Deze woordenlijst dient als referentiegids voor alle terminologie rondom Infinity Pulse. Infinity Pulse vormt de basis onder de informatiebeveiliging van organisaties. Het is een Security Management workflow platform gecombineerd met professionele dienstverlening en advisering, gebaseerd op een uitgebreid security maatregelen framework Infinity Security Levels (ISL). De verzamelde vaktermen en definities helpen je om inzicht te krijgen in de concepten en principes die van belang zijn binnen informatiebeveiliging, compliance en auditing.
In een wereld waarin digitale dreigingen steeds complexer worden, is een duidelijk begrip van informatiebeveiligingsterminologie essentieel voor effectieve communicatie over beveiligingsmaatregelen. Of je nu een beveiligingsprofessional, auditor, manager of een andere belanghebbende bent, deze woordenlijst biedt een gemeenschappelijke taal om over informatiebeveiligingsconcepten te spreken.
De termen in deze woordenlijst omvatten:
- Algemene informatiebeveiligingsconcepten
- Nederlandse en internationale normen en standaarden
- Audit- en compliance-terminologie
- Risicomanagementsconcepten
- Technische beveiligingsterminologie
We nodigen je uit om deze woordenlijst te gebruiken als referentie bij het implementeren, beheren of beoordelen van informatiebeveiliging binnen je organisatie.
A
Audit: Een systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van bewijs en het objectief evalueren daarvan om te bepalen in welke mate aan auditcriteria wordt voldaan.
Audit trail: Een chronologisch vastgelegde reeks van activiteiten binnen een systeem, die kunnen worden gebruikt voor het reconstrueren en onderzoeken van eerdere gebeurtenissen.
Auditprogramma: Een set van één of meer audits die voor een specifieke tijdsperiode zijn gepland en gericht zijn op een specifiek doel.
Auditor: Een persoon die bevoegd is om een audit uit te voeren, vaak met specifieke certificeringen zoals RE (Register EDP-Auditor), CISA (Certified Information Systems Auditor) of ISO 27001 Lead Auditor.
Authenticatie: Het proces waarbij de identiteit van een gebruiker of systeem wordt geverifieerd, meestal door middel van inloggegevens zoals gebruikersnaam en wachtwoord.
Autorisatie: Het proces van het toekennen van rechten en toegang aan geauthenticeerde gebruikers, op basis van hun rol en verantwoordelijkheden.
AVG (Algemene Verordening Gegevensbescherming): De Nederlandse implementatie van de GDPR, de Europese privacywetgeving die voorschrijft hoe organisaties moeten omgaan met persoonsgegevens.
B
BIO (Baseline Informatiebeveiliging Overheid): De Nederlandse standaard voor informatiebeveiliging binnen de overheid, gebaseerd op ISO 27001/27002.
BIR (Baseline Informatiebeveiliging Rijksdienst): Voorganger van de BIO, specifiek gericht op informatiebeveiliging binnen rijksoverheidsdiensten.
BIG (Baseline Informatiebeveiliging Gemeenten): Voorganger van de BIO, specifiek gericht op informatiebeveiliging binnen gemeenten.
Back-up: Een kopie van gegevens die wordt gemaakt om te kunnen herstellen na dataverlies.
Bedrijfscontinuïteitsplan: Een plan dat beschrijft hoe een organisatie kan blijven functioneren tijdens en na een verstoring of incident.
C
CIA-driehoek: Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid); de drie kernprincipes van informatiebeveiliging.
Cloud security: Beveiligingsmaatregelen specifiek gericht op cloudomgevingen en cloudgebaseerde diensten.
Compliance audit: Een audit gericht op het vaststellen of een organisatie voldoet aan interne of externe regels, beleid, wetgev ing, voorschriften of normen.
Cybersecurity: Bescherming van computersystemen, netwerken en data tegen digitale aanvallen.
Certificering: Formele erkenning door een onafhankelijke partij dat een organisatie voldoet aan specifieke normen of standaarden.
Corrigerende maatregel: Actie ondernomen om de oorzaak van een gedetecteerde non-conformiteit of ongewenste situatie weg te nemen, vaak als gevolg van auditbevindingen.
D
Data classificatie: Het categoriseren van data op basis van gevoeligheid en waarde voor de organisatie.
Datalek: Een incident waarbij persoonsgegevens of andere gevoelige informatie onbedoeld vrijkomen of toegankelijk worden voor onbevoegden.
Dreigingsanalyse: Een systematische beoordeling van potentiële dreigingen voor informatiesystemen.
Disaster Recovery Plan (DRP): Een plan dat beschrijft hoe IT-systemen kunnen worden hersteld na een calamiteit.
E
Encryptie: Het versleutelen van gegevens zodat deze alleen kunnen worden ontcijferd en gelezen door geautoriseerde personen.
Endpoint security: Beveiliging van eindpunten zoals computers, laptops en mobiele apparaten.
ENSIA (European Union Agency for Cybersecurity): Europees agentschap voor cyber security.
F
Firewall: Een beveiligingssysteem dat netwerkverkeer filtert op basis van vooraf vastgestelde regels.
Fysieke beveiliging: Maatregelen om fysieke toegang tot informatiesystemen en faciliteiten te beperken.
Factoren van authenticatie: Categorieën voor authenticatiemethoden: iets wat je weet (wachtwoord), iets wat je hebt (token), iets wat je bent (biometrie).
