Lees meer

Wat zijn de CIS Controls?

De CIS Controls zijn een set van beveiligingscontroles en -maatregelen die zijn ontwikkeld door het Center for Internet Security (CIS), een non-profit organisatie die zich richt op cyber security. De CIS Controls zijn bedoeld als een praktische en effectieve manier om organisaties te helpen hun systemen en gegevens te beschermen tegen cyberaanvallen.

De CIS Controls zijn opgedeeld in drie niveaus, waarbij elk niveau bestaat uit een aantal specifieke controles en maatregelen:

  • Level 1: Basic CIS Controls - deze controles zijn bedoeld om de basisbeveiliging van een organisatie te verbeteren en om te helpen bij het beperken van de meest voorkomende cyberdreigingen;
  • Level 2: Foundational CIS Controls - deze controles zijn gericht op het versterken van de beveiliging van organisaties door middel van meer geavanceerde technische controles en procedures;
  • Level 3: Organizational CIS Controls - deze controles zijn gericht op het beheren van de beveiliging van een organisatie op een meer strategisch niveau, inclusief de betrokkenheid van het senior management en het opstellen van beveiligingsplannen op lange termijn.

Elke controle in de CIS Controls is ontworpen om specifieke risico's en bedreigingen aan te pakken en om een goede basis te bieden voor de beveiliging van systemen en gegevens. Door de CIS Controls te implementeren, kunnen organisaties hun beveiligingspostuur verbeteren en hun vermogen om cyberaanvallen af te weren vergroten.

Wat zijn de Level 1: Basic CIS Controls?

De Level 1: Basic CIS Controls zijn de eerste laag van beveiligingscontroles in de CIS Controls en bevatten de basismaatregelen die organisaties kunnen nemen om hun beveiliging te verbeteren. Hieronder volgen de 18 specifieke controles van de Level 1: Basic CIS Controls:

  1. Inventariseren van hardware en software
  2. Inventariseren van geautoriseerde en niet-geautoriseerde software
  3. Beveiligen van configuraties van hardware en software
  4. Continu bijwerken van software
  5. Beveiligen van netwerkconfiguraties
  6. Beheersen van de toegang tot systeembronnen en gegevens
  7. Continu monitoren en analyseren van logbestanden
  8. Beveiligen van de configuratie van mobiele apparaten en apparaten op afstand
  9. Beveiligen van gegevens op rust en in beweging
  10. Beveiligen van e-mail
  11. Beveiligen van webbrowsers
  12. Beveiligen van accounts van gebruikers en beheerders
  13. Beperken van toegang tot netwerken en systemen vanaf ongeautoriseerde netwerken
  14. Beheersen van het gebruik van uitneembare media
  15. Beveiligen van draadloze toegangspunten
  16. Beveiligen van systeemprocessen
  17. Beveiligen van toegang tot veilige configuratiehulpprogramma's
  18. Beveiligen van toegang tot beveiligingsbewakingshulpprogramma's

Deze controls bieden organisaties een solide basis voor het verbeteren van hun beveiligingspostuur en kunnen hen helpen om de meest voorkomende cyberdreigingen te beperken en te voorkomen. Het implementeren van deze controles is een belangrijke eerste stap voor organisaties die hun beveiliging willen verbeteren.

Wat zijn de Level 2: Foundational CIS Controls?

De Level 2: Foundational CIS Controls zijn de tweede laag van beveiligingscontroles in de CIS Controls en bevatten meer geavanceerde technische controles en procedures. Hieronder volgen de 8 specifieke controles van de Level 2: Foundational CIS Controls:

  1. Beveiligen van beheerdersaccounts
  2. Continue evaluatie van cyberdreigingen en kwetsbaarheden
  3. Beheersen van de configuratie van beveiligingshulpprogramma's
  4. Beveiligen van netwerkverkeer
  5. Beveiligen van gegevensinvoer en -uitvoer
  6. Beheersen van de gebruikte applicaties
  7. Beveiligen van eindpunten
  8. Beheersen van de gegevens van gebruikers

Deze controls zijn gericht op het versterken van de beveiliging van organisaties door het implementeren van meer geavanceerde technische controles en procedures. Door deze controles te implementeren, kunnen organisaties hun beveiligingspostuur verder verbeteren en hun vermogen om cyberaanvallen af te weren vergroten.

