IEC 27002

Preparation Guide

EXIN Information Security Foundation based on ISO/IEC 27002 Uitgave december 2015

Copyright © 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.

Preparation Guide EXIN Information Security Foundation based on ISO/IEC 27002 (ISFS.NL) ISFS.NL

2

Content 1. Overzicht 2. Exameneisen 3. Begrippenlijst 4. Literatuur

4 7 11 14


3

1. Overzicht EXIN Information Security Foundation based on ISO/IEC 27002 (ISFS.NL) Inhoud Informatiebeveiliging is het beschermen van informatie tegen een breed scala aan risico’s ten einde business continuity te kunnen waarborgen, business risico’s te minimaliseren en de opbrengst van investeringen en business mogelijkheden te maximaliseren. Informatiebeveiliging is een must voor iedere organisatie waarin vertrouwelijke informatie omgaat. De globalisering van de economie leidt tot een toenemende uitwisseling van informatie tussen organisaties (medewerkers, klanten en leveranciers), een toenemend gebruik van netwerken, zoals het interne bedrijfsnetwerk, de koppeling met netwerken van andere bedrijven en Internet. Eén kleine, menselijke fout kan enorme gevolgen hebben voor een onderneming. De internationale standaard, de Code of Practice for Information Security ISO/IEC 27002:2013, is een breed gerespecteerde en gerefereerde standaard en biedt een raamwerk voor de organisatie en het management van een informatiebeveiligingsprogramma. Implementatie van een programma gebaseerd op deze standaard ondersteunt een organisatie in het voldoen aan de hoge eisen die worden gesteld aan de huidige complexe operationele omgeving. Een grondige kennis van deze standaard is belangrijk voor de persoonlijke ontwikkeling van iedere informatiebeveiligingsprofessional. In de Information Security modulen van EXIN wordt de definitie van het PvIB (Platform voor Informatiebeveiliging) gebruikt: Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen. In de module Information Security Foundation based on ISO/IEC 27002 (ISFS), worden basisbegrippen van informatiebeveiliging en hun samenhang getoetst. De basiskennis die in deze module wordt getoetst, draagt vooral bij aan het bewustzijn dat informatie kwetsbaar is en dat maatregelen om informatie te beschermen, nodig zijn. De module omvat de onderwerpen:  Informatie en beveiliging: de begrippen, de waarde van informatie en het belang van betrouwbaarheid;  Bedreigingen en risico`s: de relatie tussen bedreigingen en betrouwbaarheid;  Aanpak en organisatie: het beveiligingsbeleid en de inrichting van informatiebeveiliging;  Maatregelen: fysieke, technische en organisatorische beveiligingsmaatregelen;  Wet- en regelgeving: het belang en de werking.


4

Context Kwalificatieschema

De module EXIN Information Security Foundation based on ISO/IEC 27002 maakt deel uit van het kwalificatieprogramma Information Security. Het vervolg op de module ISFS is de module EXIN Information Security Management Advanced based on ISO/IEC 27002 (ISMAS) en de module EXIN Information Security Management Expert based on ISO/IEC 27002 (ISMES). Doelgroep De module EXIN Information Security Foundation based on ISO/IEC 27002 richt zich op iedere medewerker, van de administratie tot de directie, die met vertrouwelijke informatie omgaat. De module is ook geschikt voor kleine zelfstandige ondernemers voor wie basiskennis van informatiebeveiliging noodzakelijk is. Foundation is de eerste stap voor beginnende professionals in informatiebeveiliging. Certificeringseisen Het behalen van het examen is een voorwaarde voor certificering.


5

Examendetails Examenvorm: Computergestuurde multiple-choice-vragen Aantal vragen: 40 Cesuur: 65% (26 van 40) Open boek/notities: Nee Elektronische hulpmiddelen toegestaan: Nee Examenduur: 60 minuten Op dit examen is het Reglement voor de Examens van EXIN van toepassing.

Training Groepsgrootte Het maximum aantal deelnemers is 25.

(Dit geldt niet voor een online- of computer based training.) Contacturen Het minimum aantal contacturen tijdens de training is 7. Dit omvat groepsopdrachten, voorbereiding op het examen en korte pauzes. Dit aantal uren is exclusief huiswerk, logistieke voorbereiding van het examen en lunchpauzes. Indicatie studielast 60 uur Training provider Een lijst van geaccrediteerde training providers kunt u vinden op www.exin.com.


