Nieuws 05 augustus 2024

Volwassenheidsmodel informatiebeveiliging geactualiseerd

Een recente update van het volwassenheidsmodel informatiebeveiliging van NBA en NOREA moet organisaties helpen om hun informatiebeveiliging beter te kunnen meten, bepalen en verbeteren. In juli jl. is een webinar gehouden over het model, eind september volgt een bijeenkomst voor internal audit afdelingen.

Eind 2023 heeft een werkgroep van de NBA-ledengroep intern en overheidsaccountants (LIO), samen met de Nederlandse Orde van Register EDP-Auditors (NOREA) en verschillende sectoren, het volwassenheidsmodel geactualiseerd. Het model biedt een handreiking om te beoordelen hoe het staat met de informatiebeveiliging binnen een organisatie.

De update introduceert drie nieuwe normen, die essentieel zijn voor het aanpakken van moderne en toekomstige cyberdreigingen. Ook zijn drie bestaande normen herzien. De nieuwe normen hebben betrekking op governance, organisatie en personeelsbeheer.

De eerste nieuwe norm richt zich op de kwaliteit en het type informatie die het management gebruikt voor het sturen van de informatiebeveiligingsstrategie. De tweede behandelt het mandaat en de bevoegdheden en hoe die formeel zijn vastgelegd. De derde nieuwe norm gaat over processen rondom indiensttreding.

Praktijkervaringen

De update van het volwassenheidsmodel is niet alleen gebaseerd op theoretische modellen, maar ook op feedback en praktijkervaringen, onder andere uit de onderwijssector, aldus de opstellers. Tientallen externe audits en jarenlange ervaring met het gebruik van het model hebben bijgedragen aan de verbetering. Het geactualiseerde model sluit daardoor beter aan op de realiteit van hedendaagse informatiebeveiliging.

Door kritisch te kijken naar de beheersmaatregelen binnen elk volwassenheidsniveau zijn beheersmaatregelen toegevoegd, verplaatst naar een ander volwassenheidsniveau of verwijderd uit het model.

Naast inhoudelijke updates heeft de werkgroep ook tekstuele wijzigingen doorgevoerd, om consistentie met andere raamwerken te waarborgen en de leesbaarheid van het model te verbeteren. Zo is het model nu in het Nederlands beschikbaar, waar het voorheen Engelstalig was.

Naast het werkdocument zelf (in Excel), is ook een uitleg beschikbaar bij het model als pdf.

Webinar en bijeenkomst

In juli jl. is over de update van het volwassenheidsmodel een webinar georganiseerd door NBA-LIO en NOREA. Dat webinar is terug te kijken via nba.nl of het YouTube-kanaal van de NBA.

Op 25 september aanstaande organiseert de NBA-LIO-ledengroep samen met het Instituut van Internal Auditors (IIA) Nederland een bijeenkomst, waarin het geactualiseerde volwassenheidsmodel en de toepassing daarvan in de praktijk worden besproken.

De bijeenkomst is met name gericht op kleinere internal audit afdelingen en de toepassing van het model wordt benaderd vanuit de rol van de Chief Information Security Officer (CISO) en die van internal audit. IIA, NBA en NOREA willen met het geactualiseerde model uiteindelijk alle internal auditors in Nederland bereiken.