Security Professionals - ipfw add deny all from eindgebruikers to any

Fout in de ISO 27001:2013 (NL)

23-09-2014, 15:52 door Anoniem, 22 reacties
Wellicht interessant voor mensen die vaak met de ISO 27001 werken. Er is een vertalingsfout opgetreden in de NL-versie.

Onderstaande clausule is uit de Engelse versie niet vertaald in de Nederlandse versie:
8.1 Operational planning and control (ENG):
The organisation shall ensure that outsourced processes are determined and controlled.

De Nederlandse vertaling is volgens het officiële correctieblad:
De organisatie moet bewerkstelligen dat uitbestede processen worden vastgesteld en beheerst.

Bron:https://www.linkedin.com/pulse/article/20140923134541-96191279-fout-in-de-iso-27001-2013?trk=hb_ntf_MEGAPHONE_ARTICLE_LIKE
Reacties (22)
23-09-2014, 16:42 door Eric-Jan H te D
Niet dat het onderwerp mij op dit moment echt interesseert maar:

Als er een officieel correctieblad is, wat is dan het punt.

Ik neem aan dat één van de eisen van deze en elke andere ISO-norm
ongetwijfeld is, dat de norm zelf in de gaten gehouden moeten worden
ten aanzien van wijzigingen in die norm.
23-09-2014, 17:33 door Anoniem
@TS: top!

Door Eric-Jan H te A:Als er een officieel correctieblad is, wat is dan het punt.
Het officiële correctieblad is nog niet gepubliceerd. Volgende keer eerst even verder kijken voor je je mening ventileert?
23-09-2014, 18:18 door Anoniem
Kijk daar heb je 't al.
Een fout die wordt opgelost met een incorrecte vertaling, bedankt voor de info...

"shall ensure" is een stuk nauwkeuriger te vertalen dan "moet bewerkstelligen:"

"shall" is "zal," daar is iedereen het wel over eens...
OK.., maar nu "ensure" - verzekeren, beveiligen, ervoor zorg dragen, garanderen...

Bewerkstelligen (to ACHIEVE = bereiken) is al een behoorlijk vrije interpretatie dus, met als gevolg dat De Norm zomaar een andere norm kan worden.

En AL die vertalingen zijn ook nog een stuk langdradiger dan het origineel, dus...
Wij gebruiken dus liever de Engelse dan de Nederlandse, veel efficiënter en accurater allemaal.
23-09-2014, 19:32 door Anoniem
@TS: Thnx voor de Headsup!!


Door Anoniem:
En AL die vertalingen zijn ook nog een stuk langdradiger dan het origineel, dus...
Wij gebruiken dus liever de Engelse dan de Nederlandse, veel efficiënter en accurater allemaal.

Dat is wat mij betreft iets wat in het voorwoord van de vertalingen mag!! Vertalen maakt het er niet altijd beter op!
Ik ben ook aanhanger van het Engelse origineel en houd de vertaling erbij voor de zekerheid (af en toe toch eens kijken hoe het vertaald is om vervolgens een eigen conclusie te trekken).
23-09-2014, 22:30 door Anoniem
"The organisation shall ensure that outsourced processes are determined and controlled."
Bij het vertalen kijkt men meestal teveel naar de letter in plaats van naar de bedoeling van de tekst.
Goed vertalen kan bijna altijd. Maar het is wel een kunst, en het kost moeite. (kreun...)
Hehe, daar istie dan:

"De organisatie dient zich er van te verzekeren dat alle uitbestede processen duidelijk zijn vastgelegd,
en goed worden bewaakt en gecontroleerd."

Verder iemand nog vragen? ;-)
23-09-2014, 22:59 door Eric-Jan H te D
Ok een beetje kibbelen dan.

Wanneer je hier zonder voorbehoud meldt dat het om het "officiële correctieblad" gaat, waarom
zou ik daar dan aan twijfelen en een link gaan volgen. Druk je dan wat zorgvuldiger uit en zeg
"het nog niet gepubliceerde correctieblad".

