Update van het NBA-LIO / NOREA volwassenheidsmodel informatiebeveiliging
Eind 2023 heeft een werkgroep van NBA-LIO, samen met de Nederlandse Orde van Register EDP-Auditors (NOREA) en verschillende sectoren, het volwassenheidsmodel geactualiseerd. De herziening is bedoeld om het model te verfijnen en actualiseren, zodat organisaties de informatiebeveiliging beter kunnen meten, bepalen en verbeteren.
Herziene normen
De update introduceert drie nieuwe normen die essentieel zijn voor het aanpakken van moderne en toekomstige cyberdreigingen, en herziet drie bestaande normen. De nieuwe normen vallen binnen de domeinen Governance, Organisatie, en Personeelsbeheer.
- De eerste nieuwe norm richt zich op de kwaliteit en het type informatie die het management gebruikt voor het sturen van de informatiebeveiligingsstrategie.
- De tweede nieuwe norm behandelt het mandaat en de bevoegdheden, en hoe deze formeel zijn vastgelegd.
- De derde nieuwe norm gaat over de processen rondom indiensttreding.
Praktijkervaring en feedback
Deze update is niet alleen gebaseerd op theoretische modellen, maar ook op waardevolle feedback en praktijkervaringen, onder andere uit de onderwijssector. Tientallen externe audits en jarenlange ervaring met het gebruik van het model hebben bijgedragen aan deze verbetering. Deze praktijkgerichte input was cruciaal om het model nog beter af te stemmen op de realiteit van hedendaagse informatiebeveiliging.
Beheersmaatregelen
Er is kritisch gekeken naar de beheersmaatregelen binnen elk volwassenheidsniveau. Hierdoor zijn er beheersmaatregelen toegevoegd, verplaatst naar een ander volwassenheidsniveau of verwijderd uit het model.
Verbeterde leesbaarheid
Naast inhoudelijke updates heeft de werkgroep ook tekstuele wijzigingen doorgevoerd om consistentie met andere raamwerken te waarborgen en de leesbaarheid van het model te verbeteren.
Aanbeveling
De werkgroep raadt alle organisaties aan om het bijgewerkte toetsingskader te raadplegen en te integreren in hun informatiebeveiligingsstrategieën, zodat ze zich beter kunnen verdedigen tegen cyberdreigingen en de bescherming van informatie kunnen waarborgen.