Een samenvatting voor het vak: Information Security management en ethiek. Op basis van de CISM colleges en slides en de colleges ethiek en het boek ethiek de basis.
Ook beschikbaar in de bundel CISM & Ethiek
Leerdoelen CISM:
- De student begrijpt de eisen die gesteld worden aan effectieve governance van
informatiebeveiliging en kan een informatiebeveiligingsstrategie ontwikkelen
gekoppeld aan de strategische doelen van een organisatie.
- De student begrijpt het belang en de functie van een managementsysteem voor
informatiebeveiliging op basis van ISO 27001 en kan de elementen ervan plaatsen
binnen de PDCA-cyclus.
- De student begrijpt de gangbare methoden en technieken voor het managen
van informatiebeveiligingsrisico’s.
- De student kan op basis van een risicoanalyse maatregelen bepalen die passen bij het
gewenste beveiligingsniveau.
Leerdoelen Ethiek:
- De student toont kennis van de ethische basistheorie.
- De student toont inzicht in bedrijfsethiek.
- De student weet ethische kennis in maatschappelijke/veiligheidsdilemma’s toe te
passen.
1
, Samenvatting CISM & Ethiek
Samenvatting CISM:
CISM= Certified Information Security Management
Information security governance:
De aanleiding van corporate governance zijn meerdere financiële fraude gevallen bij grote
beursgenoteerde bedrijven.
Zoals het grootste fraudegeval ooit bij Enron. Hier werden onjuiste gegevens in de financiële
verslaglegging. Deze informatie werd door de CEO bevestigd met de woorden “as best we
believe”
SOX-wetgeving= Wetgeving die externe audit van de financiën verplicht en leidinggevende
zoals CEO en CFO persoonlijk de eindverantwoordelijk krijgen (dit kan leiden tot
gevangenisstraffen).
Due care & Due diligence= Gepaste zorgvuldigheid in de context van de integriteit van
informatie.
Governance = een taak die zich bezighoudt met het stellen van doelen voor een organisatie,
de te volgen koers om deze doelen te bereiken en de rollen en verantwoordelijkheden van
functionarissen in de organisatie.
Corporate governance = Gaat over het besturen van
een organisatie.
Denk hierbij aan het tegengaan van conflicterende
belangen. Uitvoerende taken en controlerende taken
moeten gescheiden worden.
2
, Samenvatting CISM & Ethiek
COBIT 5 = Een belangrijk framework om governance te realiseren. Het strategisch
management en uitvoerend management wordt gescheiden.
Governance>
Strategisch
Bijv. raad van bestuur &
Leidinggevende
De COBIT 5 principes:
1. Meeting stakeholder needs
2. Covering the enterprise end-to-end
3. Applying a single integrated framework
4. Enabling a holistic approach
5. Separating governance from management
Information Security Governance in de managementniveaus:
Strategisch: De strategie wordt ontwikkeld
door CISO en bekrachtigd door raad van
bestuur / directie Missie, visie, strategie
Het belang van information security governance is:
- Informatie is een vitaal productiemiddel dit moet op het hoogste managementniveau
worden erkend.
- Organisaties zijn heel afhankelijk van informatie en informatiesystemen.
3
, Samenvatting CISM & Ethiek
- De dreigingen gericht op informatie nemen toe.
- Er is steeds meer wet- en regelgeving die eisen stelt aan het gebruik en omgang met
informatie.
- De raad van bestuur kan aansprakelijk gesteld worden als informatie assets
onvoldoende beveiligd worden. (geen Due care)
Als de informatie security governance goed is dan leidt dit tot de volgende uitkomsten:
- Informatiebeveiliging is in lijn met strategische doelstellingen van de organisatie. Dit
heet strategic alignment.
- Informatiebeveiliging is een business-enabler en wordt dus gebruikt als middel om
doelstellingen te behalen.
- De informatiebeveiligingsoplossingen passen bij de organisatie en haar: cultuur,
technologie, bestuursstijl en organisatiestructuur.
- De investeringen in informatiebeveiliging passen bij de strategie van de organisatie,
risicostrategie/-appetite en de uitvoering van de organisatie.
Three lines of defense= een model dat als doel heeft om risico’s te beheersen door de
organisatie op te delen in 3 lijnen waar fouten of problemen kunnen worden gedetecteerd
en gemitigeerd.
1e line of defense: management controls & internal control measures. Hier zitten veel van de
uitvoerende taken.
2e line of defense: Financial controls, security, Quality, Risk management, compliance.
Bijvoorbeeld ook de information security officer.
3e line of defense: (interne) audits
Als de three lines of defence goed werken leidt dit tot de volgende uitkomsten:
Er worden passende maatregelen genomen om de risico’s op een voorde organisatie
acceptabel niveau te brengen en te houden. Dit gebeurt door:
- Het begrijpen van de dreigingen, kwetsbaarheden en het risicoprofiel van de
organisatie.
- Het begrijpen van de blootstelling aan risico’s en de potentiële consequenties van
een inbreuk op de beveiliging
4
Voordelen van het kopen van samenvattingen bij Stuvia op een rij:
Verzekerd van kwaliteit door reviews
Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!
Snel en makkelijk kopen
Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.
Focus op de essentie
Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!
Veelgestelde vragen
Wat krijg ik als ik dit document koop?
Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.
Tevredenheidsgarantie: hoe werkt dat?
Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.
Van wie koop ik deze samenvatting?
Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper DP010. Stuvia faciliteert de betaling aan de verkoper.
Zit ik meteen vast aan een abonnement?
Nee, je koopt alleen deze samenvatting voor €8,99. Je zit daarna nergens aan vast.
