Pleio

Engels | Nederlands

Kennis uitwisselen over informatiebeveiliging

    Henk Jan van der Vijgh
    • iedereen (publiek zichtbaar)
    • 56
    Door Henk Jan van der Vijgh 2017 dagen geleden Reacties (3)

     0/5 Sterren (0)

    Vorige week kwamen we met een aantal collega's van verschillende gemeentes bij elkaar om informatie uit te wissleen over informatiebeveiliging. We hebben besloten dat het niet bij een eenmalige uitwisseling moet blijven maar dat het goed is om over dit onderwerp samen met KING een gezamelijke agenda op te stellen en informatie uit te wisselen. Er zijn drie werkgroepen gevormd.

    We willen dus informatie over dit onderwerp delen en daarom in overleg met KING besloten een 'besloten' groep onder Pleio in het leven roepen. Ik ben relatief nieuw op Pleio, dus een paar tips hoe dit het beste aan te pakken zijn welkom. Mensen die willen meedenken over dit onderwerp uiteraard ook.

    Ik denk aan de vol,gende stappen

    Volgens mij is een deelsite voor dit onderwerp niet nodig.

    Een groep aanmaken (er zijn enkele opties; wat is handig?)

    Groepsleden uitnodigen (hoe kan ik mensen uitnodigen die nog niet op pleio zitten?)

    De rest wijst zich hopelijk vanzelf. Ik kan me voorstellen dat een wiki over dit onderwerp nuttig kan zijn.

    NB

    Ik kom op pleio wel een link tegen naar een platform informatiebeveiliging, maar die levert geen informatie op.

    Reacties

    Volgorde van reacties: Aantal: Automatisch laden:
      • Ronald Driehuis
        Ronald Driehuis 1994 dagen geleden

        Henk Jan,

        Als EDP auditor en Specialist Informatiebeveiliging in de publieke sector wil ik jullie best voorzien van het eea aan informatie. Indien gewenst wil ik ook een keer langskomen om uiteraard geheel vrijblijvend een keer kennis te delen.

        Mijn visie op informatiebeveiliging is dat je met in acht name van uiteraard het wettelijk kader informatiebeveiliging zoveel mogelijk moet incorporeren in de de dingen die je doet. Er zijn veel praktische oplossingen mogelijk voor de huidige uitdagingen.

         

         

        • Henk Jan van der Vijgh
          Henk Jan van der Vijgh 2012 dagen geleden

          @jaap Hallo jaap, dank voor je reactie. Wat je schrijft is heel herkenbaar. Je bent er inderdaad niet met het aanschaffen van die code. De kunst zit hem in het invenstariseren van de belangrijkste risico's. Pas als je dat in beeld hebt wordt de code zinvol, want die code richt zich op maatregelen om die risico's aan te pakken.

          Daarin zit in theorie de kracht van de code voor informatiebeveiliging. In praktijk leidt toepassing van de code vaak een lange waslijst van maatregelen die je (of het management) de moed ontneemt om er uberhaupt aan te beginnen.

          Ik het ondertussen de groep 'open tenzij' aan gemaakt. Je kunt je ervoor aanmelden. Er zijn op initiatief van de gemeente Apeldoorn ook een aantal werkgroepen in het leven geroepen. De ene werkgroep houdt zich bezig met de vraag: hoe pak ik een risicoanalyse aan. De andere werkgroep houdt zich bezig met het vertalen van de NEN-normen, de NORA en de Gemma naar de gemeentelijke praktijk. Het is absoluut belangrijk dat niet alle gemeentes 'het wiel' uit te vinden.

          Ik hoop dat het platform open tenzij gebruikt kan worden om best practises uit te wisselen, vooral ook waar het gaat om hele praktische maatregelen, die dan wellicht wat hoger op je todo lijstje komen.

          • Jaap de Jonge
            Jaap de Jonge 2012 dagen geleden

            Beste Henk Jan,

            Goed initiatief, ik heb zeker belangstelling om mee te denken of te delen! Wat je vragen betreft: een besloten groep aanmaken, is redelijk snel te doen, welk specifiek probleem/vraag zit je nog mee? Ook mensen uitnodigen die nog niet op Pleio zitten, is niet zo moeilijk: je kunt als beheerder van een groep contacten uitnodigen. Je kunt kiezen om bestaande contacten uit te nodigen, maar een willekeurig e-mail adres kan ook. De genogdigde krijgt dan een mail waar ook een link in zit tbv registratie op Pleio.

            Wat het onderwerp informatiebeveiliging betreft: ik ben benieuwd naar voorbeelden van praktisch en pragmatisch beleid en uitvoering op dit vlak. Bij een vorige werkgever (commerciële organisatie) heb ik met het onderwerp te maken gehad: er was een vastgesteld beleid (obv de code voor informatiebeveiliging) en een formele / benoemde organisatie rondom informatiebeveiliging. Wat mij ervan bijstaat is dat het onderwerp nauwelijks de aandacht had van (top)management en de code voor informatiebeveiliging als te groot/dik/uitgebreid en niet goed bruikbaar werd beschouwd. Formeel moest iedereen alle maatregelen in voldoende mate hebben ingevuld. Informeel werd eigenlijk het gebruik van gezond verstand bij het handelen van vertrouwelijke informatie voldoende geacht en werd er 1x per jaar een hack/penetratietest van buitenaf uitgevoerd (toegang tot interne netwerk / systemen).

            In mijn huidige functie heb ik het onderwerp als 'todo' relatief laag op mijn lijstje staan, maar ik heb nog niet echt nagedacht wat en hoe ik er in deze organisatie (middelgrote gemeente) mee ga doen. Op wikipedia staat een verwijzing naar een oude checklist (de onderwerpen komen me bekend voor) die wellicht inspiratie kan bieden. Ik ga nog even geen 227 euro uitgeven om de laatste versie van de code voor informatiebeveiliging bij NEN te kopen...

          Reageren is alleen mogelijk voor aangemelde gebruikers