Een samenvatting voor het vak: Information Security management en ethiek. Op basis van de CISM colleges en slides en de colleges ethiek en het boek ethiek de basis.
Ook beschikbaar in de bundel CISM & Ethiek
Leerdoelen CISM:
- De student begrijpt de eisen die gesteld worden aan effectieve governance van
informatiebeveiliging en kan een informatiebeveiligingsstrategie ontwikkelen
gekoppeld aan de strategische doelen van een organisatie.
- De student begrijpt het belang en de functie van een managementsysteem voor
informatiebeveiliging op basis van ISO 27001 en kan de elementen ervan plaatsen
binnen de PDCA-cyclus.
- De student begrijpt de gangbare methoden en technieken voor het managen
van informatiebeveiligingsrisico’s.
- De student kan op basis van een risicoanalyse maatregelen bepalen die passen bij het
gewenste beveiligingsniveau.
Leerdoelen Ethiek:
- De student toont kennis van de ethische basistheorie.
- De student toont inzicht in bedrijfsethiek.
- De student weet ethische kennis in maatschappelijke/veiligheidsdilemma’s toe te
passen.
1
, Samenvatting CISM & Ethiek
Samenvatting CISM:
CISM= Certified Information Security Management
Information security governance:
De aanleiding van corporate governance zijn meerdere financiële fraude gevallen bij grote
beursgenoteerde bedrijven.
Zoals het grootste fraudegeval ooit bij Enron. Hier werden onjuiste gegevens in de financiële
verslaglegging. Deze informatie werd door de CEO bevestigd met de woorden “as best we
believe”
SOX-wetgeving= Wetgeving die externe audit van de financiën verplicht en leidinggevende
zoals CEO en CFO persoonlijk de eindverantwoordelijk krijgen (dit kan leiden tot
gevangenisstraffen).
Due care & Due diligence= Gepaste zorgvuldigheid in de context van de integriteit van
informatie.
Governance = een taak die zich bezighoudt met het stellen van doelen voor een organisatie,
de te volgen koers om deze doelen te bereiken en de rollen en verantwoordelijkheden van
functionarissen in de organisatie.
Corporate governance = Gaat over het besturen van
een organisatie.
Denk hierbij aan het tegengaan van conflicterende
belangen. Uitvoerende taken en controlerende taken
moeten gescheiden worden.
2
, Samenvatting CISM & Ethiek
COBIT 5 = Een belangrijk framework om governance te realiseren. Het strategisch
management en uitvoerend management wordt gescheiden.
Governance>
Strategisch
Bijv. raad van bestuur &
Leidinggevende
De COBIT 5 principes:
1. Meeting stakeholder needs
2. Covering the enterprise end-to-end
3. Applying a single integrated framework
4. Enabling a holistic approach
5. Separating governance from management
Information Security Governance in de managementniveaus:
Strategisch: De strategie wordt ontwikkeld
door CISO en bekrachtigd door raad van
bestuur / directie Missie, visie, strategie
Het belang van information security governance is:
- Informatie is een vitaal productiemiddel dit moet op het hoogste managementniveau
worden erkend.
- Organisaties zijn heel afhankelijk van informatie en informatiesystemen.
3
, Samenvatting CISM & Ethiek
- De dreigingen gericht op informatie nemen toe.
- Er is steeds meer wet- en regelgeving die eisen stelt aan het gebruik en omgang met
informatie.
- De raad van bestuur kan aansprakelijk gesteld worden als informatie assets
onvoldoende beveiligd worden. (geen Due care)
Als de informatie security governance goed is dan leidt dit tot de volgende uitkomsten:
- Informatiebeveiliging is in lijn met strategische doelstellingen van de organisatie. Dit
heet strategic alignment.
- Informatiebeveiliging is een business-enabler en wordt dus gebruikt als middel om
doelstellingen te behalen.
- De informatiebeveiligingsoplossingen passen bij de organisatie en haar: cultuur,
technologie, bestuursstijl en organisatiestructuur.
- De investeringen in informatiebeveiliging passen bij de strategie van de organisatie,
risicostrategie/-appetite en de uitvoering van de organisatie.
Three lines of defense= een model dat als doel heeft om risico’s te beheersen door de
organisatie op te delen in 3 lijnen waar fouten of problemen kunnen worden gedetecteerd
en gemitigeerd.
1e line of defense: management controls & internal control measures. Hier zitten veel van de
uitvoerende taken.
2e line of defense: Financial controls, security, Quality, Risk management, compliance.
Bijvoorbeeld ook de information security officer.
3e line of defense: (interne) audits
Als de three lines of defence goed werken leidt dit tot de volgende uitkomsten:
Er worden passende maatregelen genomen om de risico’s op een voorde organisatie
acceptabel niveau te brengen en te houden. Dit gebeurt door:
- Het begrijpen van de dreigingen, kwetsbaarheden en het risicoprofiel van de
organisatie.
- Het begrijpen van de blootstelling aan risico’s en de potentiële consequenties van
een inbreuk op de beveiliging
4
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller DP010. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $9.71. You're not tied to anything after your purchase.
