Informatiebeveiliging is een cruciale zorg voor bedrijven terwijl ze proberen zich aan te passen aan de snelle vooruitgang in aanvalsmethoden en -technieken en de daaropvolgende veranderingen in de wettelijke vereisten. Het falen van een informatiebeveiliging van de organisatie Maatregelen kunnen verschillende negatieve gevolgen hebben voor de organisatie en haar stakeholders, waaronder het verlies van vertrouwen.
Om relevant te blijven en te kunnen concurreren in de hedendaagse zakenwereld, moet elke onderneming beschikken over een Information Security Governance Program (ISGP). Gelukkig bestaat er een mogelijkheid om het informatiebeveiligingsbeheer en het algehele risicobeheer in de zakelijke omgeving te verbeteren door dit in lijn te brengen met compliance-eisen zoals ISO 27001 en de uitloper ISO 27014-standaard.
ISO/IEC 27014 is een standaard in de ISO / IEC 27000 series.
Deze standaard is “ontworpen om organisaties te helpen bij het effectief beheren van hun informatiebeveiligingsstrategieën.” De standaard biedt “aanwijzingen voor de principes en concepten voor informatiebeveiligingsbeheer, van waaruit organisaties informatiebeveiligingsgerelateerde praktijken in de organisatie kunnen evalueren, aansturen, monitoren, communiceren en verzekeren.
De elf pagina's tellende standaard vat de standaarden voor informatietechnologiebeheer samen en omvat een structuur van zes principes en vijf processen. De standaard beschouwt IT-governance als een interactie met informatietechnologie-governance, die allemaal componenten zijn van het bredere raamwerk van organisatorisch bestuur. In december 2020 werd nog een ISO/IEC 27014:2020-richtlijn uitgebracht, als opvolger van de eerste editie van 2013.
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
Een bestuursorgaan is een collectief van individuen die beschikken over de autoriteit en verantwoordelijkheid om beleid te formuleren en leiding te geven aan een organisatie algemeen traject. Het collectief orgaan is verantwoordelijk voor de besluitvorming en uitvoering namens haar medewerkers, stakeholders en de organisatie.
De primaire functie van het bestuursorgaan is het beschermen van de privileges en belangen van de organisatie, evenals die van iedereen die binnen het raamwerk van de organisatie werkt. Dit orgaan bereikt dit door ervoor te zorgen dat de organisatie efficiënt functioneert en in staat is de doelstellingen en prioriteiten te verwezenlijken waaraan zij zich heeft verbonden. Bovendien is het bestuursorgaan verantwoordelijk voor de financiën, het personeel en de bezittingen van de organisatie. Een belangrijke rol van het bestuursorgaan in elke organisatie is het maken van beslissingen die de beveiliging van informatie binnen de organisatie bevorderen.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Er zijn governanceprocessen voor informatiebeveiliging ontwikkeld om organisaties te helpen bij het monitoren en beheren van hun inspanningen op het gebied van informatiebeveiliging. Ze bestaan echter niet in een vacuüm; dat is wel nodig geïntegreerd in de algehele bedrijfsvoering of deze effectief zullen zijn (en dit geldt voor veel gerelateerde beveiligingsactiviteiten, zoals risicobeheer). Het bestuursorgaan en het topmanagement zijn verantwoordelijk voor de uitvoering van vier bestuurssystemen, volgens ISO/IEC 27014:2020.
Een van de governanceprocessen voor informatiebeveiliging is evaluatie. Evaluatie is een belangrijk proces waarbij de huidige staat van een proces of onderdeel binnen een organisatie onder de loep wordt genomen. Dit helpt bepalen wat goed en fout is met dat specifieke proces of onderdeel.
Richting is een van de governanceprocessen voor informatiebeveiliging. Het omvat het plannen, vaststellen en herzien van beleidsnormen en -procedures, en het evalueren van de naleving door personeel met vastgestelde beperkingen.