Officieel is het pas als het wel is gepubliceerd.

En alhoewel "shall" met "zal" vertaald kan worden, klinkt het hier een beetje archaïsch. (Gij zult).
Vertalen is meer dan woordjes omzetten van de ene taal in de andere.

De originele vertaling vind ikzelf echter ook niet fraai. Ik zou zelf iets schrijven als:
"De organisatie zorgt ervoor dat uitbestede processen worden vastgesteld en beheerst."
maar ook
"De organisatie garandeert dat uitbestede processen worden vastgesteld en beheerst."
kan.
Dit laatste klinkt meer als een toezegging van de organisatie aan zijn klant. Iets wat uit het oogpunt
van wat deze ISO-27001 probeert te bewerkstelligen, goed verdedigbaar is.

Beide formuleringen kunnen ook in een vorm met "moeten" geschreven worden. Maar aangezien
het feit dat het een ISO-norm is, is "moeten" in mijn ogen impliciet, tenzij het anders vermeld wordt.
In zo'n document om de andere zin het woord "moeten" neerpennen werkt voor de lezer uitermate
vermoeiend. En het voegt in mijn ogen niks toe. Een norm is een norm. En als je eraan wilt voldoen,
zul je je aan de inhoud moeten conformeren.

En ja het origineel in Engels zou heel wel een stuk prettiger om te lezen kunnen zijn. Maar ik ben
bang dat het origineel heel veel "shall" bevat.
24-09-2014, 10:36 door Anoniem
Als we dan toch kibbelen.. Die norm geld al voor een hele boel omgevingen. Overheid (nora) financiële instellingen (DNB) medisch/zorg.
Het deel 27001 beschrijft de te volgen beleidsvisie en 27002 de invulling die een instelling zelf in meer details moet beschrijven.
Het is niet dat er aan wil voldoen, men zou er aan moeten voldoen maar het gebeurt niet dan we te weinig.

De engelse zin geeft aan dat men zich niet kan vrijwaren door een proces het uit te besteden.
De vertaling van X om 22:30 geeft dat prima weer.

Nu de dagelijkse praktijk.
Hoeveel managers geloven dat ze met het uitbesteden ook van de verantwoording af zijn? Het wordt zelfs gepromoot:
http://www.binnenlandsbestuur.nl/digitaal/nieuws/ga-toch-gewoon-naar-de-cloud.9274430.lynkx
Een datacenter die de procesverantwoordelijkheid van een ander bedrijf overneemt gaat, dat klopt niet.
Ik kan wel vinden in: https://weblog.bit.nl/tag/nen7510/ Hoe vaak wordt niet gesteld “ik het aan Y overgelaten .. “
24-09-2014, 13:09 door Anoniem
Door Eric-Jan H te A: Ok een beetje kibbelen dan.

Wanneer je hier zonder voorbehoud meldt dat het om het "officiële correctieblad" gaat, waarom
zou ik daar dan aan twijfelen en een link gaan volgen. Druk je dan wat zorgvuldiger uit en zeg
"het nog niet gepubliceerde correctieblad".

Officieel is het pas als het wel is gepubliceerd.

En alhoewel "shall" met "zal" vertaald kan worden, klinkt het hier een beetje archaïsch. (Gij zult).
Vertalen is meer dan woordjes omzetten van de ene taal in de andere.

De originele vertaling vind ikzelf echter ook niet fraai. Ik zou zelf iets schrijven als:
"De organisatie zorgt ervoor dat uitbestede processen worden vastgesteld en beheerst."
maar ook
"De organisatie garandeert dat uitbestede processen worden vastgesteld en beheerst."
kan.
Dit laatste klinkt meer als een toezegging van de organisatie aan zijn klant. Iets wat uit het oogpunt
van wat deze ISO-27001 probeert te bewerkstelligen, goed verdedigbaar is.

