Categorie: blogs

Toekomstscenario’s voor ENSIA – deel 1

Veel gemeentelijke CISO’s zullen deze zin goed kennen: “ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. En natuurlijk vervangen we inmiddels BIG voor BIO. Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen behandel ik in dit eerste deel. Hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen? Dat lees je in het volgende deel van dit tweeluik. Als dit voor jou relevante vragen zijn, lees dan zeker verder.

Lees verder

De CISO binnen de Nederlandse overheid

Wanneer je denkt dat binnen elke overheidsorganisatie de CISO rol op dezelfde manier wordt ingevuld, dan kun je het wel eens mis hebben. De rol is namelijk niet wettelijk omschreven. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onderzocht hoe CISO’s binnen de Nederlandse overheid hun werk en werkomgeving ervaren. In deze blog belicht ik graag de drie belangrijkste conclusies. En natuurlijk ook hoe wij als IB&P CISO’s kunnen helpen hun rol en verantwoordelijkheid (nog) beter in te vullen.

Lees verder

De jongste aanwinst in de ISO 27000-reeks: 27701 PIMS

Voor menig CISO zal de ISO 27000-reeks grotendeels bekende materie zijn. Voor anderen zal het vooral vraagtekens oproepen. Onlangs is er door de NEN een toevoeging aan deze reeks gedaan rondom privacy management; de zogenaamde ISO 27701 . In deze blog geef ik je graag een overzicht van deze norm en vertel ik je de verschillen met twee andere usual suspects uit de reeks: 27001 en 27002.

Lees verder

Risicomanagement; dichterbij dan je denkt?

Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Lees verder

General IT Controls in 2 bedrijven (deel 2)

Als de externe accountant de jaarrekening controleert is een IT-audit daar onderdeel van. Daarbij moet opzet, bestaan en werking van de ‘General IT Controls’ aangetoond worden. In mijn vorige blog heb ik uitgebreid stilgestaan bij het onderdeel logische toegangsbeveiliging. Het ging over autorisatiebeheer, identificatie, authenticatie, logging en administrator accounts. In dit laatste deel van het tweeluik sta ik stil bij wijzigingsbeheer en continuïteit. Lees verder in deel twee!

Lees verder