Monitoring is een van de informatiebeveiligingsprocessen. Het zijn managementactiviteiten die de beschikbaarheid, integriteit, authenticatie en vertrouwelijkheid van de systemen en netwerken garanderen en controleren of medewerkers deze systemen en netwerken op de juiste manier gebruiken, op een manier die volgt het veiligheidsbeleid.
Communicatie is de sleutel als het gaat om Information Security Governance-processen. Het is u toevertrouwd om uw bedrijf en de verschillende activa veilig te houden, maar dit kan geen op zichzelf staand proces zijn.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Het informatiebeveiligingsbeheer moet ervoor zorgen dat de informatiebeveiligingsmaatregelen robuust en geïntegreerd zijn. De standaard stelt zes ‘actiegerichte’ principes op hoog niveau vast voor het bestuur van informatiebeveiliging. Dit omvat het volgende:
Zorgen over informatietechnologie of cyberveiligheid kunnen het raamwerk en de functies van de organisatie binnendringen. Op alle managementniveaus is informatiebeveiliging moet worden gecombineerd met informatietechnologie (IT) en andere functies. Het topmanagement moet ervoor zorgen dat informatiebeveiliging voldoet aan de algemene strategische belangen van het bedrijf en moet verantwoordelijkheid en verantwoordelijkheid creëren in de hele organisatie.
Beveiligingsbeheer, met inbegrip van de verdeling van middelen en budgettering, moet zich laten leiden door de risicobereidheid van een organisatie, die op zijn beurt moet worden beïnvloed door een op risico gebaseerde aanpak die rekening houdt met: verlies aan concurrentievoordeel, zorgen over regelgeving en aansprakelijkheid, operationele vertragingen, reputatieschade, en financieel verlies.
Zorg ervoor dat informatiebeveiligingsrisico's goed worden geanalyseerd voordat nieuwe activiteiten worden ondernomen, zoals investeringen, overnames, fusies, de introductie van nieuwe technologieën, outsourcingovereenkomsten en contracten met externe leveranciers. Aanvullend, informatiebeveiliging integreren in interne bureauprocessen, zoals projectmanagement, inkoop, financieel beheer, naleving van wet- en regelgeving en organisatorisch risicobeheer. Het topmanagement moet een informatiebeveiligingsaanpak ontwikkelen die is afgestemd op de doelstellingen van de organisatie, wat betekent dat de informatiebeveiligingsbehoeften van instanties en organisaties consistent zijn.
Externe vereisten omvatten vereiste wet- en regelgeving, certificeringsnormen en contractuele verplichtingen. Interne criteria zijn subsets van de algemene doelstellingen en prioriteiten van een grotere organisatie. Onafhankelijke veiligheidsbeoordelingen zijn de algemeen aanvaarde methode voor het vaststellen en volgen van conformiteit. Het topmanagement moet ervoor zorgen dat informatiebeveiligingspraktijken op bevredigende wijze voldoen aan de interne en externe normen door er naar te kijken onafhankelijke beveiligingsaudits.
Er moet coördinatie en afstemming zijn tussen de verschillende belanghebbenden in het ISMS. Om een samenhangende koers voor informatiebeveiliging te realiseren moet het topmanagement de samenwerking van de taken en activiteiten van iedereen die door het ISMS wordt getroffen, aanmoedigen en faciliteren. Bovendien moet een bewijs van veiligheidsinstructie, voorbereiding, en bewustmakingsprogramma’s moet worden verstrekt. Verantwoordelijkheden op het gebied van informatiebeveiliging moeten worden opgenomen in de posities van het personeel en andere belanghebbenden, en allen moeten hun verantwoordelijkheden omarmen om bij te dragen aan de effectiviteit van het ISMS.
Succes op het gebied van beveiliging wordt niet alleen gemeten in termen van effectiviteit en betrouwbaarheid, maar ook in termen van de effecten ervan op de algemene bedrijfsdoelstellingen. Het topmanagement dat verantwoordelijk is voor governance zou periodieke beoordelingen moeten opnemen van een prestatiemetingsschema voor tracking, auditing en verbetering dat informatiebeveiliging vertaalt in optimale bedrijfsprestaties.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Het ISO 27014-document biedt richtlijnen over de principes, doelstellingen en procedures van informatiebeveiligingsbeheer die organisaties moeten gebruiken om informatiebeveiligingsgerelateerde processen binnen de organisatie te evalueren, aan te sturen, te monitoren en te communiceren.