De Level 2: Foundational CIS Controls bouwen voort op de Basic CIS Controls en vormen een belangrijke stap voor organisaties die hun beveiliging verder willen versterken en hun risico's willen verminderen.

Wat zijn de Level 3: Organizational CIS Controls?

De Level 3: Organizational CIS Controls zijn de derde en laatste laag van beveiligingscontroles in de CIS Controls en zijn gericht op het beheren van de beveiliging van een organisatie op een meer strategisch niveau. Hieronder volgen de 5 specifieke controles van de Level 3: Organizational CIS Controls:

  • Beheersen van de beveiligingsstrategie van de organisatie
  • Beheren van de beveiligingslevenscyclus van systemen en gegevens
  • Beheersen van de beveiligingscultuur en het bewustzijn van gebruikers
  • Beheren van de beveiliging van externe partijen en partners
  • Beheren van de incidentrespons en het herstel na incidenten

Deze controls zijn gericht op het beheren van de beveiliging van een organisatie op een meer strategisch niveau, inclusief de betrokkenheid van het senior management en het opstellen van beveiligingsplannen op lange termijn. Door deze controles te implementeren, kunnen organisaties hun beveiligingspostuur effectief beheren en hun risico's verminderen.

De Level 3: Organizational CIS Controls zijn bedoeld als aanvulling op de Basic en Foundational CIS Controls en vormen de laatste stap voor organisaties die hun beveiliging willen verbeteren en hun risico's willen beheren op een meer strategisch niveau.

Waarom de CIS Controls gebruiken?

Er zijn verschillende redenen waarom organisaties de CIS Controls zouden moeten overwegen als een raamwerk voor hun beveiligingsprogramma's:

  • De CIS Controls bieden een uitgebreid framework: De CIS Controls bevatten 20 beveiligingscontroles die een breed scala aan beveiligingsgebieden bestrijken, waaronder endpointbeveiliging, netwerkbeveiliging, identiteits- en toegangsbeheer, data- en applicatiebeveiliging, enzovoort. Dit maakt het een zeer uitgebreid raamwerk dat organisaties kan helpen hun beveiligingspostuur te verbeteren.
  • De CIS Controls zijn ontworpen om effectief te zijn: De CIS Controls zijn ontworpen om de meest voorkomende en verwoestende aanvallen tegen te gaan. De controles zijn gebaseerd op real-world ervaringen van beveiligingsprofessionals en helpen organisaties bij het identificeren en aanpakken van de belangrijkste beveiligingsrisico's.
  • De CIS Controls zijn aanpasbaar: De CIS Controls zijn zo ontworpen dat ze aanpasbaar zijn aan de specifieke behoeften van een organisatie. Organisaties kunnen de controles aanpassen en implementeren op basis van hun eigen risicobeoordeling en beveiligingsbehoeften.
  • De CIS Controls zijn kosteneffectief: De CIS Controls bieden organisaties een kosteneffectieve manier om hun beveiligingspostuur te verbeteren. Organisaties kunnen de controles op maat maken op basis van hun eigen behoeften en prioriteiten, waardoor ze hun beveiligingsuitgaven kunnen optimaliseren.
  • De CIS Controls zijn up-to-date: De CIS Controls worden regelmatig bijgewerkt om te blijven voldoen aan de veranderende beveiligingsbehoeften van organisaties. Dit zorgt ervoor dat de CIS Controls relevant blijven en blijven voldoen aan de nieuwste beveiligingsstandaarden en -praktijken.

Zijn de CIS Controls wettelijk verplicht?

De CIS Controls zijn geen wettelijk verplichte standaard. Het is aan organisaties om te beslissen welke beveiligingscontroles en -maatregelen zij willen implementeren om hun systemen en gegevens te beschermen.

Er zijn echter regelgevingen en wetten op het gebied van cybersecurity die vereisen dat organisaties bepaalde beveiligingsmaatregelen nemen om de persoonsgegevens van hun klanten en werknemers te beschermen. Een voorbeeld hiervan is de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie, die vereist dat organisaties passende technische en organisatorische maatregelen nemen om de persoonsgegevens van hun klanten en werknemers te beschermen.

