Begrippenlijst
A
Asset Een middel dat waarde heeft voor de organisatie. Kan zijn: informatie, software, hardware, diensten, mensen, fysieke locaties.
Audit Systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijs en het objectief evalueren daarvan.
Authenticatie Het verifiëren van de geclaimde identiteit van een gebruiker, proces of apparaat.
Autorisatie Het verlenen van rechten, inclusief toegang op basis van toegangsrechten.
Availability (Beschikbaarheid) De eigenschap dat informatie toegankelijk en bruikbaar is op verzoek van een geautoriseerde entiteit.
B
Backup Een kopie van gegevens gemaakt voor hersteldoeleinden.
Bedrijfscontinuïteit Het vermogen van een organisatie om producten en diensten te blijven leveren binnen acceptabele tijd na een verstoring.
Beveiligingsincident Zie: Informatiebeveiligingsincident
BIA (Business Impact Analysis) Proces om de impact van verstoringen op bedrijfsactiviteiten te analyseren.
C
CIA-triad De drie kernprincipes van informatiebeveiliging: Confidentiality (Vertrouwelijkheid), Integrity (Integriteit), Availability (Beschikbaarheid).
Classificatie Het toekennen van een beveiligingsniveau aan informatie op basis van gevoeligheid.
Compliance Het voldoen aan van toepassing zijnde wet- en regelgeving, contractuele verplichtingen en beleid.
Confidentiality (Vertrouwelijkheid) De eigenschap dat informatie niet beschikbaar wordt gesteld of onthuld aan onbevoegde personen, entiteiten of processen.
Control Maatregel die risico’s wijzigt (beperkt, elimineert of beheert).
Correctieve actie Actie om de oorzaak van een non-conformiteit weg te nemen en herhaling te voorkomen.
D
Data Breach Zie: Datalek
Datalek Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.
Dreiging Mogelijke oorzaak van een ongewenst incident dat schade kan veroorzaken aan een systeem of organisatie.
E
Encryptie Het proces van het coderen van informatie zodat alleen geautoriseerde partijen deze kunnen lezen.
I
Incident Zie: Informatiebeveiligingsincident
Informatiebeveiligingsincident Eén of meerdere ongewenste of onverwachte informatiebeveiligingsgebeurtenissen die een significante kans hebben op verstoring van bedrijfsactiviteiten en bedreiging van de informatiebeveiliging.
Integriteit De eigenschap van nauwkeurigheid en volledigheid van informatie.
ISMS (Information Security Management System) Geheel van beleid, procedures, richtlijnen en bijbehorende middelen en activiteiten, gezamenlijk beheerd door een organisatie, om haar informatie-assets te beschermen.
K
Kwetsbaarheid Zwakte van een asset of control die door één of meer dreigingen kan worden uitgebuit.
M
Maatregel Zie: Control
Management Review Periodieke beoordeling van het ISMS door het topmanagement om de geschiktheid, adequaatheid en effectiviteit te waarborgen.
N
NEN7510 Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001.
Non-conformiteit Het niet voldoen aan een eis.
O
Organisatiecontext Interne en externe issues die relevant zijn voor het doel van de organisatie en die invloed hebben op het vermogen om de beoogde resultaten van het ISMS te behalen.
P
PDCA-cyclus Plan-Do-Check-Act cyclus voor continue verbetering.
Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
R
Restrisico Het risico dat overblijft na het implementeren van maatregelen.
Risico Effect van onzekerheid op doelstellingen. Bij informatiebeveiliging: de combinatie van de kans op een dreiging die een kwetsbaarheid uitbuit en de impact daarvan.
Risicoanalyse Proces om de aard van risico te begrijpen en het risiconiveau te bepalen.
Risicobehandeling Proces om risico’s te modificeren door maatregelen te selecteren en implementeren.
Risicobeoordeling Het gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie.
Risicoacceptatie Besluit om een risico te accepteren zonder verdere behandeling.
RTO (Recovery Time Objective) De maximaal toelaatbare tijd om een bedrijfsproces te herstellen na een verstoring.
RPO (Recovery Point Objective) Het maximaal toelaatbare dataverlies gemeten in tijd.
S
Scope De afbakening van het ISMS: welke delen van de organisatie, processen, systemen en locaties vallen onder het ISMS.
SOA (Statement of Applicability) Gedocumenteerde verklaring die de controls beschrijft die relevant en van toepassing zijn op het ISMS.
Stakeholder Zie: Belanghebbende
Belanghebbende Persoon of organisatie die van invloed kan zijn op, beïnvloed kan worden door, of zich beïnvloed voelt door een beslissing of activiteit.
T
Toegangscontrole Middelen om te verzekeren dat toegang tot assets geautoriseerd en beperkt is op basis van bedrijfs- en beveiligingseisen.
Two-factor authentication (2FA) Authenticatie waarbij twee verschillende factoren worden gebruikt (iets wat je weet, hebt, of bent).
V
Vertrouwelijkheid Zie: Confidentiality
Vulnerability Zie: Kwetsbaarheid
Z
Zorgdata Gegevens gerelateerd aan de gezondheid van personen, inclusief medische dossiers, behandelgegevens en andere patiëntinformatie.
Afkortingen
| Afkorting | Betekenis |
|---|---|
| AVG | Algemene Verordening Gegevensbescherming |
| BIA | Business Impact Analysis |
| CISO | Chief Information Security Officer |
| CIA | Confidentiality, Integrity, Availability |
| GDPR | General Data Protection Regulation |
| ISMS | Information Security Management System |
| ISO | International Organization for Standardization |
| MFA | Multi-Factor Authentication |
| NEN | Nederlands Normalisatie-instituut |
| PDCA | Plan-Do-Check-Act |
| RPO | Recovery Point Objective |
| RTO | Recovery Time Objective |
| SOA | Statement of Applicability |
| SSO | Single Sign-On |
Bronnen: ISO 27000:2018, NEN7510:2024, AVG