1

Inleiding

• Herinneringen. ISO 27000 en ISO Guide 73 terminologie.
• Definities: bedreiging, kwetsbaarheid, bescherming.
• Het begrip risico (gevolg, impact, waarschijnlijkheid).
• De minimale CID-classificatie (Vertrouwelijkheid, Integriteit, Beschikbaarheid).
• Risicobeheer (verminderen, onderhouden, weigeren, delen).
• Analyse van schade-ervaringen. Trends. De inzet.
• Beveiligingsvoorschriften (zakelijk, wettelijk, enz.) PCI-DSS, NIST, LPM/NIS. Voor wie is het? Voor wie? Interactie met ISO.
• ISO op één lijn met Governance / Protection / Defence / Resilience.
• Afstemming COBIT, ITIL® en ISO 27002.

2

ISO 2700x-normen

• Geschiedenis van ISO-veiligheidsnormen.
• BS 7799 normen en hun bijdrage aan ISO.
• Huidige normen (ISO 27001, 27002).
• Aanvullende normen (ISO 27005, 27004, 27003, etc.).
• Convergentie met 9001 kwaliteitsnormen en 14001 milieunormen.
• De bijdrage van kwaliteitsspecialisten aan veiligheid.

3

De norm ISO 27001:2022

• Definitie van een beheersysteem voor systeembeveiliging (ISMS).
• Doelstellingen die moeten worden bereikt door uw ISMS.
• De aanpak van "voortdurende verbetering" als basisprincipe, het PDCA-model (Deming-wiel).
• ISO 27001 als onderdeel van een wereldwijde aanpak van IS-governance.
• Details van de Plan-Do-Check-Act fasen.
• Van specificatie van de ISMS-perimeter tot de SoA (Verklaring van Toepasselijkheid).
• ISO 27001 aanbevelingen voor risicobeheer.
• Het belang van risicobeoordeling. Het kiezen van een methode zoals ISO 27005:2022 / ISO 31000.
• De bijdrage van gepubliceerde methoden (bijv. EBIOS) aan hun beoordelingsproces.
• Het nemen van efficiënte technische en organisatorische beveiligingsmaatregelen.

4

Bijlage A als referentiehulpmiddel - koppeling met norm 27002.

• Beveiligingsdoelstellen: Beschikbaarheid, Integriteit en Vertrouwelijkheid.
• De nieuwe goede praktijken van ISO 27002:2013, de maatregelen verwijderd uit ISO 27001:2005. De wijzigingen.
• De norm ISO 27002:2013: de 14 domeinen en 113 goede praktijken.
• Voorbeelden van de toepassing van de norm op uw onderneming: noodzakelijke essentiële beveiligingsmaatregelen.

5

Beste praktijken, ISO 27002:2022-norm

• Structurering op het eerste niveau: organisatorische, persoonlijke, fysieke en technologische maatregelen.
• Thema's en kenmerken (#Preventie, #Opsporing, #Correctie).
• Cyberbeveiligingsconcepten (#Identificatie, #Bescherming, #Opsporing, #Verwerking, #Herstel).
• Operationele capaciteiten (#Governance, #Asset_Management, Informatie_Bescherming...).
• Veiligheidsdomeinen ((#Governance_and_ecosystem, #Protection, #Defence, #Resilience).
• ISO 27002:2022: een overzicht van 93 best practices.
• De nieuwe ISO 27002:2022 good practices, de maatregelen verwijderd uit ISO 27001:2017. De wijzigingen.

6

• Continu en compleet proces. Stappen, prioriteiten.
• De auditcategorieën: organisatorisch, technisch enz.
• Interne, externe audits en door derden, de auditor kiezen.
• Het typische ISO-auditproces, de belangrijkste stappen.
• De doelstellingen van een audit, de kwaliteit van een audit.
• Organisatorische audit: aanpak, methoden.
• Vergeleken bijdragen, menselijke implicaties.
• Intellectuele eigendom van software, aansprakelijkheid uit onrechtmatige daad en contractuele aansprakelijkheid.
• Strafrechtelijke aansprakelijkheid, de aansprakelijkheid van leidinggevenden, delegatie van bevoegdheden, sancties. De LCEN-wet.
• ISO-conformiteit en juridische conformiteit: het nieuwe domein 18 van ISO 27002:2013.
• Deze opleiding biedt een interactieve lesmethode met oefeningen via rollenspellen.
• Kennistests via meerkeuzevragenlijsten en gespreksimulaties auditor/gecontroleerde.

7

Auditcategorieën: organisatorisch, technisch, enz.

• Interne en externe audits en audits door derden.
• De typische ISO-auditprocedure en de belangrijkste stappen.
• Controledoelstellingen en controlekwaliteit.
• Het opbouwen van het interne auditprogramma.
• De verbeteraanpak voor de audit.

8

De benodigde normen: ISO 27000, ISO 27001, ISO 27002, ISO 27005, ISO 19011, ISO 17021, ISO 27006.

• De procedure voor het online examen wordt op de eerste trainingsdag uitgelegd: inhoud en te volgen regels.
• Technische vereisten voor het online examen (webcam geactiveerd, internetverbinding).
• Dit examen vindt plaats op het TESTWE online examenplatform (testwe.eu).
• Als het examen op locatie van Orsys wordt afgenomen, zorgt Orsys voor de voorbereiding van de werkplek van de kandidaat.

9

Examen

• Het schriftelijke examen duurt 3,5 uur en bestaat uit zes onderdelen.
• Een meerkeuzevragenlijst over de ISO/IEC 19011-norm en bijbehorende gidsen op 20 punten.
• Een meerkeuzevragenlijst over de ISO/IEC 27001-norm en bijbehorende gidsen op 20 punten.
• Een oefening om een normatieve referentie te vinden op basis van de auditbevindingen op 5 punten.
• Een oefening in verband met de PDCA-cyclus op 5 punten.
• Een oefening "feiten en gevolgtrekkingen" op basis van een persartikel op 10 punten.
• Een casestudie op 35 punten.
• Voorts een beoordeling door de trainer van de houding en aanpak van de auditor op 5 punten.
• De resultaten van het examen zullen u 4 tot 6 weken later per post worden toegestuurd.