Hoewel de CIS Controls niet wettelijk verplicht zijn, worden ze wereldwijd erkend als een belangrijke set van best practices voor cybersecurity. Het implementeren van de CIS Controls kan organisaties helpen om aan te tonen dat zij voldoen aan best practices op het gebied van cybersecurity en kan hun reputatie verbeteren bij klanten, partners en andere belanghebbenden.

Is CIS een certificering?

Het Center for Internet Security (CIS) biedt geen certificeringen aan. Het is een non-profitorganisatie die zich richt op het ontwikkelen van best practices en standaarden op het gebied van cybersecurity.

De CIS Controls en andere standaarden die door CIS worden ontwikkeld, worden echter wel gebruikt als referentiekaders in veel beveiligingscertificeringen en -programma's. Organisaties kunnen bijvoorbeeld de CIS Controls gebruiken als basis voor het implementeren van beveiligingsmaatregelen en -controles en deze vervolgens laten auditen om te voldoen aan certificeringsvereisten zoals ISO 27001, NIST SP 800-53, SOC 2 en anderen.

Hoewel CIS geen certificeringsprogramma's aanbiedt, kunnen organisaties die de CIS Controls implementeren en andere best practices van CIS volgen, hun beveiligingspostuur verbeteren en zich beter voorbereiden op beveiligingsaudits en certificeringen.

Wat kost het om de CIS Controls te implementeren?

De kosten van het implementeren van de CIS Controls kunnen sterk variëren, afhankelijk van de omvang en complexiteit van de organisatie en de huidige staat van hun beveiligingspostuur. Enkele factoren die de kosten kunnen beïnvloeden zijn:

  • Het aantal systemen en apparaten dat moet worden beveiligd
  • Het type en niveau van de beveiligingscontroles en -maatregelen die moeten worden geïmplementeerd
  • De hoeveelheid tijd en middelen die nodig zijn om de controles te implementeren en te onderhouden
  • De kosten van eventuele externe consultants of dienstverleners die nodig zijn om de implementatie te ondersteunen
  • Het is belangrijk om te onthouden dat de implementatie van de CIS Controls een investering is in de beveiliging van de organisatie en de bescherming van haar gegevens en systemen. Hoewel de kosten voor de implementatie kunnen variëren, kunnen de voordelen op lange termijn, zoals het verminderen van de risico's op datalekken en cyberaanvallen, opwegen tegen de initiële kosten.

Organisaties kunnen gebruikmaken van de gratis CIS Controls-download en de beschikbare documentatie, training en ondersteuning om de kosten te verminderen en hun implementatie van de CIS Controls te optimaliseren.

Wat is het verschil tussen de CIS Controls en de ISO 27001 standaard?

De CIS Controls en de ISO 27001 standaard zijn beide gericht op het verbeteren van de beveiliging van informatie en IT-systemen, maar er zijn enkele belangrijke verschillen tussen de twee.

Ten eerste is de CIS Controls ontwikkeld door het Center for Internet Security (CIS), een non-profitorganisatie die zich richt op het ontwikkelen van best practices en standaarden op het gebied van cybersecurity, terwijl de ISO 27001 een internationale standaard is die wordt beheerd door de International Organization for Standardization (ISO).

Ten tweede is de CIS Controls gericht op het bieden van een praktisch raamwerk van beveiligingscontroles en -maatregelen die organisaties kunnen implementeren om hun beveiliging te verbeteren en cyberdreigingen te beperken, terwijl de ISO 27001 een set van specifieke vereisten is voor een Information Security Management System (ISMS), dat een systematische en gestructureerde aanpak biedt voor het beheren van informatiebeveiliging.

Ten derde is de CIS Controls een vrijwillige set van richtlijnen en best practices, terwijl de ISO 27001 een certificeerbare standaard is die kan worden gebruikt als bewijs van naleving van informatiebeveiligingsnormen.

Kortom, de CIS Controls en de ISO 27001 zijn beide nuttige hulpmiddelen voor het verbeteren van de beveiliging van informatie en IT-systemen, maar ze verschillen in hun focus, doelstellingen en toepassing. Organisaties kunnen ervoor kiezen om beide te gebruiken als onderdeel van hun algehele beveiligingsstrategie.

Wat is de exacte en volledige checklist van de CIS Controls?

