TNO Telecom

(1)

Het MIMIS -BijlagenBoek

TNO Confidentieel 33316

Datum: Maart 2004 Auteur: D. Welfing

BIT SAS

Winschoterdiep OZ 46 Postbus 15000 9700 CD Groningen www.tno.nl

T 050 582 10 00 F 050 312 24 15

TNO Telecom

onderzoek / Netherlands Organization fot Applied Scientific Research

(2)

Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, foto-kopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande toestemming van TNO.

Indien dit rapport in opdracht werd uitgebracht, wordt voor de rechten en verplichtingen van opdrachtgever en opdrachtnemer verwezen naar de Algemene Voorwaarden voor onderzoeksopdrachten aan TNO, dan wel de betreffende terzake tussen de partijen gesloten overeenkomst Het ter inzage geven van het TNO-rapport aan direct belanghebbenden is toegestaan.

No part of this book may be reproduced in any form, by print, photo- print, microfilm or any other means without the prior written permission from the publisher.

(3)

Informatieblad

bij rapport 33316 Titel: Het MIMIS-bijlagenboek

Excerpt:

Dit is het bijlagenboek met alle bijlagen van het rapport:

“MIMIS – een implementatiemethodiek voor informatiebeveiliging”

Auteur: D. Welfing

Reviewer: Drs. P.J. van der Wulp

Afdeling: BIT SAS

Project: Afstudeeropdracht CIB Projectleider: Drs. P. J. van der Wulp

Periode: augustus 2003 tot februari 2004 Opdrachtgever: TNO Telecom

Datum: Maart 2004

Rubricering: TNO Confidentieel

Uitgegeven onder verantwoordelijkheid van: Ing. W.A.P.C. Jansen

Trefwoorden: MIMIS, CIB, ISMS, informatiebeveiliging, BS 7799, ISO 17799, managementsysteem

Verzendlijst: (20x) TNO Telecom Rijksuniversiteit Groningen Drs. P.J. van der Wulp (3x) Prof. Dr. Ir. J.L. Simons (1x) Ir. R. Kerkdijk Drs. J.M. Valens RA (1x)

Ir. F. Fransen Onderwijsbalie RuG (2x digitaal) Dhr. H.J.M. Joosten

Drs. T van Noort Dr. Ir. P. de Jager Ing. W.A.P.C. Jansen Ir. G. Kleinhuis Drs. Ing. H. Hut Ir. J.W. Knobbe Drs. A.P.J. de Jong D. Welfing (3x)

(4)

(5)

Bijlagenoverzicht

Bijlage A: Afstudeeropdrachtomschrijving ... 7

Bijlage B: Hoofdstuk 4 uit de BS 7799-2:2002... 9

Bijlage C: 7S-boom ... 13

Bijlage D: S’en per ISMS-eis... 15

Bijlage E: Gebruiksaanwijzing voor de methodiek ... 17

Bijlage 1 bij de gebruiksaanwijzing: H4 uit de BS 7799-2:2002 ... 19

Bijlage 2 bij de gebruiksaanwijzing: de scoringslijst ... 20

Bijlage F: Set algemene aanbevelingen ... 25

Bijlage G: Alle specifieke aanbevelingen per ISMS-eis... 41

BS 7799-2:2002 - 4.2.1.a. ... 41

BS 7799-2:2002 - 4.2.1.b. ... 44

BS 7799-2:2002 - 4.2.1.i. ... 51

BS 7799-2:2002 - 4.2.2.a. ... 55

BS 7799-2:2002 - 4.2.2.b. ... 59

BS 7799-2:2002 - 4.2.2.d. ... 63

BS 7799-2:2002 - 4.2.2.e. ... 65

BS 7799-2:2002 - 4.2.2.f. ... 68

BS 7799-2:2002 - 4.2.2.g. ... 71

BS 7799-2:2002 - 4.2.3.a. ... 74

BS 7799-2:2002 - 4.2.3.b. ... 77

BS 7799-2:2002 - 4.2.3.d. ... 80

BS 7799-2:2002 - 4.2.3.f. ... 83

BS 7799-2:2002 - 4.2.4.c. ... 86

Bijlage H: cd-rom met MIMIS.exe... 89

(6)

(7)

Bijlage A: Afstudeeropdrachtomschrijving

Hantering van de Code voor Informatiebeveiliging binnen grote organisaties

Duur van afstuderen: 6 Maanden

Begeleider: Willy Jansen (Manager BIT SAS)

Locatie: Groningen

INLEIDING

Steeds geavanceerdere communicatiemiddelen stellen de moderne mens in staat op elk moment en iedere gewenste plaats informatie te ontvangen en versturen. Vaak gaat de informatie over alledaagse dingen, zoals weer en verkeer, maar ook financiële, zakelijke of strategische dossiers gaan met groot gemak en steeds frequenter de wereld over. Dat stelt steeds hogere eisen aan de beveiliging van deze informatie alsmede de netwerken die zulke informatie transporteren. Het is zaak maatregelen te treffen om de beschikbaar- heid, integriteit en vertrouwelijkheid van informatie te waarborgen. We hebben het dan over informatiebeveiliging, een uiterst belangrijk aandachtspunt binnen de telecom opera- tors zoals KPN.

Een waarneembare trend is dat bedrijven bij het inrichten van security binnen hun organisatie steeds vaker de Code voor Informatiebeveiliging (CIB) ter hand nemen. Deze CIB (ISO 17799-1) is het algemeen geaccepteerd referentiepunt voor ontwerp en implementatie van informatiebeveiliging binnen een bedrijfsomgeving. Het is mogelijk (onderdelen van) een bedrijf hiervoor te certificeren, waardoor naar klanten toe wordt aangetoond dat op adequate wijze met beveiliging omgegaan wordt. Tegenwoordig eisen veel bedrijven dat hun toeleveranciers over een dergelijk certificaat beschikken. Ook KPN heeft hiermee te maken, zowel vanuit de rol van toeleverancier als die van klant.

Het inrichten informatiebeveiliging aan de hand van de CIB is geenszins triviaal. Boven- dien bestaat hiervoor geen eenduidige aanpak die past binnen elke organisatievorm.

Deze is afhankelijk van de zakelijke doelstellingen die een bedrijf nastreeft met het toe- passen van de CIB alsmede de organisatorische randvoorwaarden welke binnen het bedrijf bestaan. Het laatste is met name binnen grote organisaties een complexe kwestie.

Voor de KPN situatie heeft TNO Telecom inmiddels een methodiek ontwikkeld met betrekking tot CIB hantering, welke momenteel geoperationaliseerd wordt. TNO Telecom zou nu graag zicht krijgen op mogelijke implementatiepaden binnen andere grote organisaties.

OPDRACHTOMSCHRIJVING

Deze afstudeeropdracht behelst het in kaart brengen van de wijze waarop grote organisaties de CIB zouden kunnen of zelfs moeten hanteren. Kwesties welke in het kader van de opdracht geadresseerd dienen te worden, zijn onder meer:

• De wijze waarop informatiebeveiliging binnen verschillende organisatievormen ingestoken kan worden. Hierbij gaat het onder meer om de zakelijke doelstellingen die verschillende typen organisaties nastreven middels het inrichten van informatiebeveiliging.

(8)

• Mogelijke implementatiepaden binnen de verschillende typen organisaties.

• Relevante rollen en verantwoordelijkheden met betrekking tot informatiebeveiliging alsmede de wijze waarop besturing ingericht kan worden.

• Bekende knelpunten met betrekking tot CIB implementatie en mogelijkheden om deze te ondervangen.

• Inventarisatie en mogelijk ontwikkeling van benodigde tools ter ondersteuning van CIB implementatie.

Op basis hiervan ontwikkelt de student een methodiek voor hantering van de CIB binnen grote organisaties. Waar nodig dient hierbij gedifferentieerd te worden naar type organisatie.

Om deze opdracht tot een goed einde te brengen zal de student zich de processen rondom CIB implementatie eigen moeten maken. Als startpunt kan deze zich verdiepen in de methodiek me betrekking tot CIB hantering zoals die ontwikkeld is voor KPN.

