Lees verder
John Heinrich Roos is academisch geschoold in projectmanagement en expert in de internationale ‘best practice’ projectmanagement-methodieken en informatiebeveiligingstandaarden.
Meer over John Heinrich RoosInformatiebeveiliging integreren in projecten
Paperback Nederlands 2017 1e druk 9789081786645Samenvatting
Het boek 'informatiebeveiliging integreren in projecten' is een praktisch handvat om informatie-beveiliging te integreren in projecten. Informatiebeveiliging in projecten is een gebied dat vergeten wordt. Dit creëert een groot risico op het gebied van informatiebeveiliging.
Dit boek is bedoeld voor projectorganisaties, stuurgroepen, projectmanagers, kwaliteitsmanagers, leveranciers of voor al diegenen, die zich bewust zijn van informatiebeveiliging en daar beleid en/of uitvoering aan moeten geven. De richtlijn ISO27001/27002 eist onder de norm 6.1.5, dat informatiebeveiliging aan de orde moet komen in projectbeheer, ongeacht het soort project. Deze publicatie biedt de lezer een uitvoerige beschrijving van de implementatie hiervan.
Voordat een project begint, zullen er diverse analyses op het gebied van informatiebeveiliging gemaakt moeten worden. Deze leveren het informatiebeveiligingsrisicoprofiel. De daaruit voort-vloeiende te nemen maatregelen dienen te worden opgenomen in de projectinitiatiefase en in het Plan van Aanpak.
'Data is het nieuwe goud ook in projecten. Ga er dan ook zo mee om!' - (Dr. Barry Derksen)
Specificaties
Expertrecensies (1)
Lees verder
Lezersrecensies
Over John Heinrich Roos
Inhoudsopgave
Voorwoord vanuit het perspectief Projectmanagement 9
1. Inleiding 13
1.1 Informatiebeveiliging integreren in projecten 15
1.2 ISO 27001 informatiebeveiliging 15
1.3 ISO 21500 Projectmanagement 16
1.4 Toepassing en randvoorwaarden 16
Information security in project governance: Incidents and preventions 19
2. Project informatiebeveiligingsbeleid 25
2.1 Beleidsregels voor informatiebeveiliging in projecten 25
2.2 Beoordeling van informatiebeveiliging in projecten 26
2.3 Organiseren van informatiebeveiliging 26
2.4 Rollen en verantwoordelijkheden bij informatiebeveiliging in projecten 26
2.5 Scheiding van taken bij informatiebeveiliging in projecten 26
2.6 Projectcontact met overheidsinstanties 26
2.7 Projectcontact met speciale belangengroepen 27
2.8 Informatiebeveiliging in projectbeheer 27
2.9 Mobiele apparatuur en telewerken 27
2.10 Projectbeleid voor mobiele apparatuur 27
2.11 Telewerken bij projecten 28
3. Veilig personeel 29
3.1 Screening projectpersoneel 29
3.2 Project arbeidsvoorwaarden 29
3.3 Managementverantwoordelijkheden bij projecten 30
3.4 Projectbewustzijn, opleiding en training 30
3.5 Disciplinaire inbreukprocedures 30
3.6 Beëindiging of wijziging projectverantwoordelijkheden 31
4. Beheer van projectmiddelen 33
4.1 Inventarisatie van projectmiddelen 33
4.2 Eigendom projectmiddelen 33
4.3 Aanvaardbaar gebruik van projectmiddelen 34
4.4 Teruggeven van projectmiddelen 34
4.5 Classificatie van projectinformatie 34
4.6 Projectinformatie labelen 34
4.7 Behandelen van projectmiddelen 35
4.8 Beheer van verwijderbare projectmedia 35
4.9 Verwijderen van projectmedia 35
4.10 Projectmedia fysiek overdragen 35
5. Toegangsbeveiliging project 37
5.1 Projectbeleid voor toegangsbeveiliging 37
5.2 Toegang tot projectnetwerken en projectnetwerkdiensten 37
5.3 Gebruikers en projectmedewerkers toegang verlenen 38
5.4 Projectbeheer van speciale toegangsrechten 38
5.5 Projectbeheer van geheime authenticatie-informatie 38
5.6 Projectbeoordeling van toegangsrechten 38
5.7 Projecttoegangsrechten intrekken of aanpassen 38
5.8 Geheime authenticatie-informatie gebruiken 39
5.9 Projectbeperking tot projectinformatie 39
5.10 Beveiligde project inlogprocedures 39
5.11 Systeem voor wachtwoordbeheer bij projecten 39
5.12 Speciale systeemhulpmiddelen gebruiken bij projecten 39
5.13 Project toegangsbeveiliging op programma broncode 39
6. Cryptografie bij projecten 41
6.1 Projectbeleid cryptografische beheersmaatregelen 41
6.2 Cryptografisch sleutelbeheer bij projecten 41
7. Fysieke beveiliging en beveiliging van de projectomgeving 43
7.1 Fysieke beveiligingszone 43
7.2 Fysieke toegangsbeveiliging 43
7.3 Projectkantoren, -ruimten en -faciliteiten beveiligen 44
7.4 Projectbescherming tegen bedreigingen van buitenaf 44
7.5 Projectmatig werken in beveiligde gebieden 44
7.6 Laad- en loslocatie als projectbeheersing 44
7.7 Plaatsing en bescherming van projectapparatuur 44
7.8 Nutsvoorzieningen bij projecten 44
7.9 Beveiliging van projectbekabeling 44
7.10 Onderhoud van projectapparatuur 44
7.11 Verwijdering van projectmiddelen 45
7.12 Beveiliging van projectapparatuur en projectmiddelen buiten het terrein 45
7.13 Veilig verwijderen of hergebruiken van projectapparatuur 45
7.14 Onbeheerde projectapparatuur 45