Beide formuleringen kunnen ook in een vorm met "moeten" geschreven worden. Maar aangezien
het feit dat het een ISO-norm is, is "moeten" in mijn ogen impliciet, tenzij het anders vermeld wordt.
In zo'n document om de andere zin het woord "moeten" neerpennen werkt voor de lezer uitermate
vermoeiend. En het voegt in mijn ogen niks toe. Een norm is een norm. En als je eraan wilt voldoen,
zul je je aan de inhoud moeten conformeren.

En ja het origineel in Engels zou heel wel een stuk prettiger om te lezen kunnen zijn. Maar ik ben
bang dat het origineel heel veel "shall" bevat.

TS hier. Thanks voor de feedback. Had het inderdaad zorgvuldiger kunnen verwoorden.
Echter vind ik het wel jouw verantwoordelijkheid om (zeker) op een fora de bron te checken voordat je iets blind aanneemt!
24-09-2014, 17:19 door Anoniem
Door Anoniem:
Door Eric-Jan H te A: Ok een beetje kibbelen dan.

Wanneer je hier zonder voorbehoud meldt dat het om het "officiële correctieblad" gaat, waarom
zou ik daar dan aan twijfelen en een link gaan volgen. Druk je dan wat zorgvuldiger uit en zeg
"het nog niet gepubliceerde correctieblad".

Officieel is het pas als het wel is gepubliceerd.

En alhoewel "shall" met "zal" vertaald kan worden, klinkt het hier een beetje archaïsch. (Gij zult).
Vertalen is meer dan woordjes omzetten van de ene taal in de andere.

De originele vertaling vind ikzelf echter ook niet fraai. Ik zou zelf iets schrijven als:
"De organisatie zorgt ervoor dat uitbestede processen worden vastgesteld en beheerst."
maar ook
"De organisatie garandeert dat uitbestede processen worden vastgesteld en beheerst."
kan.
Dit laatste klinkt meer als een toezegging van de organisatie aan zijn klant. Iets wat uit het oogpunt
van wat deze ISO-27001 probeert te bewerkstelligen, goed verdedigbaar is.

Beide formuleringen kunnen ook in een vorm met "moeten" geschreven worden. Maar aangezien
het feit dat het een ISO-norm is, is "moeten" in mijn ogen impliciet, tenzij het anders vermeld wordt.
In zo'n document om de andere zin het woord "moeten" neerpennen werkt voor de lezer uitermate
vermoeiend. En het voegt in mijn ogen niks toe. Een norm is een norm. En als je eraan wilt voldoen,
zul je je aan de inhoud moeten conformeren.

En ja het origineel in Engels zou heel wel een stuk prettiger om te lezen kunnen zijn. Maar ik ben
bang dat het origineel heel veel "shall" bevat.

TS hier. Thanks voor de feedback. Had het inderdaad zorgvuldiger kunnen verwoorden.
Echter vind ik het wel jouw verantwoordelijkheid om (zeker) op een fora de bron te checken voordat je iets blind aanneemt!

Lawyered!
24-09-2014, 21:19 door Eric-Jan H te D - Bijgewerkt: 24-09-2014, 21:20
Door Anoniem:Echter vind ik het wel jouw verantwoordelijkheid om (zeker) op een fora de bron te checken voordat je iets blind aanneemt!

In principe heb je daar natuurlijk wel gelijk in. Mijn reactie was dan geweest:
"Heb je het originele bericht wel gelezen? Het is helemaal geen officieel correctieblad want het is nog niet gepubliceerd". ;-)

Nee even alle gekheid op een stokje. Wanneer ik informatie van het internet werkelijk nodig heb, check ik wel degelijk meer dan één bron om een indruk te krijgen van de juistheid. Maar zoals ik al aangegeven had: "Het onderwerp als zodanig had niet mijn directe belangstelling." Dus ik reageerde louter op hetgeen jij schreef.