WIE ZOEKEN WIJ?

Voor deze opdracht wordt gezocht naar een WO student Bedrijfskundige Informatica of Technische Bedrijfskunde. De kandidaat moet geïnteresseerd zijn in (organisatorische en procesmatige aspecten van) informatiebeveiliging. Verder verlangen we dat de kandidaat zelfstandig kan werken, vaak zelf het initiatief neemt in het zoeken naar contacten met inhoudelijke experts binnen TNO Telecom en beschikt over goede communicatieve vaardigheden.

WAT BIEDEN WIJ?

Wij bieden een interessante en dynamische omgeving waarin bedrijfsleven en weten- schap worden gecombineerd. Je zult meedraaien in de afdeling Service Architectures &

Security (SAS) en je werk zal nauw verbonden zijn met onze projecten. Bovendien be- hoort contact met onze klanten zeker tot de mogelijkheden. Zowel TNO als de universiteit zullen voor de begeleiding zorg dragen.

De afstudeeropdracht zal worden uitgevoerd bij TNO Telecom te Groningen. Tijdens de afstudeerperiode heeft de afstudeerder recht op een afstudeervergoeding en een kamer- vergoeding. In de gezellige stad Groningen is het doorgaans geen probleem om een kamer te vinden. Tussen de afstudeerders onderling is veel contact en worden regelmatig activiteiten georganiseerd.

De afstudeeropdracht biedt ons tevens de kans om jou beter te leren kennen. Aan het eind van de afstudeerperiode bestaat de kans dat je uitgenodigd wordt om te solliciteren.

Voor aanmeldingen en informatie kan je contact opnemen met onze Recruitment Officer:

werving@telecom.tno.nl

(9)

Bijlage B: Hoofdstuk 4 uit de BS 7799-2:2002

4. Information Security Management System

4.1 General requirements

The organization shall develop, implement, maintain and continually improve a documented ISMS within the context of the organization’s overall business activities and risk. For the purposes of this standard the process used is based on the PDCA model shown in Figure 1.

4.2 Establishing and managing the ISMS

4.2.1 Establish the ISMS

The organization shall do the following.

a) Define the scope of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology.

b) Define an ISMS policy in terms of the characteristics of the business, the organization, its location, assets and technology that:

1) includes a framework for setting its objectives and establishes an overall sense of direc- tion and principles for action with regard to information security;

2) takes into account business and legal or regulatory requirements, and contractual security obligations;

3) establishes the strategic organizational and risk management context in which the estab- lishment and maintenance of the ISMS will take place;

4) establishes criteria against which risk will be evaluated and the structure of the risk as- sessment will be defined [see 4.2.1c)];

5) has been approved by management.

c) Define a systematic approach to risk assessment

Identify a method of risk assessment that is suited to the ISMS, and the identified business information security, legal and regulatory requirements. Set policy and objectives for the ISMS to reduce risks to acceptable levels. Determine criteria for accepting the risks and identify the acceptable levels of risk [see 5.1f)].

d) Identify the risks

1) Identify the assets within the scope of the ISMS and the owners of these assets.

2) Identify the threats to those assets.

3) Identify the vulnerabilities that might be exploited by the threats.

4) Identify the impacts that losses of confidentiality, integrity and availability may have on the assets.

e) Assess the risks

1) Assess the business harm that might result from a security failure, taking into account the potential consequences of a loss of confidentiality, integrity or availability of the assets.

2) Assess the realistic likelihood of such a security failure occurring in the light of prevailing threats and vulnerabilities and impacts associated with these assets, and the controls cur- rently implemented.

3) Estimate the levels of risks.

4) Determine whether the risk is acceptable or requires treatment using the criteria estab- lished in 4.2.1c).

f) Identify and evaluate options for the treatment of risks Possible actions include:

1) applying appropriate controls;

(10)

2) knowingly and objectively accepting risks, providing they clearly satisfy the organization’s policy and the criteria for risk acceptance [see 4.2.1c)];

3) avoiding risks;

4) transferring the associated business risks to other parties, e.g. insurers, suppliers.

g) Select control objectives and controls for the treatment of risks

Appropriate control objectives and controls shall be selected from Annex A of this standard and the selection shall be justified on the basis of the conclusions of the risk assessment and risk treatment process.

NOTE: The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may also be selected.

h) Prepare a Statement of Applicability

The control objectives and controls selected in 4.2.1g) and the reasons for their selection shall be documented in the Statement of Applicability. The exclusion of any control objectives and controls listed in Annex A shall also be recorded.

i) Obtain management approval of the proposed residual risks and authorization to implement and operate the ISMS.

4.2.2 Implement and operate the ISMS

a) Formulate a risk treatment plan that identifies the appropriate management action, responsi- bilities and priorities for managing information security risks (see Clause 5).

b) Implement the risk treatment plan in order to achieve the identified control objectives, which includes consideration of funding and allocation of roles and responsibilities.

c) Implement controls selected in 4.2.1g) to meet the control objectives.

d) Implement training and awareness programmes (see 5.2.2).

e) Manage operations.

f) Manage resources (see 5.2).

g) Implement procedures and other controls capable of enabling prompt detection of and re- sponse to security incidents.

4.2.3 Monitor and review the ISMS

a) Execute monitoring procedures and other controls to:

1) detect errors in the results of processing promptly;

2) identify failed and successful security breaches and incidents promptly;

3) enable management to determine whether the security activities delegated to people or implemented by information technology are performing as expected;

4) determine the actions taken to resolve a breach of security reflecting business priorities.

b) Undertake regular reviews of the effectiveness of the ISMS (including meeting security pol- icy and objectives, and review of security controls) taking into account results of security audits, incidents, suggestions and feedback from all interested parties.

c) Review the level of residual risk and acceptable risk, taking into account changes to:

1) the organization;

2) technology;

3) business objectives and processes;

4) identified threats;

5) external events, such as changes to the legal or regulatory environment and changes in social climate.

d) Conduct internal ISMS audits at planned intervals.

e) Undertake a management review of the ISMS on a regular basis (at least once a year) to ensure that the scope remains adequate and improvements in the ISMS process are identified (see Clause 6).

f) Record actions and events that could have an impact on the effectiveness or performance of the ISMS (see 4.3.3).

(11)

4.2.4 Maintain and improve the ISMS

The organization shall regularly do the following.

a) Implement the identified improvements in the ISMS.

b) Take appropriate corrective and preventive actions in accordance with 7.2 and 7.3. Apply the lessons learnt from the security experiences of other organizations and those of the organization itself.

c) Communicate the results and actions and agree with all interested parties.

d) Ensure that the improvements achieve their intended objectives.

(12)

(13)

Bijlage C: 7S-boom

Strategie

PlanStrategie

PatternStrategie

PositionStrategie PloyStrategie

PerspectiveStrategie

Systemen

directe - interne partijen en hun relaties

indirecte - interne partijen en hun relaties

indirecte - externe partijen en hun relaties directe - externe partijen en hun relaties

‘Shared Values’

Integriteit

Mensen

De klant

Technologie

Excellent zijn

Gemeenschap Leren

‘Skills’

Efficiëntie Flexibiliteit

Machtcultuur

Taakcultuur

Persoonscultuur Rolcultuur Stijl

Informeel Formeel

mangementstijl

bedrijfscultuur

Structuur

strategisch

tactisch

operationeel

Lijn

Lijn-Staf

Horizontaal Matrix organisatieniveau

organisatievorm

‘Staff’

Behouden en Belonen Vormen en Motiveren

(14)

(15)

Bijlage D: S’en per ISMS-eis

Plan

4.2.1 a) theorie uit: Structuur, Strategie, Systemen

Definieer de scoop van het ISMS in termen als karakteristieken van de ‘business’, de organisatie, de locatie, de middelen en de technologie.

4.2.1 b) theorie uit: Structuur, Strategie, Systemen, Shared Values, Stijl, Staff

Definieer ISMS-beleid in termen als karakteristieken van de ‘business’, de organisatie, de locatie, de middelen en de technologie.

4.2.1 c) theorie is minder van toepassing

Definieer een systematische aanpak over hoe met de risico’s moet worden omgegaan.