Hieronder vind je de volledige lijst van de 20 CIS Controls (editie 8) die zijn ontwikkeld door het Center for Internet Security (CIS):

  1. Inventariseren en beheren van actieve en verouderde hardware- en software-inventaris
  2. Inventariseren en beheren van geautoriseerde en niet-geautoriseerde software
  3. Actueel houden van beveiligingssoftware en -systemen
  4. Beveiligen van configuratie-instellingen van hardware en software
  5. Beperken van netwerkpoorten, -protocollen en -services tot wat vereist is
  6. Beheersen van de toegang tot systeembronnen en -gegevens
  7. Actief monitoren en analyseren van logbestanden
  8. Beveiligen van de configuratie van mobiele apparaten en afstandsbediening
  9. Beveiligen van gegevens op rust, in beweging en in gebruik
  10. Beveiligen van e-mail- en webbrowsers
  11. Beveiligen van gebruikersaccounts en -toegang
  12. Beperken van de toegang tot netwerken en systemen tot alleen geautoriseerde netwerken en systemen
  13. Beheersen van het gebruik van verwijderbare media
  14. Beveiligen van draadloze toegangspunten
  15. Beveiligen van systeemprocessen
  16. Beveiligen van toegang tot veilige configuratiehulpprogramma's
  17. Beveiligen van toegang tot beveiligingsbewakingshulpprogramma's
  18. Continu evalueren van de beveiligingsstatus van systemen en netwerken
  19. Beheersen van de veilige configuratie van netwerkapparatuur
  20. Beheren van incidenten, inclusief preventie, detectie, respons en herstel

Deze controls zijn onderverdeeld in drie niveaus: Basic, Foundational en Organizational, afhankelijk van de complexiteit en het strategische belang van de controles. De CIS Controls zijn bedoeld om organisaties te helpen hun beveiligingspostuur te verbeteren en te beschermen tegen cyberdreigingen.

Hoe lang duurt het om de CIS Controls te implementeren?

De tijd die nodig is om de CIS Controls te implementeren varieert afhankelijk van de grootte en complexiteit van de organisatie, de huidige beveiligingspostuur en andere factoren zoals de beschikbare middelen en het personeel.

De implementatie van de CIS Controls kan enkele maanden tot enkele jaren duren, afhankelijk van de omvang en complexiteit van het project. Het implementeren van de eerste controles uit Level 1, zoals antivirus en patch management, kan relatief snel worden uitgevoerd, terwijl de implementatie van meer complexe controles, zoals penetratietesten of het instellen van een SIEM-systeem, meer tijd kan kosten.

Het is belangrijk om te onthouden dat de implementatie van de CIS Controls een continu proces is en dat organisaties hun beveiligingsprogramma's regelmatig moeten evalueren en bijwerken om te blijven voldoen aan de veranderende beveiligingsbehoeften van hun organisatie.

Het Center for Internet Security (CIS) biedt gratis hulpmiddelen en documentatie aan om organisaties te helpen bij het implementeren van de CIS Controls. Het kan nuttig zijn om deze bronnen te raadplegen en een realistisch tijdschema op te stellen op basis van de specifieke behoeften en prioriteiten van de organisatie.

Dekken de CIS Controls alle vereisten uit de Algemene Verordening Gegevensbescherming (AVG/GDPR) af?

De CIS Controls zijn ontworpen om organisaties te helpen hun beveiliging te verbeteren en te beschermen tegen een breed scala aan cyberdreigingen, maar ze zijn niet specifiek ontworpen om te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

De AVG/GDPR stelt specifieke eisen aan organisaties met betrekking tot de verwerking van persoonsgegevens van EU-burgers, waaronder eisen met betrekking tot gegevensbeveiliging, dataretentie, privacyrechten van betrokkenen en het melden van datalekken.

Hoewel veel van de CIS Controls relevant kunnen zijn voor het naleven van de AVG/GDPR-vereisten, moeten organisaties die gegevens van EU-burgers verwerken, ervoor zorgen dat hun beveiligings- en privacyprogramma's ook voldoen aan de specifieke eisen van de AVG/GDPR. Dit kan onder meer het implementeren van technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens te beschermen, het aanstellen van een functionaris voor gegevensbescherming en het implementeren van processen voor het behandelen van verzoeken van betrokkenen en het melden van datalekken omvatten.

Het is dus belangrijk dat organisaties de vereisten van de AVG/GDPR zorgvuldig bestuderen en ervoor zorgen dat ze voldoen aan de specifieke eisen van deze wetgeving, in aanvulling op de implementatie van de CIS Controls om hun beveiligingspostuur te verbeteren.

