De vernieuwde BMTool

Informatiesheet vernieuwde BMTool Ledenbenchmark Informatiebeveiliging Juni 2013, versie 1.0

Informatiebeveiliging

De vernieuwde BMTool Aan de slag met de nieuwe versie van onze ledenbenchmarktool

Informatiesheet vernieuwde BMTool - CIO Platform Nederland - jan 2013 - pagina 1 van 12



1. De vernieuwde BMTool – What’s new? We zijn volop bezig met de ontwikkeling van een nieuwe, verbeterde versie van de ledenBenchMarkTool ( BMTool). De nieuwe versie krijgt ook een andere naam: Coable 2. We maken dit tool voor de leden en hebben daarom goed geluisterd naar de tips en vragen die we de afgelopen jaren met gebruik van de tool hebben ontvangen. De nieuwe versie bevat een groot aantal belangrijke verbeteringen ten opzichte van de oude (huidige) versie op gebied van gebruiksvriendelijkheid, exportmogelijkheden, benchmarks, commentaarvelden en een (beperkte) webversie waarmee online subsets van stellingen kunnen worden ingevuld. Wat is er dan nieuw? de nieuwe BMTool is ‘van de grond af’ opnieuw geprogrammeerd. Het korte antwoord is dus ‘alles is nieuw!’. Maar natuurlijk is er qua functionaliteit wel veel overlap tussen de huidige en de nieuwe versie. De meest opvallende functionele verbeteringen en uitbreidingen van de nieuwe tool zijn: • • • • • •

Dynamisch gebruikersbeheer Normen- en stellingenbeheer Delegeren via Web Commentaar en Notities Organiseren van benchmarkrondes Meer rapportage mogelijkheden

1.1.

Dynamisch gebruikersbeheer

Gebruikers en voornamelijk gebruikersgroepen krijgen een meer dynamische opzet. In de huidige versie is de groepsstructuur min of meer statisch: wereld > branche > organisatie > gebruiker. De nieuwe tool laat deze statische structuur los. De gebruikersstructuur zal bestaan uit twee entiteiten: gebruikers en groepen. Groepen zijn te onderscheiden door de eigenschap 'type'. De volgende types zullen beschikbaar worden binnen de nieuwe BMTool: Koepelorganisatie, Branche, Organisatie, Business Unit, Divisie, Afdeling en Anders. Groepen kunnen 'oneindig' gegroepeerd worden zodat er meer dynamiek ontstaat.

1.2.

Normen- en stellingenbeheer

In de oude BMTool wordt een norm direct toegespitst op de groep die hiermee aan de slag gaat. Dit resulteert in redundantie en minder flexibele rapportagemogelijkheden. In de ISO/IEC 27002:2007 zitten bijvoorbeeld stellingen die niet op iedere branche van toepassing zijn. Ook kan het zijn dat een stelling uit de ISO/IEC 27002:2007 stellingenset staat die voor bepaalde partijen iets anders gedefinieerd zou kunnen worden om beter aan te sluiten bij de gebruikers. de oude BMTool maakt het niet mogelijk om stellingenset op deze manier flexibel in te zetten. De nieuwe BMTool zal de structuur, weergegeven in onderstaande figuur hanteren.




Een norm, binnen de nieuwe BMTool, is een zo exact mogelijke kopie van een norm beschreven door bijvoorbeeld NEN of ISO. Een norm wordt beheerd door een één gebruiker (norm beheerder), die de norm (bijvoorbeeld de ISO/IEC 27002:2007) zo exact mogelijk (niet toegespitst op een branche) in de nieuwe BMTool onderhoudt. de nieuwe BMTool maakt het mogelijk meerdere normen te onderhouden zoals ISO/IEC 27002:2007 en NEN 7510:2011. Een norm kan niet direct in een assessment worden toegepast op een groep uit de gebruikersstructuur, hier zit nog een laag tussen, genaamd de ‘Auditset’. Een auditset is een verzameling van stellingen uit één of meerdere normen. Een auditset is toegespitst op één groep (bijvoorbeeld branch of organisatie) Om een auditset zo goed mogelijk te laten aansluiten bij een doelgroep, kan er in een auditset: • • • •

worden aangegeven welke stellingen optioneel zijn; extra commentaar worden toegevoegd aan stellingen; een uitgebreide en toegepaste antwoordtekst worden toegevoegd aan een stelling zodat deze perfect aansluit bij de doelgroep; extra stellingen die niet uit een norm komen worden toegevoegd;

Naast deze vernieuwde structuur van normen en auditsets, heeft de nieuwe BMTool een statementsets editor waarmee je heel makkelijk wijzigingen kunt maken in standaarden en eigen audit sets kunt samenstellen. Ook kunnen de statements gegroepeerd worden volgens verschillende structuren.