4.2.1 d) theorie is minder van toepassing Identificeer de risico’s (risicoanalyse).

4.2.1 e) theorie is minder van toepassing Wijs de risico’s toe.

4.2.1 f) theorie is minder van toepassing

Identificeer en evalueer opties om risico’s te vermijden (risk treatment).

4.2.1 g) theorie is minder van toepassing

Selecteer relevante controls voor de bestrijding van deze risico’s.

4.2.1 h) theorie is minder van toepassing

Bereid een ‘Statement of Applicability’ (Verklaring van Toepasselijkheid) voor.

4.2.1 i) theorie uit: Structuur, Stijl

Verkrijg managementgoedkeuring (overeenstemming) over de onderkende risico’s en autorisatie om het ISMS te implementeren en te operationaliseren.

Do

4.2.2 a) theorie uit: Structuur, Systemen, Stijl

Formuleer een risicobestrijdingsplan wat de geschikte managementactie, verantwoordelijkheden en prioriteiten identifi- ceert.

4.2.2 b) theorie uit: Structuur, Systemen, Stijl Implementeer dit risicobestrijdingsplan.

4.2.2 c) theorie is minder van toepassing Implementeer de controls uit 2.4.1.g.

4.2.2 d) theorie uit: Staff

Implementeer trainings- en bewustwordingsprogramma’s.

4.2.2 e) theorie uit: Systemen, Stijl Manage de ‘operations’ (taken/activiteiten).

4.2.2 f) theorie uit: Systemen, Stijl Manage de resources.

(16)

4.2.2 g) theorie uit: Systemen, Stijl

Implementeer procedures en andere controls om snelle detectie en reactie op beveiligingsincidenten vorm te geven.

Check

4.2.3 a) theorie uit: Structuur

Voer monitorprocedures en andere controls uit om:

1. snel storingen binnen het ISMS-proces te detecteren,

2. identificeer snel mislukte en succesvolle beveiligingsincidenten en -oplossingen, 3. zorg ervoor dat het management kan bepalen of de gedelegeerde beveiligingsactiviteiten uitgevoerd door mensen of geïmplementeerd door informatietechnologie zoals verwacht presteren,

4. bepaal of de ondernomen acties om beveiligingsincidenten op te lossen in overeenstemming zijn met prioriteiten van de organisatie.

4.2.3 b) theorie uit: Structuur

Onderneem periodieke reviews om de effectiviteit van het ISMS te meten, rekeninghoudend met de feedback van alle participanten.

4.2.3 c) theorie is minder van toepassing

Herzie het niveau van de overgebleven en acceptabele risico’s en houdt rekening met de organisatie, de technologie, de organisatiedoelen en -processen, de geïdentificeerde bedreigingen en externe factoren zoals wetgeving en het sociale klimaat.

4.2.3 d) theorie uit: Structuur, Systemen Onderneem interne ISMS-audits op geplande intervallen.

4.2.3 e) theorie is minder van toepassing

Plan op reguliere basis een managementreview van het ISMS (tenminste één keer per jaar) om te bepalen of de scoop nog adequaat is en om er zeker van te zijn dat verbeteringen in het ISMS worden geïdentificeerd.

4.2.3 f) theorie uit: Structuur, Systemen

Leg acties en factoren vast die impact kunnen hebben op de effectiviteit en performance van het ISMS kunnen hebben.

Act

4.2.4 a) theorie is minder van toepassing Implementeer en identificeer verbeteringen in het ISMS.

4.2.4 b) theorie is minder van toepassing

Onderneem relevante, corrigerende en preventieve acties ten aanzien van de continue verbetering en pas de lessen toe die geleerd zijn van beveiligingservaringen van de eigen en andere organisaties.

4.2.4 c) theorie uit: Structuur, Systemen, Stijl

Communiceer de resultaten en de ondernomen acties en verkrijg overeenstemming met alle participanten.

4.2.4 d) theorie is minder van toepassing

Wees er van verzekerd dat de verbeteringen de bedoelde doelen verwezenlijken.

(17)

Bijlage E: Gebruiksaanwijzing voor de methodiek

Deze gebruiksaanwijzing is bedoeld ter ondersteuning om de implementatie van een ISMS waarbij MIMIS als methodiek wordt gehanteerd. De gebruiksaanwijzing is verdeeld in 4 stappen:

Stap 1: Het lezen van de specificaties voor een ISMS Stap 2: Het scoren van een organisatie

Stap 3: Het selecteren van de algemene en de specifieke aanbevelingen Stap 4: Het implementeren van het ISMS met de aanbevelingen

Stap 1: Het lezen van de specificaties voor een ISMS

Lees de specificaties voor een ISMS, dit zijn de hoofdstukken vier, vijf, zes en zeven (met name paragraaf 4.2.1. t/m paragraaf 4.2.4.) uit de BS 7799-2:2002 goed door om u het ISMS eigen te maken.

[zie bijlage 1]

Stap 2: Het scoren van een organisatie

Om een ISMS-implementatie specifiek volgens de karakteristieken van de organisatie te laten verlopen, moet de organisatie gescoord worden op het bekende 7S-model van McKinsey. Een organisatie is namelijk op te hangen aan de zeven S’en (Structuur, Stra- tegie, Systemen, Shared Values, Skills, Stijl en Staff). Deze S’en fungeren als een kap- stok. Elke S is ingevuld met gangbare bedrijfskundige theorie. Zo kan voor een gegeven organisatie de juiste variaties binnen elke S worden aangegeven. Dit gebeurt per S. Zo ontstaat een organisatiespecifiek pad door het 7S-model heen. Scoor de organisatie middels de scoringslijst uit bijlage 2.

S S S S S S S S

S S

(18)

Stap 3: Het selecteren van de algemene en de specifieke aanbevelingen

In stap 2 is de organisatie per S gescoord. Er is bepaald welk type Structuur, Strategie, enzovoorts geldt voor de organisatie. Dit gekozen pad door de S’en heen vormt de input voor deze derde stap. In de algemene set aanbevelingen kunnen nu die aanbevelingen worden weggestreepte die niet direct te maken hebben met het gekozen pad. Dus blijven alleen die aanbevelingen over die gelden voor het gekozen type Structuur, Strategie, enzovoorts… Dit wordt ook gedaan bij de specifieke aanbevelingen.

Stap 4: Het implementeren van het ISMS met de aanbevelingen

Werk nu het hele ISMS af (eis voor eis) en volg hierbij de uit stap 3 geselecteerde aanbevelingen. Ter verduidelijking een voorbeeld:

Voorbeeld:

De eerste eis uit het ISMS, het definiëren van de scope:

Gebruik hierbij de naar aanleiding van stap 3 geselecteerde algemene aanbevelingen. Deze eisen zijn algemene aanbevelingen die toepasbaar zijn voor alle eisen. Gebruik vervolgens de specifieke eisen die gelden voor de scope. Op deze manier wordt de oorspronkelijke éénrege- lige ISMS-eis uitgebreid met ± 30 tot 40 algemene aanbevelingen en nog eens 10 tot 15 specifieke aanbevelingen geënt op de scope.

Zo worden alle eisen één voor één doorlopen. Niet bij elke ISMS-eis zijn aanbevelingen omdat enkele eisen een puur uitvoerend karakter hebben en niet een organisatiespecifie- ke aanpak vergen.

Samenvattend: De 30 tot 40 algemene aanbevelingen gelden voor de organisatie en zijn toepasbaar op alle ISMS-eisen, terwijl elke aparte ISMS-eis uitgebreid wordt met 10 tot 15 specifieke aanbevelin-gen. De aanbevelingen zijn, omdat de organisatie eerst is gescoord, organisatiespecifiek en daarom leidt deze werkwijze tot een veel organisatiespe- cifiekere ISMS-implementatie.

Geselecteerde aanbevelingen (o.b.v. de ‘gescoorde’

organisatie)

Algemene aanbevelingen Specifieke aanbevelingen

Define the scope of the ISMS in terms of the characteristics of the business, the organiza- tion, its location, assets and technology.