Lawyered

Wist echt niet wat het betekende. Dus heb ik slechts één bron gechecked. :-O
To pwn someone with evidence.
Barney: (To Ted) Do you have some puritanical hang up on prostitution? Dude, it’s the world’s oldest profession.
Marshall: You really think that’s true?
Barney: Oh yea, I bet even Cro-Magnons used to give cave hookers, like, an extra fish for putting out.
Marshall: Ah ha, so the oldest profession would be fishermen. Kaboom! You’ve been lawyered!
by KravenXY July 27, 2009

http://www.urbandictionary.com/define.php?term=Lawyered
26-09-2014, 01:04 door Anoniem
Dat is toch weer een mooie extra streep op de onderbuik van de papieren tijger.
26-09-2014, 10:52 door Anoniem
Door Anoniem: Dat is toch weer een mooie extra streep op de onderbuik van de papieren tijger.

Ik weet uit ervaring dat er ook pragmatische implementaties van ISO normen bestaan...
Papieren tijger hoeft het zeker niet altijd te zijn!! Een checklistje hier en daar en wat procedures om fouten te verminderen, risico's af te dekken, kan volgens mij nooit kwaad!!

Als je mij vraagt is een pragmatische aanpak (ik herhaal: pragmatische aanpak!!!) van ISO een soort instant soepje... Dat zouden meer mensen moeten doen!!!
26-09-2014, 19:58 door Anoniem
Als je mij vraagt is een pragmatische aanpak (ik herhaal: pragmatische aanpak!!!) van ISO een soort instant soepje... Dat zouden meer mensen moeten doen!!!

Daar heb je gelijk in. De praktijk is echter vaak anders.
- laat het maar een papieren tijger zijn. Het voldoet voor de accountant, die kijkt toch niet hoe het echt gedaan wordt
- De stokpaardjes worden van stal gehaald, Ook al slaat het nergens op "want het moet van ISO (SOX BASEL)"
daar is niets pragmatisch er is alleen een drogreden opgevoerd.
- we hebben er geen zin in, laat het de ander zijn die er wat aan moet doen (not my problem)

En vervolgens gaan we heerlijk kissebissen over wat er op papier zou moeten staan, of het goed verwoord is.
26-09-2014, 22:42 door Anoniem
Door Anoniem:
Als je mij vraagt is een pragmatische aanpak (ik herhaal: pragmatische aanpak!!!) van ISO een soort instant soepje... Dat zouden meer mensen moeten doen!!!

Daar heb je gelijk in. De praktijk is echter vaak anders.
- laat het maar een papieren tijger zijn. Het voldoet voor de accountant, die kijkt toch niet hoe het echt gedaan wordt
- De stokpaardjes worden van stal gehaald, Ook al slaat het nergens op "want het moet van ISO (SOX BASEL)"
daar is niets pragmatisch er is alleen een drogreden opgevoerd.
- we hebben er geen zin in, laat het de ander zijn die er wat aan moet doen (not my problem)

En vervolgens gaan we heerlijk kissebissen over wat er op papier zou moeten staan, of het goed verwoord is.
En daar heb je het verschil tussen prutsers, prullers en de lui die het wel goed doen ;)
30-09-2014, 10:19 door Anoniem
Laten we dan even back to basics gaan.

Die ISO is ontstaan uit een best practice en dat is precies wat hier gebeurt, niet de NEN of de ISO doen beveiliging, nee. Wij doen dat, wij passen dat toe. En dan helpt naast de ISO teksten (de intentie) ook nog eens GBV, gezond boeren verstand (de praktijk).

'In theory there is no difference between practice and theory, in practice there is".
30-09-2014, 11:31 door Anoniem
Als het nu een enorme fout was; zoals bijvoorbeeld; je moet iets wel ipv niet doen; dan was ik het eens met de aandacht voor dit 'foutje'. Maar dit slaat alles. Carry on, nothing to see here...
30-09-2014, 20:19 door Anoniem
Door Anoniem: Als het nu een enorme fout was; zoals bijvoorbeeld; je moet iets wel ipv niet doen; dan was ik het eens met de aandacht voor dit 'foutje'. Maar dit slaat alles. Carry on, nothing to see here...

