Volwassenheidsmodel informatiebeveiliging geactualiseerd
Een recente update van het volwassenheidsmodel informatiebeveiliging van NBA en NOREA moet organisaties helpen om hun informatiebeveiliging beter te kunnen meten, bepalen en verbeteren. In juli jl. is een webinar gehouden over het model, eind september volgt een bijeenkomst voor internal audit afdelingen.
Eind 2023 heeft een werkgroep van de NBA-ledengroep intern en overheidsaccountants (LIO), samen met de Nederlandse Orde van Register EDP-Auditors (NOREA) en verschillende sectoren, het volwassenheidsmodel geactualiseerd. Het model biedt een handreiking om te beoordelen hoe het staat met de informatiebeveiliging binnen een organisatie.
De update introduceert drie nieuwe normen, die essentieel zijn voor het aanpakken van moderne en toekomstige cyberdreigingen. Ook zijn drie bestaande normen herzien. De nieuwe normen hebben betrekking op governance, organisatie en personeelsbeheer.
De eerste nieuwe norm richt zich op de kwaliteit en het type informatie die het management gebruikt voor het sturen van de informatiebeveiligingsstrategie. De tweede behandelt het mandaat en de bevoegdheden en hoe die formeel zijn vastgelegd. De derde nieuwe norm gaat over processen rondom indiensttreding.
Praktijkervaringen
De update van het volwassenheidsmodel is niet alleen gebaseerd op theoretische modellen, maar ook op feedback en praktijkervaringen, onder andere uit de onderwijssector, aldus de opstellers. Tientallen externe audits en jarenlange ervaring met het gebruik van het model hebben bijgedragen aan de verbetering. Het geactualiseerde model sluit daardoor beter aan op de realiteit van hedendaagse informatiebeveiliging.
Door kritisch te kijken naar de beheersmaatregelen binnen elk volwassenheidsniveau zijn beheersmaatregelen toegevoegd, verplaatst naar een ander volwassenheidsniveau of verwijderd uit het model.
Naast inhoudelijke updates heeft de werkgroep ook tekstuele wijzigingen doorgevoerd, om consistentie met andere raamwerken te waarborgen en de leesbaarheid van het model te verbeteren. Zo is het model nu in het Nederlands beschikbaar, waar het voorheen Engelstalig was.
Naast het werkdocument zelf (in Excel), is ook een uitleg beschikbaar bij het model als pdf.
Webinar en bijeenkomst
In juli jl. is over de update van het volwassenheidsmodel een webinar georganiseerd door NBA-LIO en NOREA. Dat webinar is terug te kijken via nba.nl of het YouTube-kanaal van de NBA.
Op 25 september aanstaande organiseert de NBA-LIO-ledengroep samen met het Instituut van Internal Auditors (IIA) Nederland een bijeenkomst, waarin het geactualiseerde volwassenheidsmodel en de toepassing daarvan in de praktijk worden besproken.
De bijeenkomst is met name gericht op kleinere internal audit afdelingen en de toepassing van het model wordt benaderd vanuit de rol van de Chief Information Security Officer (CISO) en die van internal audit. IIA, NBA en NOREA willen met het geactualiseerde model uiteindelijk alle internal auditors in Nederland bereiken.
Gerelateerd
Subsidie voor cyberweerbaarheid kleine bedrijven weer beschikbaar
Op 2 september gaat de subsidieregeling ‘Mijn Cyberweerbare Zaak’ weer open. Micro- en kleine ondernemingen kunnen met de regeling subsidie krijgen voor de kosten...
FTM: Defensie negeert al jaren waarschuwingen over zwaktes in ICT
Op 28 augustus jl. werden veel overheidsdiensten getroffen door een ICT-storing, veroorzaakt door een probleem binnen een zwaar beveiligd defensienetwerk. Daardoor...
AFM waarschuwt voor valse mails uit naam van toezichthouder
De Autoriteit Financiële Markten (AFM) waarschuwt voor valse e-mails die uit naam van de AFM worden verzonden en waarin wordt gevraagd naar bijvoorbeeld SBI-codes...
AFM biedt 'DORA-checklist' voor financiële ondernemingen
Financiële ondernemingen moeten vanaf 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA), een Europese verordening om zulke organisaties weerbaarder...
Ceo van falend beveiligingsbedrijf CrowdStrike was eerder accountant
Ceo George Kurtz van CrowdStrike, het Amerikaanse beveiligingsbedrijf dat recent miljoenen Windows-computers op hol liet slaan, werkte aanvankelijk als accountant...