(19)

Bijlage 1 bij de gebruiksaanwijzing: H4 uit de BS 7799-2:2002

[idem als bijlage D]

(20)

Bijlage 2 bij de gebruiksaanwijzing: de scoringslijst

¾ Geef nu in de volgende pagina’s aan welke situatie geldt voor de organisatie door de relevante hokjes aan te vinken.

¾ Er zijn per S meerdere antwoorden mogelijk omdat meerdere situaties zich voor kunnen doen binnen dezelfde organisatie.

tructuur I. Niveau

Strategisch niveau

• Het hoogste niveau binnen een organisatie, het topmanagement (Corperate)

• Hier worden strategische beslissingen genomen

• Lange termijn planning Tactisch niveau

• Middle management (BU’s)

• Hier worden organisatorische beslissingen genomen

• Middellange termijnplanning Operationeel niveau

• Dit wordt ook wel eens de ‘werkvloer’ genoemd

• Hier worden operationele (technische) beslissingen genomen

• Korte termijn planning II. Organisatievorm

Lijnorganisatie

Organisatievorm waar een manager/baas rechtstreeks boven een medewerker of afdeling staat. Voorbeeld: een productiebedrijf met een simpele organisatiestructuur.

Lijn-staforganisatie

Organisatievorm waar een manager/baas rechtstreeks boven een medewerker of afdeling staat, waarbij een of meerdere stafafdelingen (bijvoorbeeld administratie, ICT- afdeling) hulp kan bieden. Voorbeeld: een productiebedrijf met een simpele organisatiestructuur met stafafdelingen (werkvoorbereiding, ICT, administratie).

Matrixorganisatie

Medewerkers of afdelingen worden via de lijn aangestuurd, maar ook horizontaal door procesmanagers of projectleiders. Voorbeeld: een dienstenleverende organisatie waarbij consultants via lijnmanagement worden aangestuurd en waarbij men in projectteams werkt.

Horizontale organisatie

Iedereen is hier gelijk en heeft z’n eigen expertise. Voorbeeld: een R&D-organisatie zonder een duidelijke hiërarchische structuur en waar men in projecten werkt.

zo aanvinken s.v.p.:

S

Met Structuur wordt hier bedoeld welke niveaus en welke organisatievormen er binnen een organisatie zijn.

(21)

trategie

Planstrategie

Strategie wordt gezien als een plan. Strategie is een bewuste koers met een handlei- ding die vertelt hoe met bepaalde situaties moet worden omgegaan. Een Planstrate- gie wordt dus vooraf, bewust en met een doel bepaald. Voorbeeld: de organisatie wil binnen vijf jaar een monopoliepositie hebben op de markt.

Ploystrategie

Een Ploystrategie is een strategie waarbij men probeert de concurrentie te slim af te zijn. Voorbeeld: het vanuit strategische overwegingen kopen van een partij aandelen.

Patternstrategie

Bij een Patternstrategie wordt strategie gezien als een patroon in een stroom van acties. Voorbeeld: een organisatie met een strategie die is gebaseerd op het idee:

“vroeger deden we het namelijk ook zo (en dat werkte), dus nu weer”. Een ander voorbeeld: een organisatie die zich bevindt in een steeds terugkerende situatie (bijvoorbeeld de jaarlijkse bietenoogst) waardoor de strategie ook een bepaald patroon krijgt.

Positionstrategie

Een Positionstrategie wordt gezien als een middel waarmee men een organisatie in zijn omgeving kan plaatsen. Voorbeeld: een organisatie kan de positie hebben zijnde de grootste werkgever in de omgeving en vervult deze rol (gezien een maatschappe- lijk doel) dan ook met een strategie die er op gericht is om de grootste werkgever te zijn en te blijven.

Perspectivestrategie

Hier wordt strategie gezien als een perspectief van waaruit men kijkt naar de omgeving. Voorbeeld: wat persoonlijkheid is voor een individu, is een Perspectivestrategie voor een organisatie.

ystemen

Interne – directe partijen en hun relaties

Betreft interne, directe relaties tussen bijvoorbeeld het management op tactisch niveau en de afdelingen op operationeel niveau.

Externe – directe partijen en hun relaties

Betreft externe, directe relaties tussen bijvoorbeeld de interne inkoopafdeling en de externe leverancier.

Interne – indirecte partijen en hun relaties

Betreft interne, indirecte relaties tussen bijvoorbeeld het topmanagement op strategisch niveau en de afdelingen op operationeel niveau.

Externe – indirecte partijen en hun relaties

Betreft externe, indirecte relaties tussen bijvoorbeeld de interne inkoopafdeling en het management van de externe leverancier.

S S

Met Strategie wordt bedoeld vanuit welke stra- tegie een organisatie werkt.

Met Systemen wordt bedoeld de informatie- stromen tussen de verschillende interne en externe partijen.

(22)

hared Values Integriteit

De organisatie is transparant en eerlijk in hoe men met mensen omgaat.

Mensen

De organisatie gelooft dat het succes wordt gedreven door de commitment van het personeel en moedigt individueel initiatief aan door kansen voor het personeel te creëren om te leren en te groeien. Individuele rechten en waardigheid wordt geres- pecteerd.

De klant

De organisatie streeft ernaar om de verwachting van de klant voorbij te streven door de beste kwaliteit voor het geld te leveren.

Technologie

De organisatie gelooft dat technologie de sleutel is naar toekomstige succes en probeert zo veel mogelijk nieuwe technologie in te zetten voor de doelstellingen van de organisatie.

Leren

De organisatie is te typeren als een “open” organisatie. Men is flexibel en krijgt feedback van werknemers, klanten, aandeelhouders en andere belanghebbenden. Ken- nis wordt gedeeld door veel in teams te werken en tijd te nemen voor gesprekken onderling.

Excellent zijn

De organisatie is alleen maar tevreden met het allerbeste in alles wat men doet. De lat wordt voor iedereen steeds hoger gelegd.

Gemeenschap

De organisatie ziet een plicht in het opbouwen en verrijken van de gemeenschap.

kills

Flexibiliteit

De organisatie is ingericht op flexibiliteit. Dit uit zich bijvoorbeeld in productdiversifica- tie, flexibele productieaantallen, flexibele werknemeraantallen en flexibele werkplekken.

Efficiëntie

De organisatie is ingericht op efficiëntie. Dit uit zich bijvoorbeeld in korte doorlooptijden en een simpele aansturing van personeel en processen.

S

Met Shared Values worden de onuitgesproken gedeelde normen en waarden bedoeld los van het economische bedrijfsdoel.

Met Skills worden de vaardigheden van de organisatie als geheel bedoeld.

(23)

tijl

I. Bedrijfscultuur Machtcultuur

Alle verhoudingen in het bedrijf zijn op macht gebaseerd. Het resultaat: talrijke interne twisten rond posities en privileges.

Rolcultuur

Deze cultuur is voornamelijk terug te vinden in overheidsbedrijven. Taken, bevoegd- heden en verantwoordelijkheden zijn tot in de details opgenomen in reglementerin- gen en handboeken. De uitvoering van taken neemt veel tijd in beslag. Daartegen- over staat dat taken duidelijk afgebakend zijn en dat er geen sprake is van onvoor- spelbaarheid.

Taakcultuur

Hier staat het gestelde doel voorop. Gezag vindt haar oorsprong in deskundigheid en kennis. Een bekend voorbeeld is de onderverdeling van senior/junior. Binnen de taakcultuur kan snel actie ondernomen worden en is er eveneens ruimte voor impro- visatie. Regels en processen die het werk hinderen zijn bijgevolg niet echt welkom.

Er gaat weinig aandacht uit naar sociaal-emotionele aspecten.

Persooncultuur

Hier staat het individu centraal. Er gaat veel aandacht naar het ontwikkelen van je ta- lenten en het realiseren van je ideeën. Binnen de persoonscultuur is het vooral de bedoeling dat je jezelf ontplooit en dat je verder evolueert. Het begrip 'leiding geven' moet onderdoen voor de praktijk van het 'coachen'. Meestal komt deze cultuur voor in jonge of idealistische organisaties.

II. Managementstijl Formeel

De managementstijl is formeel met veel regels en procedures en alles is vastgelegd.