1.3.

Delegeren via Web

In de nieuwe BMTool is ervoor gekozen om het beantwoorden van statements web-based mogelijk te maken. Nu kan (een deel van) de audit set gedelegeerd worden naar gebruikers die niet zijn aangemaakt in de nieuwe BMTool. Deze gebruikers ontvangen een email, met daarin een link naar de webpage voor het beantwoorden van de stellingen.

1.4.

Commentaar en Notities

Uit gebruikerservaring van de oude BMTool is gebleken dat gebruikers op verschillende plekken commentaar- en notitiemogelijkheden missen. Commentaar is een toevoegingen van gebruikers bij een bepaald object. Het is mogelijk commentaar toe te voegen aan: • • • • •

Beantwoordingverzoeken naar gebruikers Stellingen (met versiebeheer) Normen (door normbeheerder) Auditsets (door beheerder) Benchmarkrondes (door benchmarkronde organisator)

Notities zijn alleen voor persoonlijk gebruik. Deze zijn alleen inzichtelijk voor de gebruiker zelf en dienen als aantekening voor eigen gebruik. Wel kan hieruit met knippen en plakken de tekst overgezet worden. Gebruiker kan de eigen notities verwijderen.

1.5.

Organiseren van benchmarkrondes

Met een auditset kunnen benchmarkrondes georganiseerd worden. De functie van een benchmarkronde is de organisatie voor een momentopname van het volwassenheidsniveau op het gebied van informatiebeveiliging van de deelnemers (organisatie of gebruiker die deel uit maakt van een benchmark set). Het doel van een benchmarkronde is het verzamelen van de beantwoording van de auditset-stellingen voor de deadline. Benchmarkrondes worden in rapportages weergegeven als momentopnames van een benchmark set.




Een benchmarkronde wordt georganiseerd door de beheerder. Een beheerder wordt aangesteld door een administrator. De beheerder kan de volgende eigenschappen toekennen aan een benchmarkronde: • • • •

Start: De datum wanneer de deelnemer een verzoek krijgt de auditset te beantwoorden. Deadline: De einddatum van een benchmarkronde. Na deze datum mogen deelnemers geen antwoorden meer aanleveren. Weergave datum: De datum die weergegeven wordt in rapportages. Commentaar: Een tekstuele toevoeging aan de benchmarkronde. Bijvoorbeeld: "De resultaten worden besproken op de ledenvergadering van 20 december".

Op het moment dat de deadline nadert en er zijn nog geen antwoorden aangeleverd zal hiervoor een emailherinnering gestuurd. De interval van deze e-mailherinnering is in te stellen per benchmarkronde. Ook kun je een herinnering op ieder moment versturen. Voor een benchmarkronde kunnen antwoorden op meerdere momenten verstuurd worden. De laatst ingestuurde antwoorden worden gebruikt voor de benchmarkronde.

1.6.

En verder…

De nieuwe BMTool heeft de bekende boxplot-, stoplicht-, en tijdsrapportage. Daarnaast heeft de nieuwe versie ook een histogramweergave en een dotsrapportage. Behalve nieuwe weergaven heeft de gebruiker nu ook de mogelijkheid om verschillende aggregatiemethoden toe te passen. Vragen of opmerkingen over de nieuwe tool, of mis je een belangrijke functionaliteit? Laat het ons dan weten. Alleen op deze manier kunnen we jullie tool nog beter maken. Prettig benchmarken toegewenst! Bureau CIO Platform en de Bestuurscommissie Informatiebeveiliging




2. Q&A – Antwoorden op de meest gestelde vragen De meest gestelde vragen:

2.1.1. Ik gebruik de oude BMTool, hoe ga ik nu over naar de nieuwe BMTool?

2.1.2. 2.1.3. 2.1.4. 2.1.5. 2.1.6. 2.1.7. 2.1.8. 2.1.9.

a. Hoe installeer ik de nieuwe BMTool? b. Hoe begin ik met de nieuwe BMTool? c. Wat gebeurt er met mijn bestaande gegevens? Ik heb geen verbinding met de server, wat nu? In de oude BMTool moest ik certificaten configureren, hoe werkt dat in Coable? Ik maak verbinding via een proxy, hoe doe ik dat in de nieuwe BMTool? Het CIO Platform Nederland heeft een nieuwe benchmark gestart, wat nu? Hoe kan ik de resultaten van een vorige benchmark overnemen / vergelijken? Hoe kan ik een vraag delegeren aan een collega? Hoe kan ik de antwoorden op gedelegeerde vragen inzien en overnemen? Ik wil mijn eigen organisatie benchmarken, hoe pak ik dat aan?

