Lezing van Frank Jonker tijdens Infosecurity.nl


27-08-2008


IT security blijft de gemoederen bezig houden. Spam, phishing, hackers en steeds geavanceerdere vormen van cybercrime vormen reële bedreigingen voor het bedrijfsleven. CreAim directeur Frank Jonker is gevraagd tijdens het hoofdprogramma op 12 november 2008 een lezing te houden over het belang van (een management systeem voor) informatiebeveiliging bij het uitwisselen van financiële verantwoordingsinformatie. Hierna volgt een korte abstract van de lezing.

 

Per 1 januari 2007 heeft de Nederlandse overheid de infrastructuur gerealiseerd die ondernemingen in staat stelt financiële verantwoordingsinformatie uit te wisselen met overheidsorganisaties. Deze infrastructuur is ook wel bekend als de OTP SOAP 2008. Voor een effectief gebruik van de infrastructuur is toegangscontrole noodzakelijk. De toegangscontrole houdt onder meer in dat met voldoende mate van zekerheid moet kunnen worden vastgesteld van welke partij de uitgewisselde verantwoordingsinformatie afkomstig is en welke partij toegang heeft tot bepaalde informatie. Er moet, kortom, identificatie, authenticatie en autorisatie van gebruikers van de infrastructuur plaatsvinden. Eén van de grondslagen voor een toegangscontrole in de vorm van identificatie, authenticatie en autorisatie is gelegen in wet- en regelgeving. Bij de OTP SOAP 2008 is voorzien in toegangscontrole met behulp van het gebruik van certificaten en de autorisatievoorziening.

In de praktijk levert de onderneming vaak niet zelf de verantwoordingsinformatie aan. In vele gevallen voert een ander, bijvoorbeeld de door de onderneming ingehuurde intermediair deze taak uit. Ditzelfde geldt voor het ontvangen en verwerken van retourinformatie, zoals bijvoorbeeld een belastingaanslag. Volkomen dienstverlening in de verantwoordingsketen, kan dus alleen wanneer wordt voorzien in een controle van de vertegenwoordingsrelatie. Aan deze randvoorwaarde is tegemoetgekomen met de inrichting van een autorisatievoorziening voor de procesinfrastructuur (PI). Met deze voorziening is het mogelijk gemaakt dat een ander dan de onderneming ten behoeve van de onderneming verantwoordingsinformatie inzendt of voor deze onderneming status- en retourinformatie ophaalt. Bij deze autorisatievoorziening speelt CreAim een belangrijke rol. CreAim wisselt verantwoordingsinformatie uit met OTP. Bovendien verleent CreAim Autorisatie Services een aantal essentiële diensten verlenen, waaronder het bijhouden van een autorisatieregister. CreAim Autorisatie Services is sinds begin 2008 volledig operationeel in de PI en maken onderdeel uit van de procestaxonomie. CreAim dient te voldoen aan hoge kwaliteitseisen eisen. Beveiliging krijgt bij CreAim daarom ook uitzonderlijke aandacht.

Bij CreAim gaat informatiebeveiliging verder dan alleen beveiliging van systemen, data, communicatie en toegang. Informatiebeveiliging betekent voor CreAim het treffen en onderhouden van een totaal samenhangend pakket aan maatregelen, ook op het gebied van organisatie, beleid en personeel. Dit alles met als doel om de beschikbaarheid, vertrouwelijkheid en integriteit van de informatievoorziening te waarborgen. CreAim conformeert zich daarom aan de ISO 27001 norm.

De internationale standaard ISO/IEC 27001:2005 (voorheen BS 7799-2:2002) zet de norm voor de inrichting van een Information Security Management System (ISMS). Een ISMS ondersteunt een organisatie in het identificeren, beheren en minimaliseren van de reeks van bedreigingen waar informatie regelmatig aan wordt onderworpen. Het ISMS is ontworpen om de selectie van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarboren.
 
De eisen in deze internationale norm zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard.


Bron: CreAim en www.infosecurity.nl