Informeel

Naast de formele managementstijl bestaat er ook de informele managementstijl met weinig regels en procedures.

taff

Vormen en motiveren

Het vormen van personeel in termen als: verantwoordelijkheid, waardering, betrokkenheid, werkzekerheid, goed salaris, interessant werk, promotiekansen en goede werkomstandigheden.

Evalueren en belonen

Het evalueren en belonen van personeel in termen als targets, winstdeling en secun- daire arbeidsvoorwaarden.

S

Met Stijl worden de verschillende bedrijfs- culturen en managementstijlen bedoeld

Met Staff worden de verschillende aspecten van het personeel bedoeld.

(24)

(25)

Bijlage F: Set algemene aanbevelingen

BS 7799-2:2002 Versie: v0.2 Datum: 6 februari 2004

algemene aanbevelingen voor de implementatie

van een ISMS binnen een grote organisatie

(26)

Structuur:

Op strategisch niveau

• Bepaal welke niveau(s) mee word(en) genomen (strategisch, tactisch of operationeel).

• Definieer informatiebeveiliging op dit niveau.

• Definieer de ISMS-eis op strategisch niveau in termen als: ketens, allianties, stakeholders (belanghebbenden) en shareholders (aandeelhouders), overheid, concurren- ten, klanten en leveranciers.

• Op dit niveau worden strategische beslissingen genomen, de eis is ook strategisch geformuleerd. Zo moet de eis in lijn zijn met de missie en de doelen van de organisatie.

• Hou rekening met de lange termijnplanning op strategisch niveau en bepaal of de eis op de lange termijn kan veranderen.

• Besef dat rapportages e.d. weinig concreet, maar juist erg globaal zijn geformuleerd.

• Ondersteun rapportages en risico-inventarisaties met linken met de missie en andere voor het strategisch management relevante aspecten.

• Leg de nadruk op concurrentiepositie, omzet, winst en verlies.

• Leg de nadruk op de impact van informatiebeveiliging op de langere termijn.

• Besef de link met de S van Strategie.

Op tactisch niveau

• Definieer de ISMS-eis op tactisch niveau in termen als: interne afdelingen, externe afdelingen bij de klant en externe afdelingen bij de leverancier.

• Op dit niveau worden organisatorische beslissingen genomen, de eis is ook organisa- torisch geformuleerd.

• De eis is concreter gedefinieerd.

• Hou rekening met de middellange termijnplanning op tactisch niveau en bepaal of de eis op de middellange termijn kan veranderen.

• Besef dat rapportages e.d. iets concreter zijn gedefinieerd dan de rapporten op strategisch niveau.

• Ondersteun rapportages en risico-inventarisaties met voor het tactisch management relevante aspecten.

• Leg de nadruk op efficiëntie, effectiviteit en (globaal) op technologie.

• Leg de nadruk op de impact van informatiebeveiliging op de middellange termijn.

Op operationeel niveau

(27)

• Definieer de ISMS-eis op operationeel niveau in termen als: computersystemen, softwarepakketten, mensen en gebouwen.

• Op dit niveau worden operationele beslissingen genomen, de eis is concreet geformuleerd.

• Hou rekening met de korte termijnplanning op operationeel niveau en bepaal of de eis op de korte termijn kan veranderen.

• Besef dat rapportages e.d. erg concreet zijn gedefinieerd.

• Ondersteun rapportages en risico-inventarisaties met voor het operationele management relevante aspecten.

• Leg de nadruk op technologie en korte termijn resultaten.

• Leg de nadruk op de impact van informatiebeveiliging op de korte termijn.

Binnen een lijnorganisatie

• Zorg voor een organogram en leg alle afdelingen vast.

• Definieer de eis binnen een lijnorganisatie in termen als: management en lijnafdelin- gen.

• Houd rekening met het feit dat binnen een lijnorganisatie informatiestromen vrijwel altijd ‘via de lijn’ (het management) lopen.

Binnen een lijn-staforganisatie

• Zorg voor een organogram en leg alle afdelingen vast.

• Vergaar informatie via de lijn en bij stafafdelingen.

• Houd rekening met het feit dat binnen een lijn-staforganisatie informatiestromen vrijwel altijd ‘via de lijn’ (het management) en de stafafdelingen lopen.

Binnen een matrixorganisatie

• Zorg voor een organogram en leg alle afdelingen en processen vast.

• Vergaar informatie zowel bij lijn- als procesmanagers.

• Houd rekening met het feit dat binnen een matrixorganisatie informatiestromen via de lijnmanagers en procesmanagers lopen.

(28)

Binnen een horizontale organisatie

• Zorg voor een organogram en leg alle processen vast.

• Vergaar informatie bij alle medewerkers.

• Houd rekening met het feit dat binnen een horizontale organisatie informatiestromen door het hele bedrijf lopen.

REMINDERS:

1. Alle niveaus binnen een organisatie zijn gelinkt: zo is de eis op operationeel niveau een concretere invulling van de eis op tactisch niveau.

2. Hoe lager het niveau, hoe concreter de formulering van de ISMS-eis.

3. Hoe lager het niveau, hoe korter de planning.

4. Kijk altijd naar de aspecten mensen, machines, middelen, tijd, informatie en communicatie wanneer een ISMS-eis wordt uitgevoerd.

5. Kijk ten aanzien van de ISMS-eis af bij alle andere relevante processen binnen of buiten de organisatie.

6. Pas de ISMS-eis in binnen de bestaande processen.

(29)

Strategie:

Binnen een organisatie met een Planstrategie

• Een Planstrategie komt bij de meeste bedrijven voor. Vrijwel alle kleinere en middelgrote bedrijven hebben een Planstrategie. Bij grote bedrijven komt dit iets minder vaak voor, maar het is toch de meest voorkomende strategie.

• De eis moet in lijn zijn met het strategieplan binnen de Planstrategie.

• Houd daarom rekening met de in het strategieplan eventuele genoemde mensen middelen en technologie en richt de eis hierop in.

• Besef de link met de het organisatieniveau binnen de S van Structuur.

Binnen een organisatie met een Ploystrategie

• Een Ploystrategie komt men vaak tegen bij grote organisatie met veel concurrentie.

• De eis moet in lijn zijn met de strategische manoeuvre binnen de Ploystrategie.

• Houd daarom rekening met de in de strategie genoemde eventuele concurrent en richt de eis hierop in.

Binnen een organisatie met een Patternstrategie

• Een Patternstrategie komt men vaak tegen bij kleine en middelgrote organisaties die zich in een steeds terugkerende situatie bevinden (bijvoorbeeld: de jaarlijkse bietenoogst).

• De eis moet in lijn zijn met het strategiepatroon Patternstrategie.

• Houd daarom rekening met het patroon van de strategische acties en richt de eis hierop in.

(30)

Binnen een organisatie met een Positionstrategie

• Een Positionstrategie komt men vaak tegen bij not-for-proffit-organisaties die een bepaalde sociale of humanitaire rol vervullen.

• De eis moet in lijn zijn met de strategiepositie binnen de Positionstrategie.

• Houd daarom rekening met de strategische plaatsing van de organisatie binnen haar omgeving en richt de eis hierop in.

Binnen een organisatie met een Perspectivestrategie

• Een Perspectivestrategie komt men vaak tegen bij organisaties die e omgeving op hun eigen manier bekijken (bijvoorbeeld: Greenpeace).

• De eis moet in lijn zijn met het strategieperspectief binnen de Perspectivestrategie.

• Houd daarom rekening met het strategische perspectief van de organisatie binnen haar omgeving en richt de eis hierop in.

REMINDERS:

1. Er is altijd sprake van één type strategie binnen een organisatie of afdeling, er zijn nooit meerdere typen aanwezig binnen dezelfde organisatie of afdeling.

2. De Planstrategie is de meest voorkomende strategie.

(31)

Systemen:

Binnen een organisatie met interne - directe partijen en hun relaties

• Bepaal de interne-directe partijen en hun relaties. Vaak zijn dit targets, werkopdrachten, statusrapporten en technische datastromen.