G
GDPR (General Data Protection Regulation): Europese privacywetgeving, in Nederland geïmplementeerd als de AVG.
Gap-analyse: Een methode om het verschil tussen de huidige staat van informatiebeveiliging en de gewenste staat te identificeren.
Gegevensbescherming: Maatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang of misbruik.
I
Incident response: Het gestructureerd reageren op en afhandelen van beveiligingsincidenten.
Informatiebeveiliging: Het beschermen van informatie tegen ongeautoriseerde toegang, gebruik, wijziging of vernietiging.
Interne audit: Een audit uitgevoerd door of namens de organisatie zelf voor interne doeleinden, zoals het beoordelen van de effectiviteit van het managementsysteem.
ISL (Infinity Security Levels): Het hart van alle normeringen in Infinity Pulse; een uitgebreide verzameling van beleid, procedures, richtlijnen en controles die de basis vormen voor het informatiebeveiligingsframework van de organisatie.
ISMS (Information Security Management System): Een systematische benadering voor het beheren van gevoelige informatie en garanderen van de beveiliging ervan.
ISO 27001: Internationale standaard voor informatiebeveiliging die eisen stelt aan een ISMS.
ISO 27002: Internationale standaard die best practices en richtlijnen biedt voor informatiebeveiliging.
ISO 27007: Internationale richtlijn specifiek voor het auditen van ISMS’en.
Integriteit (van data): De eigenschap dat data compleet, accuraat en ongewijzigd is.
K
Kwetsbaarheid: Een zwakke plek in een systeem of proces die misbruikt kan worden door een dreiging.
Kwetsbaarheidsanalyse: Een systematische evaluatie van potentiële zwakke plekken in een systeem of proces.
M
MFA (Multi-Factor Authentication): Authenticatie die twee of meer verificatiemethoden vereist.
Malware: Kwaadaardige software zoals virussen, trojans en ransomware.
N
NEN (Nederlands Normalisatie-instituut): De Nederlandse organisatie die verantwoordelijk is voor het ontwikkelen en beheren van normen.
NEN 7510: Nederlandse norm voor informatiebeveiliging in de zorg.
NCSC (Nationaal Cyber Security Centrum): Nederlandse overheidsorganisatie die bijdraagt aan het vergroten van de digitale weerbaarheid van Nederland.
NOREA: De beroepsorganisatie van IT-auditors in Nederland.
Non-conformiteit: Het niet voldoen aan een eis uit een norm of standaard, vaak vastgesteld tijdens een audit.
Nulmeting: Een eerste meting die als referentiepunt dient voor het meten van voortgang in informatiebeveiliging.
P
Patch management: Het systematisch bijwerken van software om bekende kwetsbaarheden te verhelpen.
Penetratietest: Een geautoriseerde gesimuleerde aanval op een computersysteem om beveiligingskwetsbaarheden te identificeren.
PDCA-cyclus: Plan, Do, Check, Act; een methodiek voor continue verbetering van processen, ook toegepast binnen ISMS.
Phishing: Een vorm van social engineering waarbij gebruikers worden misleid om gevoelige informatie prijs te geven.
Privacy by Design: Een aanpak waarbij privacy wordt meegenomen vanaf het begin van het ontwerp van systemen en processen.
R
Risico: De potentiële impact van een dreiging vermenigvuldigd met de waarschijnlijkheid dat deze zich voordoet.
Risicobeheer: Het identificeren, beoordelen en prioriteren van risico’s gevolgd door het toepassen van middelen om de kans of impact van deze risico’s te minimaliseren.
ROA (Register van Verwerkingsactiviteiten): Een documentatie van alle verwerkingen van persoonsgegevens binnen een organisatie, vereist onder de AVG.
S
Security awareness: Het bewustzijn van medewerkers over informatiebeveiligingsrisico’s en hun rol in het beperken ervan.
Security incident: Een gebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of systemen bedreigt.
Security Operations Center (SOC): Een faciliteit waar specialisten toezicht houden op de beveiligingsstatus van een organisatie.
Single Sign-On (SSO): Een authenticatiemethode waarbij gebruikers met één set inloggegevens toegang krijgen tot meerdere applicaties.
T
Tweefactorauthenticatie (2FA): Een vorm van MFA waarbij twee verschillende soorten authenticatie worden vereist.
Toegangscontrole: Het beheren van wie toegang heeft tot welke informatie en systemen.
Third-party audit: Een audit uitgevoerd door een externe, onafhankelijke organisatie, zoals bij certificeringsaudits.
V
Vertrouwelijkheid: Het principe dat informatie alleen beschikbaar is voor geautoriseerde personen of systemen.
VIR (Voorschrift Informatiebeveiliging Rijksdienst): Voorganger van de BIR, bevat specifieke richtlijnen voor informatiebeveiliging binnen de rijksoverheid.
Vulnerability assessment: Een systematische beoordeling van beveiligingskwetsbaarheden in een systeem of netwerk.
Z
Zero-day vulnerability: Een kwetsbaarheid in software die nog niet bekend is bij de ontwikkelaar en waarvoor nog geen patch beschikbaar is.
Zero Trust: Een beveiligingsmodel waarbij geen enkel apparaat of gebruiker automatisch wordt vertrouwd, zowel binnen als buiten het netwerk.