6

2. Exameneisen De exameneisen zijn uitgewerkt in examenspecificaties. In onderstaande tabel staan de onderwerpen van de module (exameneisen). Het gewicht van de verschillende onderwerpen in het examen wordt uitgedrukt in een percentage van het totaal. Exameneis

Examenspecificatie

Gewicht %

1. Informatie en beveiliging 1.1 Het begrip informatie 1.2 De waarde van informatie 1.3 Betrouwbaarheidsaspecten 2. Dreigingen en risico’s 2.1 Dreiging en risico 2.2 Relaties tussen dreigingen, risico`s en de betrouwbaarheid van informatie 3. Aanpak en organisatie 3.1 Beveiligingsbeleid en beveiligingsorganisatie 3.2 Onderdelen 3.3 Incidentbeheer 4. Maatregelen 4.1 Belang van maatregelen 4.2 Fysieke maatregelen 4.3 Technische maatregelen 4.4 Organisatorische maatregelen 5. Wet- en regelgeving 5.1 Wet- en regelgeving Totaal

2,5 2,5 5 15 15 2,5 2,5 5 10 10 10 10 10

10

30

10

40

10

100%


7

Exam specificaties 1.

Informatie en beveiliging (10%)

1.1

Het begrip informatie (2,5%) De kandidaat begrijpt het begrip informatie. De kandidaat kan: 1.1.1 uitleggen wat het verschil is tussen data en informatie; 1.1.2 informatiedragers beschrijven die onderdeel uitmaken van de basisinfrastructuur.

1.2

De waarde van informatie (2,5%) De kandidaat begrijpt de waarde van informatie voor organisaties. De kandidaat kan: 1.2.1 beschrijven wat de waarde is van data/informatie voor organisaties; 1.2.2 beschrijven hoe de waarde van data/informatie organisaties kan beïnvloeden; 1.2.3 uitleggen wat het nut is van informatiebeveiliging.

1.3

Betrouwbaarheidsaspecten (5%) De kandidaat kent de betrouwbaarheidsaspecten (vertrouwelijkheid, integriteit, beschikbaarheid) van informatie. De kandidaat kan: 1.3.1 de betrouwbaarheidsaspecten van informatie noemen; 1.3.2 de betrouwbaarheidsaspecten van informatie beschrijven.

2.

Dreigingen en risico`s (30%)

2.1

Dreiging en risico (15%) De kandidaat begrijpt de begrippen dreiging en risico. De kandidaat kan: 2.1.1 de begrippen dreiging, risico en risicoanalyse uitleggen; 2.1.2 de relatie tussen een dreiging en een risico uitleggen; 2.1.3 verschillende soorten dreigingen beschrijven; 2.1.4 verschillende soorten schades beschrijven; 2.1.5 verschillende risicostrategieën beschrijven.

2.2

Relaties tussen dreigingen, risico`s en de betrouwbaarheid van informatie (15%) De kandidaat begrijpt de relatie tussen dreigingen, risico`s en de betrouwbaarheid van informatie. De kandidaat kan: 2.2.1 voorbeelden herkennen van de verschillende soorten dreigingen; 2.2.2 effecten beschrijven van de verschillende soorten dreigingen op informatie en informatieverwerking.


8

3.

Aanpak en Organisatie (10%)

3.1

Beveiligingsbeleid en beveiligingsorganisatie (2,5%) De kandidaat begrijpt de begrippen beveiligingsbeleid en beveiligingsorganisatie. De kandidaat kan: 3.1.1 in grote lijnen beschrijven wat het doel en de inhoud is van een beveiligingsbeleid; 3.1.2 in grote lijnen beschrijven wat het doel en de inhoud is van een beveiligingsorganisatie.

3.2

Onderdelen (2,5%) De kandidaat kent de verschillende onderdelen van de beveiligingsorganisatie. De kandidaat kan: 3.2.1 het belang van een gedragscode uitleggen; 3.2.2 het belang van eigenaarschap uitleggen; 3.2.3 de belangrijkste rollen in de informatiebeveiligingsorganisatie noemen.

3.3

Incidentbeheer (5%) De kandidaat begrijpt het belang van incidentbeheer en escalatie. De kandidaat kan: 3.3.1 samenvatten hoe beveiligingsincidenten worden gemeld en welke informatie daarbij nodig is; 3.3.2 voorbeelden geven van beveiligingsincidenten; 3.3.3 duidelijk maken wat de consequenties zijn van het niet melden van beveiligingsincidenten; 3.3.4 uitleggen wat een escalatie inhoudt (functioneel en hiërarchisch); 3.3.5 beschrijven wat de effecten zijn van escalatie in de organisatie; 3.3.6 de incidentcyclus toelichten.

4.

