
Audit:
fase 1 en 2
Project BIR - BIG
8. Aandachtspunten
• Scope ISMS
• Risico management wezenlijk onderdeel
• Hoe ISMS beschrijven (KISS ….)
• Plan-Do-Check-Act verweven met het management-systeem
www.meta-audit.nl
Project BIR - BIG
9. Scope ISMS
www.metaware.nl
Project 27K
• Bepaal omvang project / werkzaamheden
• Welke diensten / activiteiten moeten onder ISMS vallen
• Klein beginnen, later uitbouwen?
• Wat is het einddoel BIR – BIG, gestructureerd volgens ISO 27K
10. Risico management
www.metaware.nl
• Kies methode: Risico niveau = Kans x Gevolg?
• Identificeer risico’s
• Analyseer, evalueer
• Selecteer beheersmaatregelen (controls)
• Goedkeuring ‘rest risico’.
Project BIR - BIG
11. ISMS beschrijven
• Top-down, niet te veel detail, gebruik operationele systemen
• Organisatie: diensten, functies/taken, missie/beleid
• ISMS: opzet, grenzen, beleid, Verklaring van toepasselijkheid, Risico management
• Processen: Diensten aan burgers en bedrijven, personeelsmanagement, inkoop, …
• Procedures, protocollen, instructies
www.meta-audit.nl
Project BIR - BIG