2.1.1. Ik gebruik de oude BMTool, hoe ga ik nu over naar de nieuwe BMTool? De nieuwe BMTool en de oude BMTool kunnen prima (tijdelijk) naast elkaar bestaan. Het is niet nodig dat je de oude BMTool de-installeert alvorens je de nieuwe BMTool wilt installeren. Uiteraard is het wel de bedoeling dat je omschakelt, al is het alleen maar omdat er geen nieuwe rondes meer worden gemaakt in de oude BMTool.

a. Hoe installeer ik de nieuwe BMTool? •

•

Download de installer voor de nieuwe BMTool van de website van CIO-Platform Nederland. Hiervoor wordt dezelfde downloadpagina gebruikt van waaraf altijd de laatste versie gedownload kan worden: https://bmtool.cio-platform.nl/download . Open de installer en volg de installatieinstructies op.

b. Hoe begin ik met de nieuwe BMTool? •

• • • • • • •

In de nieuwe BMTool zul je onder een nieuw account werken. De branchemanager heeft deze al voor je aangemaakt; je hoeft het account alleen nog te activeren. Je hebt een e-mail ontvangen met daarin een activatiecode. Zorg ervoor dat je de nieuwe BMTool geïnstalleerd hebt en start het programma. Klik op 'Sign up' onderaan het inlogscherm. Vul de activatiecode in die je per e-mail hebt ontvangen. Vul de gevraagde gegevens in en kies een wachtwoord(zin). Klik op Sign up. De server controleert nu je gegevens en logt je direct in. Ga naar het Home scherm. Je kunt aan de slag! Gebruik de volgende keer je e-mail adres en zojuist gekozen wachtwoord(zin) om in te loggen.

c. Wat gebeurt er met mijn bestaande gegevens? Tijdens de overgangsperiode – tussen 17 juni en 1 oktober – kan zowel met de de oude BMTool als met de nieuwe BMTool worden gewerkt. De resultaten van de oude benchmark rondes worden overgezet naar de nieuwe BMTool. Deze zullen vanaf 15 juli beschikbaar zijn in de nieuwe BMTool. Dit betekent dat de historische resultaten die je gewend was uit het 'Benchmark' scherm van de oude BMTool vanaf 15 juli terug kunt vinden in het 'Benchmarking & reporting' scherm van de nieuwe BMTool. Assessments die met de oude BMTool worden uitgevoerd/afgemaakt gedurende de overgangsperiode (tussen 17 juni en 1 oktober), zullen per 1 oktober worden overgezet naar de nieuwe BMTool. Deze zullen dan in de nieuwe BMTool (geanonimiseerd) zichtbaar zijn, samen met de assessments die in de overgangsperiode zijn uitgevoerd in de nieuwe BMTool.




Vanaf 1 oktober is de de oude BMTool nog tijdelijk ‘read only’ – het is mogelijk om de historische data te bekijken (deze ook beschikbaar is in de nieuwe BMTool), maar het is niet meer mogelijk om nog nieuwe data toe te voegen aan de de oude BMTool. 17 juni Coable 2 live

Coable 2

Data transitie

BMTool

Hisotrie / BMTool

1 oktober BMTool ‘read only’

Overgangsperiode

Coable

BMTool in gebruik

15 juli Historische data BMTool overgezet naar Coable

1 oktober Overgangsperiode data uit BMTool samengevoegd met Coable data

Historische data

Coable 2 in gebruik

2.1.2. Ik heb geen verbinding met de server, wat nu? Je kunt de status van je connectie zien d.m.v. Het network icoon rechts boven in het scherm. Deze kan: • • •

verbinding hebben: dan zijn alle streepjes blauw verbinding aan het maken zijn: de streepjes wisselen af tussen grijs en blauw geen verbinding kunnen maken: de streepjes zijn grijs en er staat een waarschuwings-icoontje in.

