Controlcyclus

Uit NORA Online
Versie door NCoppens (overleg | bijdragen) op 2 dec 2014 om 12:28 (NCoppens heeft pagina Controlcyclus hernoemd naar Controlcyclus)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen


Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Met een “Controlcyclus” wordt in dit katern bedoeld de inhoudelijke Plan-Do-Check-Act cyclus die doorlopen wordt vanaf de geboorte van een informatiesysteem, inclusief processen en organisatie tot en met de concernsturing op de verbetering van dat geheel. Centraal staat het IT-Security Management System (ISMS), zoals dat genormeerd is in de ISO 27001. Dit systeem dient als centrale database voor beveiligingsmaatregelen.

Onderstaande figuur schetst de volledige beheersingscyclus voor beveiliging op basis van de VIR-2007, dat gericht is op het feitelijk aantoonbare niveau van beveiliging.

In deze figuur zijn alle stappen uitgewerkt van de drie lagen: Beleid, Uitvoering en Control. Vanuit de bedrijfsvisie, beleid en bedrijfsdoelen wordt de organisatie met de benodigde voorzieningen ingericht, gebaseerd op principes en eisen (Inrichten). Vanuit de implementatierichtlijnen wordt getoetst op de opzet, bestaan en werking van de maatregelen in exploitatie (Verrichten). Afwijkingen worden gerapporteerd aan het management, (Berichten). Waar nodig wordt de bedrijfsbeleid bijgesteld en risico’s gemitigeerd (Richten).

Het Security Operation Centre (SOC) is ingericht voor het bewaken van beveiligingsmaatregelen. Het heeft bevoegdheden om ‘de stekker te trekken’ wanneer blijkt dat systemen serieus aangevallen worden en/of vertrouwelijke gegevens lekken naar de buitenwereld, waarbij de bestaande maatregelen onvoldoende bescherming bieden.

Hoewel de controlcyclus is geschetst voor organisatie, processen en technologie, is deze op een vergelijkbare manier ook van toepassing voor fysieke beveiligingsmaatregelen, bewustwording van personeel en bedrijfscontinuiteit.

Controlcyclus beveiliging

Toelichting op de eisen[bewerken]

De betrouwbaarheidseisen én vertrouwelijkheidseisen leiden tot in de principes zoals deze in dit katern zijn uitgewerkt. De feitelijke maatregelen, met focus op IT-voorzieningen, worden op basis van de eisen (normen) op implementatierichtlijn niveau van dit katern (of BIR- en ISO-norm) ontworpen. Patronen uit dit katern, of uit de BIR-Operationele Handreiking bieden daarbij generieke oplossingsrichtingen.

Voor geautomatiseerde systemen worden de eisen vanuit de bedrijfsvoering bepaald door informatiemanagement en procesinrichting. Eisen vormen tevens onderdeel van de in- en externe controle. Tekortkomingen, die bij controles zijn vastgesteld, geven aanleiding tot het aanpassen van de bestaande maatregelen. Incidentrapportage, uitzonderingsrapportage, uitkomsten van de controles en veranderde in- en externe omgevingsfactoren worden als input gebruikt voor evaluatie en bijstelling van de beveiligingseisen. Feiten vanuit de Check- en Actfase worden gerapporteerd aan de Chief Security Officer. De beheersingscyclus speelt zich in de praktijk af op zowel strategisch, tactisch als operationeel niveau binnen organisaties.