• Gebruik dit als input voor de implementatie van de verschillende ISMS-eisen.

Binnen een organisatie met externe - directe partijen en hun relaties

• Bepaal de externe-directe partijen en hun relaties. Vaak zijn dit SLA’s, facturen, con- tracten en technische datastromen.

Binnen een organisatie met interne - indirecte partijen en hun relaties

• Bepaal de interne-indirecte partijen en hun relaties. Vaak zijn dit procedures, algemene Aanbevelingen en bijvoorbeeld de bedrijfscode.

(32)

Binnen een organisatie met externe - indirecte partijen en hun relaties

• Bepaal de externe-indirecte partijen en hun relaties. Vaak zijn dit SLA’s of afspraken over leverbetrouwbaarheid die zijn afgesproken met het management van de externe partner.

REMINDERS:

1. Besef dat er vaak meerdere variaties m.b.t. Systemen tegelijk voorkomen binnen een organisatie.

2. Interne partijen kunnen onderling afspraken maken d.m.v. targets. Betrek deze in de eis.

3. Met externe partijen kunnen afspraken worden gemaakt d.m.v. SLA’s. Betrek deze in de eis.

(33)

Shared Values:

Ten aanzien van Integriteit

• Pas de ISMS-eis aan, aan de heersende Shared Value(s).

• Kern: transparant, eerlijk, consistent en betrouwbaar omgaan met mensen.

• Communiceer eerlijk, direct en betrouwbaar met alle participanten. Dit moet ook de sfeer van de ISMS-eis zijn.

Ten aanzien van Mensen

• Kern: succes van de organisatie is te wijten aan het commitment en kundigheid van de mensen.

• Communiceer eerlijk, direct en betrouwbaar met alle participanten. Dit moet ook de sfeer van de ISMS-eis zijn.

Ten aanzien van De klant

• Kern: streven naar het voorbij streven van de verwachtingen van de interne en externe klanten.

• Communiceer eerlijk, direct en betrouwbaar met de klant. Dit moet ook de sfeer van de ISMS-eis zijn.

(34)

Ten aanzien van Technologie

• Kern: de technologie is de sleutel tot toekomstig succes. Dit moet ook de sfeer van de ISMS-eis zijn.

Ten aanzien van Leren

• Kern: een open organisatie welke streeft naar feedback van al haar stakeholders, werknemers, klanten en shareholders.

• Streef, m.b.t. het implementeren van de ISMS-eis, naar een open opstelling t.a.v.

interne en externe partijen.

• Communiceer open met de (externe) omgeving. Dit moet ook de sfeer van de ISMS- eis zijn.

Ten aanzien van Excellent zijn

• Kern: pas tevreden wanneer men overal het beste in is.

• De ISMS-eis moet het “excellent zijn” uitstralen.

(35)

Ten aanzien van Gemeenschap

• Kern: streven naar het verrijken van de levens van de mensen om de organisatie heen en zich daarvoor verantwoordelijk voelen. Dit moet ook de sfeer van de ISMS- eis zijn.

REMINDERS:

1. Besef dat er vaak meerdere Shared Values tegelijk voorkomen binnen een organisatie.

(36)

Skills:

Ten aanzien van de Skill Flexibiliteit

• Definieer het begrip flexibiliteit.

•

Bepaal hoe flexibiliteit zich openbaart in de organisatie. (flexibele productdiversiteit, flexibele werkplekken, flexibele productieaantallen, flexibele werktijden?)

Ten aanzien van de Skill Efficiëntie

• Definieer het begrip efficiëntie.

• Bepaal hoe efficiëntie zich openbaart in de organisatie. (snelle doorlooptijden, hoge bezetting, weinig uitval, weinig ziekteverzuim?)

REMINDERS:

1. Besef dat flexibiliteit en efficiëntie tegelijk kunnen voorkomen binnen een organisatie.

(37)

Stijl:

Ten aanzien van een Machtscultuur

• Vraag u af of in een dergelijke organisatie een ISMS ingevoerd moet worden!!!

• Communiceer direct en alleen met de lijn.

• Overtuig de leider met argumenten en relevante onderbouwende informatie.

Ten aanzien van een Rolcultuur

• Het algemene beleid binnen een rolcultuur is zeer uitgebreid vastgelegd, pas de ISMS-eis hierop in.

• Probeer gebruik te maken van bestaande managementsystemen en pas het ISMS hierin om makkelijker managementcommitment te krijgen.

• Verkrijg bij elke stap handtekeningen van het management.

• Leg alles vast in rapporten.

Ten aanzien van een Taakcultuur

• Het gezag binnen een taakcultuur ligt vaak bij seniors, stem de ISMS-eis hierop af.

• Communiceer met de seniors en betrek deze ook in het opstellen van de ISMS-eis.

• Het gezag binnen een organisatie met een overwegende taakcultuur ligt bij de mensen met deskundigheid, kennis en ervaring. Benader deze mensen en verkrijg hier (management)commitment.

• Besef dat processen die niet direct met het werk te maken hebben, niet erg welkom zijn binnen de organisatie. Pas hier de communicatie en acties op aan.

• Probeer gebruik te maken van bestaande managementsystemen en pas het ISMS hierin om makkelijker managementcommitment te krijgen.

(38)

Ten aanzien van een Persoonscultuur

• De ISMS-eis moet geënt zijn op de persoonscultuur door het personeel te betrekken in het opstellen van de ISMS-eis.

• Leiding wordt er niet gegeven, wel wordt er ‘gecoached’.

Ten aanzien van een Formele Managementstijl

• De ISMS-eis moet formeel worden opgesteld en formeel van karakter zijn.

• Communicatie moet via de officiële paden lopen.

• Rapportages hebben een formeel karakter.

•

Kernwoorden binnen een formele organisatie: structuur, regels, procedures, werkver- deling, rapportagelijnen, beleid, doelen, technologie, financiën en producten.

Ten aanzien van een Informele Managementstijl

• De ISMS-eis kan hier en daar ook informeel van karakter zijn.

• Communicatie kan ook via de onofficiële paden lopen.

• Rapportages kunnen een informeel karakter hebben (creatieve insteek, humor).

• Kernwoorden binnen een informele organisatie: coalities, psychologische behoeften, macht, informeel leiderschap, conflict, moraal, informele normen, gevoeligheden, sociale codes, loyaliteit, vriendschappen, emotionele gevoelens, percepties en risico- nemend gedrag.

REMINDERS:

1. Besef dat er vaak meerdere culturen (al dan niet gemengd) en managementstijlen tegelijk voorkomen binnen een organisatie.

(39)

2. Een organisatie heeft nooit een geheel informele managementstijl. Vaak betreft het een organisatie die als basis formeel is ingericht, maar waarbij informaliteiten zeer bepalend zijn voor de uiteindelijke managementstijl.

(40)

Staff:

Ten aanzien van Vormen en Motiveren

•

Om medewerkers te vormen en motiveren ten aanzien van (de bewustwording van) informatiebeveiliging (security awareness) dient de eis zo ontworpen te worden dat onderwerpen als verantwoordelijkheid, waardering, betrokkenheid, werkzekerheid, goed salaris, interessant werk, promotie kansen en goede werkomstandigheden er in verwerkt zijn.

Ten aanzien van Evalueren en Belonen

• Medewerkers kunnen tijdens en na het invoeren van een ISMS worden geëvalueerd en beloond vanwege hun bijdragen. Dit kan middels targets, winstdeling en secundai- re arbeidsvoorwaarden. Houdt hiermee rekening wanneer een eis wordt ingevoerd.

REMINDERS:

1. ‘Security awareness’ is een absolute pré om een ISMS succesvol in te voeren. Dit hangt in sterke mate samen met de motivatie van het personeel. Schenk hier dus veel aandacht aan.

2. Evaluatie en beloning is een krachtig middel om personeel te motiveren voor securi- tydoeleinden.

(41)

Bijlage G: Alle specifieke aanbevelingen per ISMS-eis

BS 7799-2:2002 - 4.2.1.a.

Versie: v0.1 Datum: 17 december 2003

ISMS-eis 4.2.1.a.

