Meteen naar de inhoud

Informatiebeveiliging – toepassen en beheren

Wij behandelen in deze cursus de beheercyclus van het toepassen en beheren van het privacy-, security- en complianvekader. Wij behandelen casussituaties en bespreken een privacy-, security- en compliance administratie (PSCa) waarin een Risk Register is opgenomen.

Het toepassen en beheren van een bedrijfskader gericht op het effectief organiseren van privacy, security en compliance kenmerkt deze cursus. De niet-functionele eisen aan het beschermen van bedrijfs- en persoonsgegevens zijn abstracte begrippen. Het toepassen van bewustwordings- en trainingsprogramma’s zijn essentieel voor de bedrijfsleiding, het management en de medewerkers om succesvol effectieve beheers- en beveiligingsmaatregelen te treffen. De FG, CISO en compliance manager werken samen de bedrijfsleiding en het management risicogericht toereikende technische en organisatorische te laten nemen.

Introductie van de docenten:

Het beschikken over een bedrijfsspecifiek privacy- en beveiligingskader is een essentieel maar niet voldoende voorwaarde voor het treffen van generieke beheers- en beveiligingsmaatregelen die zorgen voor een effectieve bescherming van bedrijfs- en persoonsgegevens. Zie ‘Informatiebeveiliging – voorbereiden en implementeren. Het kader past de bedrijfsleiding, in samenwerking met het management, de CISO en de FG, risicogericht toe en vervolgens ontstaat een beheerscyclus.

De risicogerichte toepassen van beheers- en beveiligingsmaatregelen vraagt continue monitoring van de effectiviteit van de maatregelen. Het testen van de compliance met het kader vindt plaats door interne controlemaatregelen die “by design” in de bedrijfsprocessen zijn opgenomen. Hiernaast voeren het management en de compliance manager onderzoeken, bijvoorbeeld Data Protection Impact Assessments (DPIA, zie overzicht Assessment & audit).

In het Risk Register spiegelt het bedrijf het bedrijfskader met de uitkomsten van de compliancewerkzaamheden. Voor de bedrijfsleiding en het management ontstaat een beeld van de bedreigingen van de bescherming van bedrijfs- en persoonsgegevens en de impact als een dergelijke bedreiging zich daadwerkelijk voordoet. Het aanvullen of vervangen van getroffen beheersmaatregelen moeten de bedreigingen terugdringen tot een voor de bedrijfsleiding aanvaardbaar niveau.

Het toepassen en beheren van het bedrijfskader vraagt van de bedrijfsleiding, het management en de medewerkers kennis van zaken. Waarom is het bedrijfskader essentieel voor de continuïteit van de bedrijfsvoeren, wat zijn bedreigingen en welke beheers- en beveiligingsmaatregelen nodig? De beheersmaatregel bewustwordings- en trainingsmaatregelen als onderdeel van kennismanagementis een essentieel maar niet voldoende de bedrijfs- en persoonsgegevens effectief te beschermen.

Doelgroep

Op basis van het privacy-, security- en compliance-kader van het bedrijf gaat het IT-management aan de slag de passende IT-systemen en IT-diensten aan te kopen. De IT-manager stelt een architectuur op en werkt een overzicht van functionele en non-functionele uit. Vervolgens stelt de IT-manager een lijst op met potentiële leveranciers die passen bij het kennisniveau van de organisatie. Aan de leveranciers legt het bedrijf de eisen aan de generieke informatie infrastructuur voor. Het management bespreekt met alle potentiële leveranciers het pakket eisen. Waardevol zijn de opmerkingen over de architectuur en het pakket van eisen. Tijdens het gesprek vormt het management een beeld over het constructief kunnen samenwerken met de leverancier; sluiten de kennisniveaus van de organisatie en de leverancier aan? Na elk gesprek werken de vertegenwoordigers van het bedrijf een uitgebreide evaluatie uit.

Met een beperkt aantal potentiële leveranciers doorloopt het IT-management een offertetraject.

Steeds bij beslismomenten betreft de IT-manager de CISO, compliance manager en de FG. Zij zorgen ervoor dat met name de non-functionele eisen worden opgenomen in de processen van de informatie infrastructuur.

Het actief betrekken van de bedrijfsleiding en het management is een uitdaging. Er is bewustwordings- en trainingsprogramma nodig voor het op niveau brengen van de noodzakelijke kennis om gefundeerd beslissingen te nemen.

Veelal zijn er in de afdelingen medewerkers die duidelijk kunnen aangeven welke generieke functionaliteiten essentieel zijn voor een effectieve bedrijfsvoeren. Het slagen deze kennis te mobiliseren vergroot het succes van het toepassen van de informatie infrastructuur.

Het monitoren van de infrastructuur, het doorvoeren van noodzakelijke aanpassingen, het adequaat reageren op incidenten en datalekken en het zorgen dat de infrastructuur het fundament is voor het organiseren van de privacy, informatieveiligheid en compliance met wettelijke en contractuele eisen zijn beheertaken van de IT-afdeling, de CISO, de compliance manager en de FG.

De medewerkers gebruiken de infrastructuur en ervaren als eerste als er iets niet in orde is. Het bewustmaken en het trainingen van de medewerkers is een essentiële activiteit om de infrastructuur veilig te houden.

Doelen

Een adequate infrastructuur ondersteunt de bedrijfsactiviteiten effectief met centrale opslag van bedrijfs- en persoonsgegevens, rol gedreven toegang tot categorieën van gegevens, authenticatie van identiteit van medewerkers plus mechanisme van het koppelen van medewerkers aan rollen, en een regel gedreven compliance dat slechts medewerkers die geautoriseerd zijn toegang hebben tot gegevens waarvoor zij bevoegdheden hebben.

De uitkomsten van het monitoren van de infrastructuur kan aanleiding zijn andere of aanvullende maatregelen te treffen. Het voorbereiden, plannen en doorvoeren van de wijzigingen vraagt coördinatie, afstemming en uitleg aan de medewerkers.

Uitgaande van de bedrijfspolicy privacy, veiligheid en compliance, bespreken wij met behulp van een aantal casussen het toepassen en beheren van beheers- en beveiligingsmaatregelen. Een bijzonder instrument voor toepassen en beheren is het risicogericht veranderen en toepassen van beheers- en beveiligingsmaatregelen. Wij bespreken aan de hand van een casus hoe een bedrijfsorganisatie de aansturing van generieke maatregelen kan organiseren. Wij betrekken een beheeromgeving van een Cloud leverancier en de toepassing PSCa.

Een bedrijf kan deze aanpak gebruiken voor het bewustmaken en trainen van medewerkers.

Desgewenst kunnen wij een practicum inlassen.

Cursuscategorie organiseren van bedrijfsactiviteiten

Het toepassen en beheren van de generieke technische en organisatorische beheers- en beveiligingsmaatregelen is voor vele organisaties een zoektocht. De CISO en de compliance manager adviseren de bedrijfsleiding over deze infrastructuur. De FG ziet erop toe dat er voldoende werkende maatregelen worden getroffen voor het effectief beschermen van persoonsgegevens.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma materieel en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige of bestuurskundige en juridische achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.