Hoe security beleid je helpt compliant te blijven en de ISO 27001 certificering in de wacht te slepen
Dit is blog 4, de laatste in de rij van een serie die gaat over security management
Waar begin ik met het opstellen en doorvoeren van security beleid? Hoe weet ik of ik klaar ben voor de ISO audit? Met deze blog weet je welke checklist je online kunt vinden en ben je ook direct up-to-date over de templates voor ISO 27001 die je kunt vinden in de Azure portal. De vraag is niet of je die certificering gaat behalen, de vraag is welke KPI’s jij in je dashboard gaat monitoren.
Processen vragen om beleid
Wie doelen wil behalen moet kijken naar een strategie en planning. Dat is met security management net zo. Wie secure wil blijven of de ISO certificering wil halen moet voldoen aan een aantal standaarden rondom processen. En daar heb je techniek en beleid voor nodig. We schreven er al eens meer over. ISO 27001/9001 - Roadmap to Modern Service Management for the Azure Cloud.
De eerdere blogs over MFA, de secure score en monitoring met o.a. Azure Sentinel dragen allemaal bij aan de technische checklist voor ISO. Het merendeel van onze klanten is ISO gecertificeerd. Het is ook voor hen daarom zaak te blijven door ontwikkelen om dit keurmerk te behouden. Je leest meer over de resultaten terug in onze klantcases. Hoe zo’n proces er dan uit kan zien en welke checkboxes je moet doorlopen? Denk aan een hertoetsing door middel van een audit voor de ISO, beschrijvingen van processen, toegangscontrole, beleid rondom systeemrechten en een handboek ‘hoe te handelen in geval van incidenten’.
Templates ISO & security Azure portal
Op internet zijn voldoende checklists voor ISO te vinden. Wij hebben ervoor gekozen de technische checklist met je te delen, zodat je de brug kunt slaan tussen business en IT.
- Details van naleving van regelgeving voor ISO 27001:2013 - Azure Policy | Microsoft Learn
- Beheeropties voor blauwdrukvoorbeeld voor ISO 27001 conforme gedeelde services - Azure Blueprints | Microsoft Learn
- Overzicht van de voorbeeldblauwdruk voor ISO 27001 conforme gedeelde services - Azure Blueprints | Microsoft Learn
Tip van Marco: 9001 bevat vooral regels rondom processen en het rapporteren op de uitzonderingen. 27001 gaat vooral om gegevensbescherming, denk aan GDPR, toegang tot de werkruimten en systemen. Als je dan toch bezig bent: maak ze allebei in orde. 27001 is geen logisch vervolg, maar een must!
‘Oud’ in een nieuw jasje? – security.txt
Recentelijk kwam security.nl met dit bericht waarin opgeroepen werd een security.txt beschikbaar te maken op je website. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct de juiste afdeling of persoon binnen de organisatie te benaderen over gevonden kwetsbaarheden. Ook Tweakers gaf er de nodige aandacht aan. Digital Trust Center begint campagne voor implementatie van security.txt - Computer - Nieuws - Tweakers
Heb jij het al gelezen en geïmplementeerd? Wij deden het op deze manier.
Volg het voorbeeld van Air Miles, Allego, Humanitas en Qualogy en vraag vrijblijvend een gesprek of demo aan.
Download onze cheat sheet BizDevOps
We combineren data en toekomstgerichtheid met intuïtie en een blijvende gedragsverandering. Hoe? We schreven de eerste stappen voor je uit in onze cheat sheet BizDevOps. Download ‘m nu gratis en start vandaag nog met jouw digitale transformatie.