Maatregelen (40%)

4.1

Belang van maatregelen (10%) De kandidaat begrijpt het belang van beveiligingsmaatregelen. De kandidaat kan: 4.1.1 verschillende indelingen van beveiligingsmaatregelen beschrijven; 4.1.2 per type beveiligingsmaatregel voorbeelden geven; 4.1.3 de relatie tussen risico`s en beveiligingsmaatregelen uitleggen; 4.1.4 het doel van het classificeren van informatie benoemen; 4.1.5 beschrijven wat de uitwerking is van classificatie.

4.2

Fysieke maatregelen (10%) De kandidaat kent de inrichting en uitvoering van fysieke maatregelen. De kandidaat kan: 4.2.1 voorbeelden geven van fysieke maatregelen; 4.2.2 de risico`s verbonden aan het ontbreken van fysieke beveiligingsmaatregelen beschrijven.


9

4.3

Technische maatregelen (10%) De kandidaat kent de inrichting en uitvoering van technische maatregelen. De kandidaat kan: 4.3.1 voorbeelden geven van technische maatregelen; 4.3.2 de risico`s verbonden aan het ontbreken van technische beveiligingsmaatregelen beschrijven; 4.3.3 de begrippen cryptografie, digitale handtekening en certificaat plaatsen; 4.3.4 de drie stappen voor veilig internetbankieren benoemen (PC, website, betaling); 4.3.5 verschillende soorten kwaadaardige software noemen; 4.3.6 de maatregelen beschrijven die tegen kwaadaardige software kunnen worden ingezet.

4.4

Organisatorische maatregelen (10%) De kandidaat kent de inrichting en uitvoering van organisatorische maatregelen. De kandidaat kan: 4.4.1 voorbeelden geven van organisatorische maatregelen; 4.4.2 de gevaren en risico`s verbonden aan het ontbreken van organisatorische beveiligingsmaatregelen beschrijven; 4.4.3 toegangbeveiligingsmaatregelen beschrijven zoals functiescheiding en wachtwoordgebruik; 4.4.4 principes voor het beheer van toegang beschrijven; 4.4.5 de begrippen identificatie, authenticatie en autorisatie beschrijven; 4.4.6 uitleggen wat het belang is van goed ingerichte Business Continuity Management voor een organisatie; 4.4.7 duidelijk maken wat het belang is van het uitvoeren van oefeningen.

5.

Wet- en regelgeving (10%)

5.1

Wet- en regelgeving (10%) De kandidaat begrijpt het belang en de werking van wet- en regelgeving. De kandidaat kan: 5.1.1 uitleggen waarom wet- en regelgeving van belang is voor de betrouwbaarheid van informatie; 5.1.2 voorbeelden geven van wetgeving gerelateerd aan informatiebeveiliging; 5.1.3 voorbeelden geven van regelgeving gerelateerd aan informatiebeveiliging; 5.1.4 aangeven waaruit maatregelen voor wet- en regelgeving kunnen bestaan.

Toelichting en verantwoording Maatregelen op het gebied van informatiebeveiliging zijn voor de meeste medewerkers in een organisatie het eerste waar ze mee in aanraking komen. Daarom heeft de exameneis ‘Maatregelen’ het grootste gewicht. De exameneis ‘Dreigingen en risico’s volgt hierop in gewicht, omdat het belangrijk is deze te kunnen herkennen. Tenslotte is kennis van het beleid, de inrichting en van de wet- en regelgeving op het gebied van informatiebeveiliging nodig om het belang van informatiebeveiligingsmaatregelen te begrijpen.


10

3. Begrippenlijst De begrippenlijst bevat de begrippen die in de toets bevraagd kunnen worden. De begrippen staan op alfabetische volgorde in het Nederlands.                                        

Archiefwet audit Auteurswet authenticatie authenticiteit autorisatie back-up Bedrijfscontinuïteitsbeheer (Business Continuity Management (BCM)) bedrijfsmiddellen beheer van bedrijfsmiddelen beschikbaarheid betrouwbaarheid van informatie beveiliging bij systeemontwikkeling beveiligingsbeleid beveiligingsgebeurtenis beveiligingsincident beveiligingsmaatregel beveiligingsorganisatie biometrie Botnet Business Continuity Plan (BCP) calamiteit categorie certificaat classificatie (rubricering) Clear desk policy Code voor informatiebeveiliging (NEN-ISO/IEC 27002:2013) continuïteit correctheid correctief cryptografie cybercrime data detectief digitale handtekening directe schade Disaster recovery Plan (DRP) dreiging encryptie escalatie

                                       

Public records legislation Audit Copyright legislation Authentication Authenticity Authorization Backup Business Continuity Management (BCM) Business Assets Managing business assets Availability Reliability of information Security in development Security Policy Security event Security incident Security measure Security Organization Biometrics Botnet Business Continuity Plan (BCP) Disaster Category Certificate Classification (grading) Clear desk policy Code of practice for information security (ISO/IEC 27002:2013) Continuity Correctness Corrective Cryptography Cyber crime Data Detective Digital signature Direct damage Disaster Recovery Plan (DRP) Threat Encryption Escalation


11

              

 functionele escalatie  hiërarchische escalatie exclusiviteit functiescheiding gedragscode geheimhoudingsovereenkomst hacken Hoax identificatie impact incidentcyclus indirecte schade informatie informatieanalyse informatiearchitectuur Informatiebeveiligingsrisico beoordeling informatiemanagement informatiesysteem infrastructuur integriteit interferentie ISO/IEC 27001:2013 ISO/IEC 27002:2013 kwalitatieve risicoanalyse kwantitatieve risicoanalyse kwetsbaarheid logisch toegangsbeheer maatregel Malware naleving (Compliance) nauwkeurigheid onderhoudstoegang (Maintenance door) onweerlegbaarheid opslagmedium Patch Personal Firewall Phishing preventief prioriteit privacy productiefactor Public Key Infrastructure (PKI) reductief redundantie repressief risico risicoafweging (A&K analyse)



risicoanalyse

                             

             

 Functional escalation  Hierarchical escalation Exclusivity Segregation of duties Code of conduct Non-disclosure agreement Hacking Hoax Identification Impact Incident cycle Indirect damage Information Information analysis Information architecture Information security review

               

Information management Information system Infrastructure Integrity Interference ISO/IEC 27001:2013 ISO/IEC 27002:2013 Qualitative risk analysis Quantitative risk analysis Vulnerability Logical access management measure / control Malware Compliance Precision Maintenance door

               

Non-repudiation Storage medium Patch Personal firewall Phishing Preventive Priority Privacy Production factor Public Key Infrastructure (PKI) Reductive Redundancy Repressive Risk Risk assessment (Dependency & Vulnerability analysis) Risk analysis


12

                         

   

 risicodragend  risicomijdend  risiconeutraal risicomanagement risicostrategie robuustheid Rootkit schade sleutel Social engineering Spam Spyware Stand by-regeling systeemacceptatietesten tijdigheid toegangsbeheer (Access Control) toekennen van gebruikerstoegang Trojan uitwijk Uninterruptible Power Supply (UPS) urgentie validatie verificatie vertrouwelijkheid vertrouwelijke authenticatie informatie Virtual Private Network (VPN) virus volledigheid Voorschrift Informatiebeveiliging Rijksdienst (VIR) / Voorschrift Informatiebeveiliging Bijzondere Informatie (VIR-BI) Wet Bescherming Persoonsgegevens (WBP) Wet Computer Criminaliteit (WCC) Wijzigingsbeheer / Change Management worm

                     

 Risk bearing  Risk avoidance  Risk neutral Risk management Risk strategy Robustness Rootkit Damage Key Social engineering Spam Spyware Stand-by arrangement System acceptance testing Timeliness Access control User access provisioning Trojan Stand-by arrangement Uninterruptible Power Supply (UPS) Urgency Validation Verification Confidentiality Secret authentication information

   

Virtual Private Network (VPN) Virus Completeness Information security regulations for the government



Personal data protection legislation

 

Computer criminality legislation Change Management



Worm


13

4. Literatuur Examenliteratuur A

Hintzbergen, J., Hintzbergen, K., Smulders, A en Baars, H. Basiskennis informatiebeveiliging op basis van ISO 27001 en ISO 27002 Van Haren Publishing, 2e herziene druk, 2015 ISBN 978 94 018 0013 6 E-ISBN 978 94 018 0543 8

Samenhang literatuur en examenspecificaties Exameneis 1

Examenspecificatie 1.1 1.2 1.3

Literatuur

Literatuurverwijzing

A A A

Hoofdstuk 3 en §4.10 Hoofdstuk 3 en 4 Hoofdstuk 3 en4

2

2.1 2.2

A A

Hoofdstuk 3 Hoofdstuk 3 en 11

3

3.1 3.2 3.3

A A A

Hoofdstuk 3, 5 en 6 Hoofdstuk 6, 7, 8 en 13 Hoofdstuk 3, 15 en 16

4

4.1 4.2 4.3 4.4

A A A A

Hoofdstuk 3, 8 en 16 Hoofdstuk 3 en 11 Hoofdstuk 6, 10, 11 en 12 Hoofdstuk 3, 6, 9, 17 en 18

5

5.1

A

Hoofdstuk 18

Toelichting en verantwoording Het examen is gebaseerd op de examenliteratuur.


14


15

Contact EXIN www.exin.com

IEC 27002

Recommend Documents