Net als de andere ISO27k-standaarden is deze “geschikt voor organisaties van alle soorten en maten”, vooral die waar het ISMS de hele organisatie bestrijkt of slechts een subset ervan, of waar een enkel ISMS zich uitstrekt tot meerdere bedrijven (zoals binnen een bedrijfsstructuur).
Een goed beheer van informatiebeveiliging garandeert dat het consistent is met en de bedrijfsdoelstellingen ondersteunt die zijn geïdentificeerd in strategieën en beleid.
ISO 27014 legt aanzienlijke nadruk op de bestuurscomponenten van ISO/IEC 27001 en stelt bestuursdoelstellingen binnen dit raamwerk vast. Het omvat de integratie van bestuursactiviteiten op het gebied van informatiebeveiliging met andere bestuursfuncties en -doelen. ISO 27014 specificeert verder de eisen en verwachtingen van het bestuursorgaan van een ISO27k ISMS.
ISO/IEC 27014:2020 is bedoeld voor de volgende doelgroepen:
Dit document is van toepassing op alle soorten en maten organisaties.
Op ISMS.online, maken wij het u gemakkelijk om uw Information Security Governance te documenteren, zodat deze in lijn is met de ISO 27014-norm. Wij bieden u een logische, bruikbare, cloudgebaseerde informatiebeheerinterface waarmee uw organisatie de infosec-beheerprocessen en voortgang ervan kan controleren aan de hand van de ISO 27014-standaard.
Met ons cloudgebaseerde platform heeft u op één plek toegang tot al uw ISMS-bronnen. We hebben een intern team van informatiebeveiligingsexperts die u kunnen begeleiden en vragen kunnen beantwoorden om u te helpen op weg naar de implementatie van ISO 27014, zodat u kunt aantonen dat u zich inzet voor best practices op het gebied van informatiebeveiligingsbeheer. Bel ISMS.online op +44 (0)1273 041140 voor meer informatie over hoe wij u kunnen helpen gecertificeerd te worden volgens ISO 27001.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
Werk eenvoudig samen, creëer en laat zien dat u altijd op de hoogte bent van uw documentatie
Ontdek meer
Ga moeiteloos bedreigingen en kansen aan en rapporteer dynamisch over de prestaties
Ontdek meer
Neem betere beslissingen en laat zien dat u de controle heeft met dashboards, KPI's en gerelateerde rapportages
Ontdek meer
Maak licht werk van corrigerende maatregelen, verbeteringen, audits en managementreviews
Ontdek meer
Schijn een licht op kritische relaties en koppel op elegante wijze gebieden als activa, risico's, controles en leveranciers
Ontdek meer
Selecteer activa uit de Activabank en creëer eenvoudig uw Activa-inventaris
Ontdek meer
Kant-en-klare integraties met uw andere belangrijke bedrijfssystemen om uw compliance te vereenvoudigen
Ontdek meer
Voeg netjes andere compliancegebieden toe die van invloed zijn op uw organisatie om nog meer te bereiken
Ontdek meer
Betrek medewerkers, leveranciers en anderen te allen tijde bij dynamische end-to-end compliance
Ontdek meer
Beheer due diligence, contracten, contacten en relaties gedurende hun levenscyclus
Ontdek meer
Breng geïnteresseerde partijen visueel in kaart en beheer ze, zodat duidelijk aan hun behoeften wordt voldaan
Ontdek meer
Sterke privacy by design en beveiligingscontroles die aan uw behoeften en verwachtingen voldoen
Ontdek meerWij hebben alles wat u nodig heeft om uw eerste ISMS te ontwerpen, bouwen en implementeren.
Wij helpen u meer te halen uit het infosec-werk dat u al heeft gedaan.
Met onze platform waarop u het ISMS kunt bouwen uw organisatie echt nodig heeft.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering