Volwassenheidsmodel voor informatiebeveiliging 3.0
04 juli, 2024
Het NBA-LIO/NOREA Volwassenheidsmodel informatiebeveiliging is eind 2023 vernieuwd.
Het volwassenheidsmodel heeft als doel auditors en directies van organisaties een leidraad en handvatten te geven waarmee zij doelgericht en op pragmatische wijze hun organisaties kunnen ondersteunen bij het meten, bepalen en verbeteren van het volwassenheidsniveau van informatiebeveiliging.
Er zijn drie normen toegevoegd aan het model. Binnengekomen feedback en praktijkervaringen met de eerdere versie hebben bijgedragen aan de verbetering van het model waarmee het beter aansluit op de realiteit van de hedendaagse informatiebeveiliging. Een werkgroep van NBA-LIO, NOREA en vertegenwoordigers uit verschillende sectoren raadt alle organisaties aan om deze nieuwe versie te integreren in hun informatiebeveiligingsstrategieën, om beter beschermd te zijn tegen cyberdreigingen.
Eind 2023 heeft een werkgroep van NBA-LIO, samen met de Nederlandse Orde van Register EDP-Auditors (NOREA) en verschillende sectoren, het volwassenheidsmodel geactualiseerd. Deze herziening is bedoeld om het model verder te verfijnen en actualiseren, zodat organisaties de informatiebeveiliging beter kunnen meten, bepalen en verbeteren.
Herziene normen
De update introduceert drie nieuwe normen die essentieel zijn voor het aanpakken van moderne en toekomstige cyberdreigingen, en herziet drie bestaande normen. De nieuwe normen vallen binnen de domeinen Governance, Organisatie, en Personeelsbeheer.
- De eerste nieuwe norm richt zich op de kwaliteit en het type informatie die het management gebruikt voor het sturen van de informatiebeveiligingsstrategie.
- De tweede nieuwe norm behandelt het mandaat en de bevoegdheden, en hoe deze formeel zijn vastgelegd.
- De derde nieuwe norm gaat over de processen rondom indiensttreding.
Praktijkervaring en feedback
Deze update is niet alleen gebaseerd op theoretische modellen, maar ook op waardevolle feedback en praktijkervaringen, onder andere uit de onderwijssector. Tientallen externe audits en jarenlange ervaring met het gebruik van het model hebben bijgedragen aan deze verbetering. Deze praktijkgerichte input was cruciaal om het model nog beter af te stemmen op de realiteit van hedendaagse informatiebeveiliging.
Beheersmaatregelen binnen elk volwassenheidsniveau
Er is kritisch gekeken naar de beheersmaatregelen binnen elk volwassenheidsniveau. Hierdoor zijn er beheersmaatregelen toegevoegd, verplaatst naar een ander volwassenheidsniveau of verwijderd uit het model.
Verbeterde leesbaarheid
Naast inhoudelijke updates heeft de werkgroep ook tekstuele wijzigingen doorgevoerd om consistentie met andere raamwerken te waarborgen en de leesbaarheid van het model te verbeteren.
Aanbeveling
De werkgroep raadt alle organisaties aan om het bijgewerkte toetsingskader te raadplegen en te integreren in hun informatiebeveiligingsstrategieën, zodat ze zich beter kunnen verdedigen tegen cyberdreigingen en de bescherming van informatie kunnen waarborgen
- Volwassenheidsmodel informatiebeveiliging 3.0 (pdf)
- Volwassenheidsmodel informatiebeveiliging 3.0 (excel)
- Uitleg van het Volwassenheidsmodel
Webinar
Op donderdag 4 juli organiseerden NBA en NOREA een webinar over deze nieuwe versie van het model. Kijk het webinar terug op het YouTube-kanaal van de NBA: https://youtu.be/IQBOOVBO0is
Geschreven door
Natascha Gutterswijk
Webmaster en content manager