De nieuwe BMTool zal standaard proberen te verbinden over TCP (op poort 4919) en daarna over HTTP (poort 8080). Als je verbindt over http, kun je daarvoor proxy settings opgeven onder de knop 'Change proxy settings'. Je kunt zelf de connectie testen: • • •

Ga naar het 'Network' scherm Vouw de 'Remote peer' uit. Klik rechts op een van de TCP of http adressen en kies voor 'Connect'

De nieuwe BMTool probeert te verbinden op dat adres, je ziet dat aan de hand van de icoontjes: een los stekkertje betekent: niet verbonden; een aaneengesloten stekkertje geeft aan dat je bent verbonden.

2.1.3. In de oude BMTool moest ik certificaten configureren, hoe werkt dat in de nieuwe BMTool? In de nieuwe BMTool wordt een end-to-end beveiligde verbinden gemaakt bovenop (eventueel) bestaande beveiligde verbindingen die gebruik maken van certificaten. Hierdoor is het niet nodig om in de nieuwe BMTool nog certificaten te configureren.




2.1.4. Ik maak verbinding via een proxy, hoe doe ik dat in de nieuwe BMTool? Vanuit het inlog-scherm klikt u op de knop 'Network' en vervolgens op de knop 'Change proxy settings' om naar het menu voor de proxy instellingen te gaan. In het proxy instellingen scherm kun je kiezen of een proxy gebruikt moet worden om verbinding te maken met de Coable 2 server. Je kunt kiezen uit: • • • •

Geen proxy; Gebruik de proxy instellingen vanuit het eigen systeem: deze instellingen kun je wijzigen in je internetconfiguratiescherm; Automatische proxy configuratie; Handmatige proxy instellingen.

Als je tegen problemen aan loopt bij het verbinden met de server en je hebt je internetverbinding al gecontroleerd, dan kan de oplossing naar alle waarschijnlijkheid in het proxyscherm gevonden worden. Neem contact op met de systeembeheerder van je organisatie voor de juiste informatie betreffende de juiste proxy-instellingen.

2.1.5. Het CIO Platform Nederland heeft een nieuwe benchmark gestart, wat nu? De branche manager heeft een nieuwe benchmark gestart en je hebt hierover een e-mail ontvangen. Je wilt graag participeren, hebt de nieuwe BMTool gedownload en geïnstalleerd en je hebt je nieuwe account reeds geactiveerd. Grofweg zijn er vervolgens de volgende stappen. •

•

Open de benchmark in de nieuwe BMTool: • Start de nieuwe BMTool en log in met je emailadres en wachtwoord(zin) • Vanuit het Home scherm ga naar 'Answering', die staat bovenaan. • Hier vind je alle benchmarks waarvoor je bent uitgenodigd. Selecteer aan de linkerkant de benchmark die je wilt openen. • Kijk even naar de samenvatting aan de rechter kant en als het de juiste is, klik dan op 'Open' (of dubbelklik op de benchmark.) • Je komt nu in het antwoordoverzicht. Hier zie je alle stellingen, eventueel gegroepeerd aan de hand van een geselecteerde structuur. Beantwoord de stellingen: • Je bevindt je in het antwoordoverzicht. Onderaan dit scherm zie je de status balk, welke een tip geeft met de eerstvolgende actie. Je volgt de aanwijzing op door op de bijbehorende knop te drukken. Als de antwoorden nog niet (volledig) gegeven zijn, zal deze knop de eerstvolgende, onbeantwoorde vraag openen. • Je kunt ook op een stelling naar keuze dubbelklikken om deze te openen. • Als je een stelling geopend hebt, ben je in het antwoordscherm. Hier zie je de stelling en alle mogelijke antwoorden. Het is de bedoeling dat je uit deze antwoorden de meest toepasselijke voor jouw situatie kiest. • Gebruik 'Previous statement' en 'Next statement' om tussen de stellingen te navigeren. Gebuik 'Overview' om terug te gaan naar het antwoordoverzicht. • Beantwoord zo alle stellingen. Als je zo ver bent, zal de statusbar in het overzicht de tip geven dat je de stellingen kunt insturen (submitten).


Informatiesheet vernieuwde BMTool Ledenbenchmark Informatiebeveiliging Juni 2013, versie 1.0 •


Stuur de antwoorden terug naar de organisator. • Je bevindt je in het antwoordoverzicht en alle (niet-optionele) stellingen zijn beantwoord. De status balk geeft aan dat je de antwoorden kunt indienen. • Klik op 'Submit'. Deze knop vind je (behalve in de statusbalk) linksboven in het scherm. • Laat eventueel een bericht achter voor jezelf • Klik op Submit.