Worden de CIS Controls geüpdatet?

Ja, de CIS Controls worden regelmatig bijgewerkt en aangepast om rekening te houden met nieuwe technologieën en cyberdreigingen. Het Center for Internet Security (CIS) onderhoudt de CIS Controls en publiceert updates en revisies om ervoor te zorgen dat ze relevant blijven en blijven voldoen aan de veranderende beveiligingsbehoeften van organisaties.

De meest recente editie van de CIS Controls (editie 8) werd gepubliceerd in 2020 en bevatte een aantal belangrijke updates ten opzichte van de vorige editie, waaronder nieuwe controls gericht op de bescherming van cloudinfrastructuur en mobiele apparaten.

Organisaties die de CIS Controls implementeren, moeten zich bewust zijn van de meest recente versie van de CIS Controls en ervoor zorgen dat hun beveiligingsprogramma's up-to-date blijven en rekening houden met de laatste ontwikkelingen op het gebied van cybersecurity. Het is belangrijk om de website van CIS te raadplegen voor de meest recente versie van de CIS Controls en andere updates en informatie over het implementeren van de controles.

Hoe voldoe je aan de CIS Controls, wat zijn de eerste stappen?

Het implementeren van de CIS Controls kan een complex proces zijn, maar hier zijn enkele eerste stappen om te beginnen:

  1. Creëer bewustzijn en steun: Zorg ervoor dat het senior management en andere belanghebbenden op de hoogte zijn van de CIS Controls en het belang van het implementeren van de controles om de beveiliging van de organisatie te verbeteren.
  2. Identificeer uw belangrijkste assets en risico's: Identificeer de belangrijkste systemen, gegevens en processen van uw organisatie en bepaal de belangrijkste risico's die daarmee gepaard gaan. Dit zal u helpen bij het prioriteren van de controles die u moet implementeren.
  3. Selecteer de relevante CIS Controls: Kies de CIS Controls die het meest relevant zijn voor uw organisatie en focus op het implementeren van die controles die de grootste impact hebben op uw beveiligingspostuur.
  4. Stel een projectteam samen: Stel een team samen om de implementatie van de CIS Controls te leiden en zorg ervoor dat er voldoende middelen en tijd beschikbaar zijn om de controles te implementeren.
  5. Implementeer de geselecteerde CIS Controls: Implementeer de geselecteerde CIS Controls en zorg ervoor dat de beveiligingscontroles en -maatregelen op de juiste manier worden geconfigureerd en onderhouden.
  6. Bewaak en beoordeel de implementatie: Bewaak de implementatie van de CIS Controls en beoordeel regelmatig de effectiviteit van de controles. Pas de controles indien nodig aan om ervoor te zorgen dat ze blijven voldoen aan de veranderende beveiligingsbehoeften van uw organisatie.

Het is belangrijk om te onthouden dat de implementatie van de CIS Controls een iteratief proces is en dat het continu moet worden bijgewerkt en aangepast om te blijven voldoen aan de veranderende beveiligingsbehoeften van uw organisatie. Het Center for Internet Security (CIS) biedt gratis hulpmiddelen en documentatie aan om u te helpen bij de implementatie van de CIS Controls.

Hoe kan je controleren of een organisatie of bedrijf voldoet aan de CIS Controls?

Er zijn verschillende manieren om te controleren of een organisatie voldoet aan de CIS Controls. Hier zijn enkele suggesties:

  1. Gebruik de CIS Controls zelfevaluatietool: Het Center for Internet Security (CIS) biedt een gratis zelfevaluatietool aan die organisaties kunnen gebruiken om te beoordelen hoe goed ze voldoen aan de CIS Controls. De tool biedt een score voor elk van de 20 CIS Controls en stelt prioriteiten voor welke controles als eerste moeten worden aangepakt.
  2. Voer een audit uit: Een onafhankelijke audit van de beveiligingscontroles van een organisatie kan helpen om te bepalen of zij voldoen aan de CIS Controls. Dit kan worden gedaan door interne auditors of door externe auditors die gespecialiseerd zijn in informatiebeveiliging.
  3. Vraag om certificering: Hoewel er geen CIS Controls-certificering bestaat, kan een organisatie ervoor kiezen om te voldoen aan een andere beveiligingsstandaard die de CIS Controls omvat, zoals ISO 27001. Een certificering door een onafhankelijke derde partij kan een manier zijn om aan te tonen dat de organisatie voldoet aan de vereiste beveiligingsstandaarden.
  4. Vraag om een beveiligingsbeoordeling: Bedrijven en organisaties kunnen vaak worden onderworpen aan beveiligingsbeoordelingen als onderdeel van contracten of samenwerkingen met derde partijen. Deze beoordelingen kunnen worden gebruikt om de beveiligingscontroles van een organisatie te beoordelen en te bepalen of deze voldoen aan de CIS Controls.