7.15 Clean desk- en clean screen-projectbeleid 46
8. Beveiliging projectuitvoering 47
8.1 Project gedocumenteerde bedieningsprocedures 47
8.2 Project wijzigingsbeheer 47
8.3 Projectcapaciteitsbeheer en verwachting 48
8.4 Scheiding van OTAP 48
8.5 Projectbescherming tegen malware 49
8.6 Projectbeheersingsmaatregelen tegen malware 49
8.7 Back-up van projectinformatie 49
8.8 Projectgebeurtenissen registreren 49
8.9 Beschermen van projectinformatie in logbestanden 50
8.10 Projectlogbestanden van beheerders en operators 50
8.11 Projectkloksynchronisatie 50
8.12 Projectbeheersing operationele software 50
8.13 Beheer projecttechnische kwetsbaarheden 50
8.14 Beperkingen voor het projectmatig installeren van software 51
8.15 Beheersmaatregelen betreffende audits van informatiesystemen 51
9. Project communicatie-beveiliging 53
9.1 Projectbeheersmaatregelen voor netwerken 53
9.2 Projectbeveiliging van netwerkdiensten 53
9.3 Projectinformatietransport 54
9.4 Projectovereenkomsten over informatietransport 54
9.5 Elektronische projectberichten 54
9.6 Project vertrouwelijkheids- of geheimhoudingsovereenkomst 54
10. Projectacquisitie, ontwikkeling en onderhoud van informatiesystemen 55
10.1 Projectanalyse en specificatie van informatieeisen 55
10.2 Projectinformatie op openbare netwerken beveiligen 56
10.3 Projectinformatietransacties van toepassingsdiensten beschermen 56
10.4 Projectbeveiliging in ontwikkelprocessen en ondersteunende processen 56
10.5 Projectprocedures voor wijzigingsbeheer met betrekking tot systemen 56
10.6 Projecttechnische beoordeling bedieningsplatform 57
10.7 Projectbeperking op wijzigingen aan software pakketten 57
10.8 Projectprincipes voor engineering van beveiligde systemen 57
10.9 Beveiligde projectontwikkelomgeving 57
10.10 Projectuitbesteding softwareontwikkeling 57
10.11 Projecttesten van systeembeveiliging 57
10.12 Projectsysteem acceptatietest 57
10.13 Projectbescherming van testgegevens 58
11. Projectleveranciersrelaties 59
11.1 Informatiebeveiligingsbeleid voor leveranciersrelaties 59
11.2 Opnemen van projectbeveiligingsaspecten in leveranciersovereenkomsten 60
11.3 Toeleveringsketen van informatie- en communicatietechnologie 60
11.4 Monitoring en beoordeling van leveranciers na exploitatie 60
11.5 Beheer van veranderingen leveranciersdienstverlening 61
11.6 Projectverantwoordelijkheden en procedures bij informatie-beveiligingsincidenten 61
11.7 Projectrapportage van informatie-beveiligingsgebeurtenissen 61
11.8 Projectrapportage van zwakke plekken in de informatiebeveiliging 61
11.9 Projectbeoordeling van en besluitvorming 62
11.10 Projectrespons op informatie-beveiligingsincidenten 62
11.11 Lering uit projectinformatie-beveiligingsincidenten 62
11.12 Verzamelen van bewijsmateriaal 62
12. Informatiebeveiligingscontinuïteit borgen en naleven met PMO 65
12.1 Continuïteit en naleving 67
12.2 Intellectuele eigendomsrechten 67
12.3 Beschermen van registraties 67
12.4 Privacy en bescherming van persoonsgegevens 67
12.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen 67
12.6 Informatiebeveiligingsbeoordelingen 68
12.7 Naleving van beveiligingsbeleid en -normen 68
13. Interne audit op basis van ISO 19011 69
13.1 De implementatie-audit 70
13.2 Systeemtoets 70
13.3 Procestoets 70
13.4 Producttoets 70
13.5 Risicogestuurd toetsen 70
13.6 Privacy-impact toetsen 70
13.7 Data-impact toetsen 70
13.8 Business-impact analyse 71
14. Zes-stappen-auditmodel 73
14.1 Model voor een audit om conformiteit te toetsen 73
14.2 Schep kader 74
14.3 Stel uitgangspunten vast 74
14.4 Identificeer het proces 75
14.5 Zoek objectief bewijsmateriaal 76
14.6 Terugkoppeling 76
14.7 Toets verslag, analyse, besluitvorming en evaluatie 77
14.8 Sluiting 78
15. Bronnen 79
16. Checklist 81
Project informatiebeveiligingsbeleid 82
Veilig personeel 82
Beheer van projectmiddelen 82
Beheer van projectmiddelen 82
Toegangsbeveiliging project 83
Cryptografie bij projecten 83
Fysieke beveiliging en beveiliging van de projectomgeving 84
Beveiliging projectuitvoering 84
Project communicatiebeveiliging 84
Project-acquisitie, onwikkeling en onderhoud van informatiesystemen 85
Project leveranciersrelaties 85
Informatiebeveiligingscontinuïteit en naleving borgen met PMO 86
Audits/Assessments uitgevoerd? 86
17. DIA-vragenlijst 89
Rubrieken
- advisering
- algemeen management
- coaching en trainen
- communicatie en media
- economie
- financieel management
- inkoop en logistiek
- internet en social media
- it-management / ict
- juridisch
- leiderschap
- marketing
- mens en maatschappij
- non-profit
- ondernemen
- organisatiekunde
- personal finance
- personeelsmanagement
- persoonlijke effectiviteit
- projectmanagement
- psychologie
- reclame en verkoop
- strategisch management
- verandermanagement
- werk en loopbaan