De antwoorden zijn ingediend. Zodra de branchemanager de resultaten publiceert, kun je deze bekijken in het Reporting & benchmarking scherm. Zolang de deadline niet gepasseerd is, kun je jouw antwoorden opnieuw indienen als je nog iets wilt wijzigen.

2.1.6. Hoe kan ik de resultaten van een vorige benchmark overnemen / vergelijken? Je hebt de vragenlijst bij je huidige benchmark al eens beantwoord en je wilt graag die antwoorden inladen om ze te kunnen vergelijken en eventueel over te nemen: • • • • • •

Ga vanuit het Home scherm naar Answering. Hier zie je behalve de nieuwe ook de vorige benchmark staan. Selecteer de nieuwe en open die; je komt in het antwoordoverzicht. Klik nu op de knop 'Compare'. Een menu komt tevoorschijn met daarin alle benchmarks die dezelfde stellingen set bevatten. Selecteer de benchmark waarvan je de antwoorden wilt vergelijken of overnemen. Er wordt een nieuwe kolom aan het overzicht toegevoegd met daarin de antwoorden van die andere benchmark.

Eén enkel antwoord overnemen: • • •

Dubbelklik op een van de stellingen die je wilt vergelijken / overnemen. Je komt in het antwoordscherm en hebt ook hier een extra kolom met het andere antwoord. Klik op 'Apply' om het andere antwoord over te nemen.

Alle antwoorden in één keer overnemen: • • •

In het antwoordoverzicht klik op 'Overwrite'. Er vouwt een menu uit met daarin alle benchmarks die als vergelijking geopend zijn vanuit het Comparison menu. Selecteer de benchmark waarvan je de antwoorden wilt overnemen. Alle antwoorden zijn nu overschreven, mits de andere benchmark een antwoord had voor de bijbehorende stelling.

2.1.7. Hoe kan ik een vraag delegeren aan een collega? • • • • •

• •

• • •

Ga vanuit het Home scherm naar Answering. Selecteer de betreffende benchmark en open die; je komt in het antwoordoverzicht. Klik op 'Delegate' Alle stellingen krijgen nu een checkbox links van de referentie. Check alle stellingen die je wilt delegeren. Dit kan misschien sneller door gebruik te maken van het Structure menu; vouw die eens uit en selecteer een van de structures. Als je een groep aanvinkt, zullen alle daaronder liggende stellingen ook worden aangevinkt. Als je alles hebt, kijk dan onderaan het scherm naar de statusbalk; klik op de next knop. Je komt in het delegatie scherm. Geef het e-mail adres op van de persoon aan wie je wilt delegeren en voeg eventueel een persoonlijke boodschap toe. Het is belangrijk dat je de tab [URL] hierin laat staan omdat de server daar een webadres voor je in zal vullen in de uiteindelijke e-mail. Check de box onderaan als je deze delegatie naar nog een andere collega wilt sturen; dit scherm zal dan herladen en je kunt een nieuw e-mail adres en boodschap invoeren. Klik op OK als je klaar bent. De server zal een website genereren en klaar zetten. De geadresseerde krijgt hierover een e-mail met een link naar die website. Je krijgt een e-mail zodra je collega de antwoorden heeft ingediend.




2.1.8. Hoe kan ik de antwoorden op gedelegeerde vragen inzien en overnemen? Deze procedure werkt hetzelfde al het vergelijken en overnemen van antwoorden van een andere benchmark: zie het antwoord op “Hoe kan ik de resultaten van een vorige benchmark overnemen / vergelijken?” In het Compare menu zul je naast andere benchmarks ook de delegatie aan je collega aantreffen.

2.1.9. Ik wil mijn eigen organisatie benchmarken, hoe pak ik dat aan? Hiervoor moet je account voldoen aan een aantal voorwaarden: • •

Je bent de operator van de gebruikers groep waarop je de benchmark wilt starten Je hebt toegang tot de audit die je wilt gebruiken in je benchmark.