Definieer de scope van het ISMS in termen als karakteristieken van de ‘business’, de organisatie, de locatie, de middelen en de technologie.

Structuur Strategie Systemen Shared

Values Skills Stijl Staff

(42)

Aanbevelingen:

Structuur:

Voor de ISMS-scope op strategisch niveau

• Verkrijg een organogram voor dit niveau.

• Verkrijg de strategie.

• Bepaal a.d.h.v. het organogram en de strategie intern: welke Business Units en ex- tern: welke leveranciers, klanten, stakeholders e.d. mee worden genomen in de ISMS-scope en bepaal welke interne en externe partijen nog meer relevant zijn en neem deze al of niet mee.

Voor de ISMS-scope op tactisch niveau

• Bepaal a.d.h.v. het organogram welke interne afdelingen of externe afdelingen bij de klant of leverancier mee worden genomen in de ISMS-scope en bepaal welke interne en externe partijen nog meer relevant zijn en neem deze al of niet mee.

Voor de ISMS-scope op operationeel niveau

• Verkrijg een overzicht van alle te beveiligen objecten (gebouwen, hardware, software, enzovoorts…).

• Bepaal a.d.h.v. het organogram en het verkregen overzicht welke software, hardware, gebouwen, personeel en communicatiemiddelen mee worden genomen in de ISMS-scope en bepaal welke objecten nog meer relevant zijn en neem deze al of niet mee.

Voor de ISMS-scope binnen een lijnorganisatie

• Verkrijg een organogram.

• Bepaal a.d.h.v. het organogram welke afdelingen en welk management mee wordt genomen in de ISMS-scope.

Voor de ISMS-scope binnen een lijn-staforganisatie

• Bepaal a.d.h.v. het organogram welke afdelingen, welke stafafdelingen en welk management mee wordt genomen in de ISMS-scope.

Voor de ISMS-scope binnen een matrixorganisatie

• Bepaal a.d.h.v. het organogram welke afdelingen, welk management en welke processen mee worden genomen in de ISMS-scope.

Voor de ISMS-scope binnen een horizontale organisatie

• Bepaal a.d.h.v. het organogram welke processen en welke mensen mee worden genomen in de ISMS-scope.

Strategie:

Voor de ISMS-scope binnen een organisatie met een Planstrategie

• Definieer de scope van het ISMS in de termen van de strategie. Wat wordt genoemd in de strategie (tijdsperiode, klanten, technologie) en hoe passen deze in de ISMS- scope-definitie?

Voor de ISMS-scope binnen een organisatie met een Ploystrategie

• Definieer de scope van het ISMS in de termen van de strategie. Wat wordt genoemd in de strategie (bij een Ploystrategie vaak een manoeuvre om een concurrent te pas- seren) en hoe past dit in de ISMS-scope-definitie?

Voor de ISMS-scope binnen een organisatie met een Patternstrategie

• Definieer de scope van het ISMS in de termen van de strategie. Wat wordt genoemd in de strategie (tijdsperiode, klanten, technologie en welk patroon van managementacties is te herkennen) en hoe past dit in de ISMS-scope-definitie?

(43)

Voor de ISMS-scope binnen een organisatie met een Positionstrategie

• Definieer de scope van het ISMS in de termen van de strategie. Wat wordt genoemd in de strategie (definieer hier de positie van de organisatie in haar omgeving) en hoe past dit in de ISMS-scope-definitie?

Voor de ISMS-scope binnen een organisatie met een Perspectivestrategie

• Definieer de scope van het ISMS in de termen van de strategie. Wat wordt genoemd in de strategie (definieer hier het perspectief van de organisatie t.o.v. haar omgeving) en hoe past dit in de ISMS-scope-definitie?

Systemen:

Voor de scope binnen een organisatie met interne – directe partijen en hun relaties

• Benoem in dat organogram alle relaties tussen interne-directe partijen (vaak: targets, werkopdrachten, statusrapporten en technische datastromen).

• Bepaal welke relaties mee moeten worden genomen en wat die relaties dan inhou- den.

Voor de scope binnen een organisatie met externe – directe partijen en hun relaties

• Verkrijg een overzicht met daarop alle relaties met externe partijen zoals klanten, leveranciers en outsourcing-partners.

• Benoem alle relaties tussen externe-directe partijen (vaak: SLA’s, facturen, contrac- ten en technische datastromen).

Voor de scope binnen een organisatie met interne – indirecte partijen en hun relaties

• Benoem in dat organogram alle relaties tussen interne-directe partijen (vaak: procedures, algemene Aanbevelingen en bijvoorbeeld de bedrijfscode).

Voor de scope binnen een organisatie met externe – indirecte partijen en hun relaties

• Verkrijg een overzicht met daarop alle relaties met externe partijen zoals klanten, leveranciers en outsourcing-partners.

• Benoem alle relaties tussen externe-directe partijen (vaak: SLA’s of afspraken over leverbetrouwbaarheid die zijn afgesproken met het management van de externe partner).

(44)

BS 7799-2:2002 - 4.2.1.b.

Versie: v0.1 Datum: 19 december 2003

ISMS-eis 4.2.1.b.

Definieer ISMS-beleid in termen als karakteristieken van de ‘business’, de organisatie, de locatie, de middelen en de technologie.

Structuur Strategie Systemen Shared

Values Skills Stijl Staff

(45)

Aanbevelingen:

Structuur:

Voor ISMS-beleid op strategisch niveau

• Verkrijg de huidige procedures over hoe, op strategisch niveau, met externe partijen (leveranciers, klanten en overheid) wordt omgegaan.

• Verkrijg de huidige procedures over hoe, op strategisch niveau, met interne partijen op tactisch en operationeel niveau wordt omgegaan.

• Verkrijg sociale en financiële jaarverslagen.

• Stel ISMS beleid op vanuit de verkregen strategie, procedures en jaarverslagen en verwerk daarin:

1. Strategisch doel van het ISMS en informatiebeveiliging in het algemeen.

2. Overall framework op strategisch niveau: wie is verantwoordelijk waarvoor en welke managers gaan met welke middelen wat doen en wanneer?

3. …en zorg voor managementgoedkeuring en security awareness!

Voor ISMS-beleid op tactisch niveau

• Verkrijg de huidige procedures over hoe, op tactisch niveau, met externe partijen (leveranciers en klanten) wordt omgegaan.

• Verkrijg de huidige procedures over hoe, op tactisch niveau, met interne partijen op operationeel niveau wordt omgegaan.

• Verkrijg rapportages per afdeling in het algemeen en in over informatiebeveiliging in het bijzonder.

• Stel ISMS beleid op vanuit de verkregen procedures en rapportages en verwerk daarin:

1. Doel van het ISMS op tactisch niveau en informatiebeveiliging in het algemeen.

2. Overall framework op tactisch niveau: wie is verantwoordelijk waarvoor en welke managers gaan met welke middelen wat doen en wanneer?

3. …en zorg voor managementgoedkeuring en security awareness!

Voor ISMS-beleid op operationeel niveau

• Verkrijg de huidige procedures over hoe, op operationeel niveau, met externe partijen (leveranciers en klanten) wordt omgegaan.

• Verkrijg de huidige procedures over hoe, op operationeel niveau, met interne partijen wordt omgegaan.

• Verkrijg rapportages per te beveiligen object (bijvoorbeeld computersystemen, softwarepakketten, mensen en gebouwen) in het algemeen en in over informatiebeveiliging in het bijzonder.

• Stel ISMS beleid op vanuit de verkregen procedures en rapportages en verwerk daarin:

1. Doel van het ISMS op operationeel niveau en informatiebeveiliging in het algemeen.

2. Overall framework op operationeel niveau: wie is verantwoordelijk waarvoor en welke medewerkers gaan met welke middelen wat doen en wanneer?

3. …en zorg voor managementgoedkeuring, security awareness en consensus bij de medewerkers!

Voor ISMS-beleid binnen een lijnorganisatie

• Bepaal beleid op de relevante niveaus -zoals hierboven beschreven en a.d.h.v. het ISMS- en doe dit in overleg met het lijnmanagement.

• Communiceer duidelijk ‘naar onderen’ via de lijn.