Het is belangrijk om te onthouden dat naleving van de CIS Controls een continu proces is en dat organisaties regelmatig hun beveiligingsprogramma's moeten beoordelen en updaten om te voldoen aan de veranderende beveiligingsbehoeften van hun organisatie.

Is de beveiliging van organisatie gegarandeerd als deze voldoet aan de CIS Controls?

Nee, het voldoen aan de CIS Controls garandeert niet dat de beveiliging van een organisatie 100% gegarandeerd is. De CIS Controls bieden een raamwerk van beveiligingscontroles en -maatregelen die organisaties kunnen implementeren om hun beveiliging te verbeteren en te beschermen tegen een breed scala aan cyberdreigingen, maar er is geen enkele controle die een garantie biedt tegen alle mogelijke bedreigingen.

Het is belangrijk om te begrijpen dat beveiliging een continu proces is en dat organisaties voortdurend hun beveiligingsprogramma's moeten bijwerken en evalueren om te blijven voldoen aan de veranderende beveiligingsbehoeften van hun organisatie. Bovendien kunnen de beveiligingscontroles en -maatregelen van een organisatie worden omzeild door geavanceerde aanvallen of menselijke fouten.

Hoewel het implementeren van de CIS Controls een belangrijke stap kan zijn in het verbeteren van de beveiliging van een organisatie, is het geen garantie voor een perfecte beveiliging. Het is belangrijk om een gelaagde beveiligingsaanpak te hanteren die bestaat uit technische, organisatorische en menselijke aspecten om de kans op een succesvolle aanval te minimaliseren. Organisaties moeten regelmatig hun beveiligingsprogramma's evalueren, trainen en testen om de effectiviteit te waarborgen.

Kan je de beveiliging van een organisatie ook optimaliseren zonder de CIS Controls?

Ja, het is mogelijk om de beveiliging van een organisatie te optimaliseren zonder de CIS Controls te gebruiken. De CIS Controls zijn ontworpen om organisaties te helpen hun beveiliging te verbeteren en te beschermen tegen een breed scala aan cyberdreigingen, maar er zijn ook andere beveiligingsraamwerken en -standaarden beschikbaar die organisaties kunnen gebruiken om hun beveiligingsprogramma's te optimaliseren.

Enkele van de andere beveiligingsraamwerken en -standaarden zijn bijvoorbeeld:

  • ISO 27001: Dit is een internationale standaard voor informatiebeveiliging. Het biedt een framework van best practices voor het beheren van informatiebeveiligingsrisico's.
  • NIST Cybersecurity Framework: Dit is een set van beveiligingscontroles, standaarden en richtlijnen die zijn ontworpen om organisaties te helpen hun beveiligingsprogramma's te verbeteren en te beschermen tegen cyberdreigingen.
  • SANS Critical Security Controls: Dit is een set van 20 beveiligingscontroles die zijn ontworpen om organisaties te helpen hun beveiligingspostuur te verbeteren en te beschermen tegen cyberaanvallen.

Het kiezen van een beveiligingsraamwerk of -standaard is afhankelijk van de specifieke behoeften en doelstellingen van de organisatie. Het is belangrijk om te begrijpen dat beveiliging een continu proces is en dat organisaties voortdurend hun beveiligingsprogramma's moeten bijwerken en evalueren om te blijven voldoen aan de veranderende beveiligingsbehoeften van hun organisatie.

TT3P biedt haar opdrachtgevers cyber risico inventarisaties en interne audits aan. Zo is het dus mogelijk om zonder certificering toch gestructureerd aan informatiebeveiliging te werken. Een absolute ‘must’ voor organisaties in deze tijd.