Log in en ga als volgt te werk: • • • • • • • • •

Vanuit het Home menu, ga naar 'Manage benchmarks'. Je komt in de benchmark manager. Links zie je alle benchmarks die je hebt aangemaakt, rechts de details van de geselecteerde benchmark. Klik op 'New benchmark' Kies de audit set die je wilt gebruiken Kies de groep op wie je de nieuwe ronde wil starten Kies een Datum voor het label. Deze datum zal gebruikt worden om deze ronde mee te identificeren in de andere schermen van de nieuwe BMTool (bijvoorbeeld de rapportage) Kies een openingsdatum en een deadline. Kies welke notificaties je wilt laten versturen door de server. Geef eventueel een korte beschrijving of een andere opmerking. Deze opmerking zien de leden van de ronde de samenvatting van deze ronden in hun 'Answering' scherm. Klik op Ok en de ronde is gestart. Als je jezelf hebt meegenomen als lid voor deze ronde staat er nu een antwoord verzoek te wachten in het 'Answering' scherm.

Als de resultaten binnen zijn of de deadline is verstreken moet je deze 'publishen' om ze te kunnen zien in het Benchmarking & Reporting scherm • • •

Vanuit het Home menu, ga naar 'Manage benchmarks'. Je komt in de benchmark manager. Selecteer je benchmark. Klik in het overzicht, onderaan op 'publish'. De resultaten zijn nu beschikbaar.




3. Stappenplan implementatie en gebruik Dit deel beschrijft welke stappen doorlopen moeten worden om de nieuwe BMTool succesvol te kunnen gebruiken. De genoemde “Organisatie Manager” (OM) is diegene die binnen de organisatie verantwoordelijk wordt gesteld voor gebruik van en de resultaten gegenereerd met de nieuwe BMTool.

Stap

Uren

Aanvraag indienen voor gebruik de nieuwe BMTool. •

•

OM opent website http://www.cio-platform.nl/bmtool en downloadt het informatiepakket. Alle documenten daarin goed lezen. Organisatiemanager (OM) verstuurt aanvraag via mail naar [email protected].

Terugsturen protocol en geheimhoudingsverklaring. •

Het protocol en geheimhoudingsverklaring uit het informatiepakket laten paraferen en ondertekenen door CIO/IT-directeur. Getekende documenten inscannen en terugsturen naar [email protected].

Indien je reeds gebruik maakt van de oude BMTool hoef je deze stappen niet uit te voeren. Je krijgt een mail toegestuurd met daarin de download instructies en een activatielink voor de nieuwe BMTool. (Zie ook Q&A sectie vraag 1)

2

2

Na akkoord door bureau van het CIO Platform, downloaden, installeren en activeren van de nieuwe BMTool. • • •

•

Na akkoord door het CIO Platform, ontvangt OM een e-mail met daarin meegestuurd een link naar de downloadlocatie van de nieuwe BMTool en de activatiecode voor de sign-up. Organisatiemanager klikt op link en download en installeert de executable(1). de nieuwe BMTool kan op meerdere PC’s uitgevoerd worden en is niet locatie gebonden. Op het inlog-scherm van de nieuwe BMTool bevindt zich de knop ‘sign up’. Organisatiemanager klikt op deze knop en vult de activatiecode in (verstuurd per email). Vervolgens dient OM de verdere account gegevens(2) in te vullen en een wachtwoord te kiezen. Na de sign up is de OM automatisch ingelogd. In het vervolg moet de om zijn email adres en gekozen wachtwoord invullen in het inlog-scherm.

De benodigde inspanning voor installatie is afhankelijk van het softwarebeleid van de betreffende organisatie. De beveiliging van de infrastructuur kan een blokkade opleveren. Mogelijk moet er een interne aanvraag worden ingediend voor installatie van de tool. (1)

Het mobiele nummer wordt in meerdere processtappen gebruikt om validatie-tokens te ontvangen zodat een beveiligingsgevoelige actie binnen de nieuwe BMTool uitgevoerd kan worden. (2)

✔ De nieuwe BMTool is uitgerust met een interne ‘eerstehulp-lijn’ in de vorm van contextuele informatie die relevant is voor het scherm waar je je in bevindt. Voor elk scherm dat je tegen komt is er hulp en toelichting beschikbaar onder het bel-icoon rechts boven in de applicatie. Informatiesheet vernieuwde BMTool - CIO Platform Nederland - jan 2013 - pagina 10 van 12

2



Aanmaken gebruikers in de nieuwe BMTool •

•

Indien de stellingen door meerdere personen beantwoord gaan worden (afhankelijk van organisatie) dient de OM accounts aan te maken in de nieuwe BMTool voor zijn gebruikers. Deze gebruikers zijn dus vertegenwoordigers binnen delen van de organisatie waar IB-maatregelen worden geïmplementeerd. Inrichting verschilt per organisatie. Gebruikers kunnen aangemaakt worden in het gebruikersmenu, te bereiken door in het hoofdscherm op de knop ‘Users and Groups’ te klikken.