Voor ISMS-beleid binnen een lijn-staforganisatie

• Bepaal beleid op de relevante niveaus -zoals hierboven beschreven en a.d.h.v. het ISMS- en doe dit in overleg met het lijnmanagement en raadpleeg hierbij stafafdelingen (bijvoorbeeld ICT-afdelingen en administratie) voor specifieke informatie.

• Communiceer duidelijk ‘naar onderen’ via de lijn.

Voor ISMS-beleid binnen een matrixorganisatie

• Bepaal beleid op de relevante niveaus -zoals hierboven beschreven en a.d.h.v. het ISMS- en doe dit in overleg met het management (zowel lijnmanagers als procesmanagers).

(46)

• Communiceer duidelijk ‘naar onderen’ zowel via de lijnmanagers als via de procesmanagers.

Voor ISMS-beleid binnen een horizontale organisatie

• Bepaal beleid op de relevante niveaus -zoals hierboven beschreven en a.d.h.v. het ISMS- en doe dit in overleg met het alle medewerkers of een vertegenwoordiging daarvan.

• Communiceer duidelijk met iedereen.

Strategie:

Voor ISMS-beleid binnen een organisatie met een Planstrategie

• Verkrijg de strategie en het beleid op strategisch niveau.

• Pas het ISMS-beleid hierop in. Dit inpassen, vanuit de Planstrategie, kan het best plaatsvinden door informatiebeveiligingsdoelen, –verantwoordelijkheden, –taken en – middelen te combineren met algemene doelen, verantwoordelijkheden, taken en middelen.

• Vertaal de verschillende strategiecomponenten naar het ISMS-beleid.

• Vertaal het ISMS-beleid, vanuit de Planstrategie, ook naar lagere niveaus door bijvoorbeeld afdelingstargets en verantwoordelijkheden te vertalen naar individuele targets en verantwoordelijkheden.

Voor ISMS-beleid binnen een organisatie met een Ploystrategie

• Pas het ISMS-beleid hierop in. Dit inpassen, vanuit de Ploystrategie, kan het best plaatsvinden door informatiebeveiligingsdoelen, –verantwoordelijkheden, –taken en – middelen te combineren met algemene doelen, verantwoordelijkheden, taken en middelen.

• Vertaal de verschillende strategiecomponenten naar het ISMS-beleid en leg de nadruk op de, in de Ploystrategie gedefinieerde, concurrent.

• Vertaal het ISMS-beleid, vanuit de Ploystrategie, ook naar lagere niveaus door bijvoorbeeld afdelingstargets en verantwoordelijkheden te vertalen naar individuele targets en verantwoordelijkheden.

Voor ISMS-beleid binnen een organisatie met een Patternstrategie

• Pas het ISMS-beleid hierop in. Dit inpassen, vanuit de Patternstrategie, kan het best plaatsvinden door informatiebeveiligingsdoelen, –verantwoordelijkheden, –taken en – middelen te combineren met algemene doelen, verantwoordelijkheden, taken en middelen.

• Vertaal de verschillende strategiecomponenten naar het ISMS-beleid en leg de nadruk op de, in het Patternstrategie gedefinieerde, patroon van managementacties.

• Vertaal het ISMS-beleid, vanuit de Patternstrategie, ook naar lagere niveaus door bijvoorbeeld afdelingstargets en verantwoordelijkheden te vertalen naar individuele targets en verantwoordelijkheden.

Voor ISMS-beleid binnen een organisatie met een Positionstrategie

• Pas het ISMS-beleid hierop in. Dit inpassen, vanuit de Positionstrategie, kan het best plaatsvinden door informatiebeveiligingsdoelen, –verantwoordelijkheden, –taken en – middelen te combineren met algemene doelen, verantwoordelijkheden, taken en middelen.

• Vertaal de verschillende strategiecomponenten naar het ISMS-beleid en leg de nadruk op de, in het Positionstrategie gedefinieerde, positie van de organisatie in haar omgeving.

• Vertaal het ISMS-beleid, vanuit de Positionstrategie, ook naar lagere niveaus door bijvoorbeeld afdelingstargets en verantwoordelijkheden te vertalen naar individuele targets en verantwoordelijkheden.

Voor ISMS-beleid binnen een organisatie met een Perspectivestrategie

• Pas het ISMS-beleid hierop in. Dit inpassen, vanuit de Perspectivestrategie, kan het best plaatsvinden door informatiebeveiligingsdoelen, –verantwoordelijkheden, –taken

(47)

en –middelen te combineren met algemene doelen, verantwoordelijkheden, taken en middelen.

• Vertaal de verschillende strategiecomponenten naar het ISMS-beleid en leg de nadruk op de, in het Perspectivestrategie gedefinieerde, perspectief van de organisatie op haar omgeving.

• Vertaal het ISMS-beleid, vanuit de Perspectivestrategie, ook naar lagere niveaus door bijvoorbeeld afdelingstargets en verantwoordelijkheden te vertalen naar individuele targets en verantwoordelijkheden.

Systemen:

Voor ISMS-beleid binnen een organisatie met interne – directe partijen en hun relaties

• Bepaal alle relevante relaties waar ISMS-beleid over moet worden opgesteld.

• Bepaal wat voor soort relatie het is en neem het op in het ISMS-beleid door iets te zeggen over prioriteiten, verantwoordelijkheden, technologie en rapportages.

Voor ISMS-beleid binnen een organisatie met externe – directe partijen en hun relaties

• Bepaal wat voor soort relatie het is en neem het op in het ISMS-beleid door iets te zeggen over SLA’s (ev. boeteclausules) prioriteiten, verantwoordelijkheden, technologie en rapportages.

Voor ISMS-beleid binnen een organisatie met interne – indirecte partijen en hun relaties

• Bepaal wat voor soort relatie het is en neem het op in het ISMS-beleid door iets te zeggen over prioriteiten, verantwoordelijkheden, technologie en rapportages.

Voor ISMS-beleid binnen een organisatie met externe – indirecte partijen en hun relaties

• Bepaal wat voor soort relatie het is en neem het op in het ISMS-beleid door iets te zeggen over SLA’s (ev. boeteclausules) prioriteiten, verantwoordelijkheden, technologie en rapportages.

Shared Values:

Voor ISMS-beleid ten aanzien van Integriteit

• Verkrijg relevante rapporten e.d. m.b.t. integriteit, bijvoorbeeld sociale jaarverslagen.

• Het ISMS-beleid moet participatief worden opgesteld en geïmplementeerd.

• Het ISMS-beleid is eenduidig, consequent en helder, qua formulering, prioriteiten en verantwoordelijkheden.

• Het ISMS-beleid wordt alléén ingevoerd bij organisatiebrede consensus.

Voor ISMS-beleid ten aanzien van Mensen

• Verkrijg relevante rapporten e.d. m.b.t. hoe men met het personeel omgaat, bijvoorbeeld sociale jaarverslagen.

• Het ISMS-beleid moet participatief worden opgesteld en geïmplementeerd.

• Het ISMS-beleid is gericht op mensen en niks anders dan de mens staat centraal!

• Het ISMS-beleid wordt alléén ingevoerd bij organisatiebrede consensus.

• Communiceer periodiek, uitgebreid en duidelijk naar het personeel toe over de voortgang van de ISMS-implementatie en dan specifiek ingaand op de impact voor het personeel.

Voor ISMS-beleid ten aanzien van De klant

• Verkrijg relevante rapporten e.d. m.b.t. de klant, bijvoorbeeld marktonderzoeken en enquêtes.

• Het ISMS-beleid is gericht op de klant en niks anders dan de klant staat centraal!

• Communiceer periodiek, uitgebreid en duidelijk naar de klant toe over de voortgang van de ISMS-implementatie en dan specifiek ingaand op de impact voor de klant.

Voor ISMS-beleid ten aanzien van Technologie

• Verkrijg relevante rapporten e.d. m.b.t. de technologie, bijvoorbeeld informatie over producten, machinerie en technologische kennis uit vakbladen ed..

• Het ISMS-beleid in geënt op de informatiebeveiliging van de processen rondom de technologie.