Het is wel degelijk een grote fout. In de 2005 versie van ISO27001 waren in Annex A. enkele maatregelen aanwezig m.b.t het beheersen van een derde partij, zoals een outsourcing bedrijf. Die maatregelen zijn in de 2013 versie juist vervangen door die ene zin die nu in de NL versie per ongeluk weggevallen is. Dat betekent dat organisaties die nu ISO27001 NL aan het implementeren zijn, deze belangrijke beheersmaatregel zouden kunnen vergeten.
30-09-2014, 20:35 door Anoniem
Door Anoniem:
Door Anoniem: Als het nu een enorme fout was; zoals bijvoorbeeld; je moet iets wel ipv niet doen; dan was ik het eens met de aandacht voor dit 'foutje'. Maar dit slaat alles. Carry on, nothing to see here...

Het is wel degelijk een grote fout. In de 2005 versie van ISO27001 waren in Annex A. enkele maatregelen aanwezig m.b.t het beheersen van een derde partij, zoals een outsourcing bedrijf. Die maatregelen zijn in de 2013 versie juist vervangen door die ene zin die nu in de NL versie per ongeluk weggevallen is. Dat betekent dat organisaties die nu ISO27001 NL aan het implementeren zijn, deze belangrijke beheersmaatregel zouden kunnen vergeten.
+1

En daarom dus liever die Engelse ;)
30-09-2014, 23:23 door Anoniem
Door Anoniem:
Door Anoniem: Als het nu een enorme fout was; zoals bijvoorbeeld; je moet iets wel ipv niet doen; dan was ik het eens met de aandacht voor dit 'foutje'. Maar dit slaat alles. Carry on, nothing to see here...

Het is wel degelijk een grote fout. In de 2005 versie van ISO27001 waren in Annex A. enkele maatregelen aanwezig m.b.t het beheersen van een derde partij, zoals een outsourcing bedrijf. Die maatregelen zijn in de 2013 versie juist vervangen door die ene zin die nu in de NL versie per ongeluk weggevallen is. Dat betekent dat organisaties die nu ISO27001 NL aan het implementeren zijn, deze belangrijke beheersmaatregel zouden kunnen vergeten.

Er worden hier appels en peren vergeleken, de eerste vraagsteller heeft het over hoofdstuk 8.1 van de 27001 en jij hebt het over annex A van de 27001, In annex A staat een opsomming van de controls van de ISO 27002.

Bovendien blijft het een best practice, je mag je hersens wel blijven gebruiken....
01-10-2014, 09:52 door Anoniem
Door Anoniem:
Door Anoniem: Als het nu een enorme fout was; zoals bijvoorbeeld; je moet iets wel ipv niet doen; dan was ik het eens met de aandacht voor dit 'foutje'. Maar dit slaat alles. Carry on, nothing to see here...

Het is wel degelijk een grote fout. In de 2005 versie van ISO27001 waren in Annex A. enkele maatregelen aanwezig m.b.t het beheersen van een derde partij, zoals een outsourcing bedrijf. Die maatregelen zijn in de 2013 versie juist vervangen door die ene zin die nu in de NL versie per ongeluk weggevallen is. Dat betekent dat organisaties die nu ISO27001 NL aan het implementeren zijn, deze belangrijke beheersmaatregel zouden kunnen vergeten.

+1.
04-10-2014, 16:52 door Anoniem
Inmiddels heeft NEN correctieblad C11 vrijgegeven. Gratis te downloaden in hun webshop.
04-10-2014, 21:18 door Eric-Jan H te D
Door Anoniem: Inmiddels heeft NEN correctieblad C11 vrijgegeven. Gratis te downloaden in hun webshop.

"De organisatie zal/moet de door NEN gepubliceerde correctie- en/of aanvullings-bladen in het origineel tussenvoegen".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.