Security Professionals - ipfw add deny all from eindgebruikers to any

Applicaties om een risicoanalyse (27001) uit te voeren

10-03-2014, 14:40 door denii, 5 reacties
Laatst bijgewerkt: 10-03-2014, 15:46
Hallo allemaal,

Mijn werkgever heeft de wens uitgegeven zich in de toekomst voor de ISO 27001 norm te willen certificeren.

Nou ben ik me alvast aan het inlezen om de nodige voorbereiding te treffen en ben ik op het punt aangekomen dat we een risicoanalyse moeten maken. Omdat we geen grote complexe organisatie zijn en ook zeker geen bank zijn verwacht ik dat een kwantitatieve risicoanalyse voldoende is. Ik wil waarschijnlijk de SPRINT methode inzetten om de RA uit te voeren, maar vraag me af of er goede gratis oplossingen zijn om risicoanalyses mee uit te voeren. Wat zoekwerk levert me tools als PAT en chARMe op, maar deze zijn inmiddels niet meer gratis of EOL.

Mijn vraag is of jullie ervaring hebben met Risk Assessment tools die inzetbaar zijn voor de ISO 27001 en tevens gratis zijn. Trials zijn geen optie omdat ik de tool in de toekomst opnieuw wil inzetten (CSI).
Reacties (5)
10-03-2014, 14:53 door Anoniem
"Ik ben er een beetje huiverig voor om met Excel aan de slag te gaan."

Waarom. wat maakt het uit of je het doet in een kladblok, en excel, of in een tekstverwerker. De risico analyse zal je zelf moeten uitvoeren aan de hand van informatie die je bij elkaar verzamelt; dat zal een applicatie niet voor jou gaan doen.
10-03-2014, 15:56 door Anoniem
Wij gebruiken binnen onze zorgorganisatie ook de Sprint methodiek, deze is relatief eenvoudig toe te passen.

Maar waarschijnlijk bedoel je dat je een kwalitatieve risicoanalyse (zoals Sprint) wilt uitvoeren. Een kwantitatieve analyse vraagt veel meer werk om alle gevolgen door te rekenen en de kansen in te schatten.
10-03-2014, 19:48 door Anoniem
Neem hier eens een kijkje: https://www.ravib.nl/
10-03-2014, 20:29 door denii
Een applicatie zal de informatie die ik nodig heb niet voor mij verzamelen, maar ondersteund wel bij de inventarisatie van deze informatie. Bedankt voor je tip voor het kladblok en de tekstverwerker, ik neem hem mee.

@15:56
Je hebt gelijk, ik bedoelde inderdaad een kwalitatieve analyse. Naar mijn idee sluit het nauwkeuriger aan op de organisatie en is het daarnaast erg lastig om de financiële schade in cijfers uit te drukken. Hebben jullie ook alles op een kladblok uitgewerkt of wellicht ondersteunde tools of ISO documentatie gebruikt?
11-03-2014, 08:23 door denii
@19:48

Je reactie is pas goedgekeurd na mijn post van 20:29. Dit lijkt precies wat ik zoek. Vriendelijk bedankt voor deze waardevolle tip!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.