2

Answer requests (subsets van vragen) toewijzen aan gebruikers •

•

•

•

OM bedeelt answer requests van de stellingenset toe aan verschillende organisatieonderdelen (waarvoor OM gebruikers heeft aangemaakt). Het toewijzen van answer requests aan gebruikers kan gedaan worden door in het vragenmenu (knop ‘Answering’ vanuit het hoofdmenu) op de knop ‘New delegation’ te klikken. De stellingenset heeft dezelfde indeling in de tool als de ISO 27002 norm. Bij het beantwoorden van de stellingen gaat het erom dat betreffende afdelingen die verantwoordelijk zijn voor het nemen van adequate maatregelen een oordeel geven over het niveau (Cobit) van implementatie van deze maatregelen binnen de organisatie. De tool genereert een e-mail naar de betreffende gebruiker(s) met daarin een notificatie en een verzoek tot beantwoorden van stellingen. De tool genereert een website waar de geaddresseerde zijn antwoorden kan geven. De geadresseerde kan het antwoorden verzoek webbased invullen. Note: een organisatiemanager kan ook zelf interne benchmarkrondes initiëren. Klik hiervoor op de knop ‘Manage benchmarks’ in het hoofdmenu. Hiervoor moet de OM wel zelf gebruikers aanmaken en beschikken over een audit set.

2

Beantwoorden van stellingen door gebruikers •

Elke gebruiker beantwoordt de toebedeelde set van stellingen(3). Duur van beantwoorden afhankelijk van grootte subset en grondigheid waarmee vragen worden beantwoord. Elke gebruiker slaat subset van vragen op en verstuurt de antwoorden naar de OM. OM ontvangt emailnotificatie dat een subset retour gestuurd is.

#

Beantwoorden betekent: voor elke vraag het Cobit niveau selecteren dat het beste beschrijft in welke mate de betreffende richtlijn is ingericht in de organisatie en de gemaakte keuze toelichten in het daarvoor beschikbare tekstveld. (3)

Samenvoegen beantwoorde stellingen •

OM controleert geretourneerde subsets door deze te vergelijken in het antwoord overzicht. De OM kan hier ook de beantwoorde stellingen overnemen in de definitieve antwoorden(4).

De OM is eindverantwoordelijk voor het eindresultaat aan beantwoorde stellingen. Indien nodig zet de OM acties uit om de stellingset te completeren. (4)


8



Opsturen (“submit” in de nieuwe BMTool) beantwoorde stellingen naar Branche Manager en vergelijken sets met baseline •

OM verstuurt (“submit” in de nieuwe BMTool) ingevulde stellingenset naar Branche Manager(5). De Branche Manager slaat ingevulde stellingenset op in specifieke branche. Hiervoor is door de Branche Manager een baseline gegenereerd. De OM kan nu de organisatie vergelijken met de branche baseline of zelf een organisatie baseline maken waarmee vergeleken kan worden.

6

Een Branche Manager is een door het CIO Platform aangestelde Organisatie Manager welke het beheer houdt over de baseline van en verzamelde resultaten binnen een specifieke branche. Een Branche Manager wordt in overleg met het CIO Platform en de deelnemende organisaties binnen die branche bepaald. (5)

Totale geschatte inspanning (van aanvraag tot versturen resultaten) voor OM in uren:

24

4. Bugfixes en requests Vragen of opmerkingen over bugs in de tool of mis je een belangrijke functionaliteit? Maak dit dan kenbaar. Alleen op deze manier kunnen we de nieuwe BMTool nog beter maken. Log in op de Online omgeving en ga naar de groep “CIG Informatiebeveiliging BMTool”. Klik op “bekijk alle berichten” en lees het bericht “Vragen of opmerkingen over bugs of feature requests?”. Neem voor verdere vragen of opmerkingen contact op met Lydia Kampman, projectcoördinator CIO Platform Nederland. Lydia Kampman [email protected] 06-14 03 17 32 www.cio-platform.nl


De vernieuwde BMTool

Recommend Documents