Home

beveiligingskaders

Beveiligingskaders zijn gestructureerde verzamelingen van regels, principes en processen die organisaties helpen bij het managen van informatiebeveiliging. Ze leveren een raamwerk voor het identificeren van risico’s, het bepalen van beveiligingsdoelstellingen en het ontwikkelen van controles en maatregelen. Kaders organiseren governance, technische maatregelen en organisatorische praktijken in een samenhangend systeem dat continu kan worden gemonitord en verbeterd.

De kern van beveiligingskaders omvatten doorgaans: governance en beleid voor informatiebeveiliging, een risicobeoordelingsproces, een set beveiligingscontroles

Voorbeelden van beveiligingskaders zijn ISO/IEC 27001 (in combinatie met ISO/IEC 27002) als internationale managementsysteemstandaard voor informatiebeveiliging;

Implementatie van een kader vereist scoping, risicobeoordeling, selectie en implementatie van passende controles, en voortdurende evaluatie

met
prioriteiten,
en
voorzieningen
voor
monitoring,
incidentrespons
en
voortdurende
verbetering.
Ze
zijn
bedoeld
om
een
gemeenschappelijke
taal
en
structuur
te
bieden
voor
risk
management
en
assurance,
en
kunnen
leiden
tot
certificering
of
onafhankelijke
beoordeling.
ISO
27005
voor
risicobeoordeling;
het
NIST
Cybersecurity
Framework
(CSF)
en
NIST
SP
800-53;
CIS
Critical
Security
Controls;
PCI
DSS
en
COBIT.
Het
type
kader
bepaalt
meestal
of
de
nadruk
ligt
op
governance
en
managementsystemen,
concrete
controles,
of
bredere
IT-governance
en
audit.
en
bijstelling.
Het
kan
gepaard
gaan
met
training,
veiligheidsincidentrespons
en
periodieke
audits.
Daarnaast
kan
naleving
van
privacywetgeving
zoals
de
AVG/GDPR
worden
meegenomen
in
de
context
van
beveiligingskaders
en
risicobeheer.