Security Professionals
- ipfw add deny all from eindgebruikers to any
ISO 27001:2013 risk assessment
Ik ben bezig met het in kaart brengen van risico's. Nu wil ik deze risico's koppelen aan 'treatments' in de vorm van beheersmaatregelen uit appendix A.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Reacties (7)
Ha Denii,
Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
De ISO vraagt naar informatiecontuiteit, business continuiteit vraagt naar continuiteit van je gehele onderneming.
Als je dus wilt motiveren waarom een bepaalde maatregel van toepassing is om risico X te mitigeren, hou dan dit verschil goed in de gaten.
Ik gebruik zelf Ravib.nl voor risicoanalyses voor de organisatie op een generiek niveau, best een leuke tool.
Succes!
Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
De ISO vraagt naar informatiecontuiteit, business continuiteit vraagt naar continuiteit van je gehele onderneming.
Als je dus wilt motiveren waarom een bepaalde maatregel van toepassing is om risico X te mitigeren, hou dan dit verschil goed in de gaten.
Ik gebruik zelf Ravib.nl voor risicoanalyses voor de organisatie op een generiek niveau, best een leuke tool.
Succes!
22-12-2014, 11:22 door
denii
@Anoniem
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Wellicht dat deze website je verder helpt: https://www.ravib.nl/. Met name de pagina over koppelingen (https://www.ravib.nl/koppelingen) bevat voor jou nuttige informatie.
Door denii: @Anoniem
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Niet helemaal waar. Zie https://www.ravib.nl/broncode En minder veilig? Ach, waarom ravib niet vertrouwen, maar andere webdiensten wel? Voor meer info, zie https://www.ravib.nl/verklaringHelemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
22-12-2014, 14:04 door
denii
Door Anoniem:
Door denii: @Anoniem
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Niet helemaal waar. Zie https://www.ravib.nl/broncode En minder veilig? Ach, waarom ravib niet vertrouwen, maar andere webdiensten wel? Voor meer info, zie https://www.ravib.nl/verklaringHelemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Bedankt voor de aanvulling. In de tijd dat ik Ravib gebruikte en om een lokale variant vroeg kreeg ik te horen dat dit geen optie was (ook begrijpelijk). Nu is het weer een serieuze optie. Het heeft overigens weinig met vertrouwen inde bekwaamheid van Hugo te maken, ik wil een RA gewoon niet online hebben.
22-12-2014, 14:33 door
Erik van Straten
21-12-2014, 10:11 door denii: Ik ben bezig met het in kaart brengen van risico's. Nu wil ik deze risico's koppelen aan 'treatments' in de vorm van beheersmaatregelen uit appendix A.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
21-12-2014, 11:00 door Anoniem:Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
Of dat verschillende gebieden zijn, hangt sterk af van het soort organisatie waar je met BCM (Business Continuity Management) en/of IB (InformatieBeveiliging) bezig bent. Voor een chemische fabriek bijvoorbeeld is er een duidelijk verschil tussen beide gebeiden, maar voor een ICT bedrijf is dat onderscheid veel kleiner (tot niet aanwezig). Immers, als het pand van een ICT bedrijf afbrandt of er ontstaat waterschade in de serverruimte, dan betekent dit in de praktijk dat lokale informatievoorzieningen niet meer beschikbaar zijn, en niemand de telefoon kan opnemen.Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
Zelf heb ik veel plezier van de ISO27002:2013, die bevat dezelfde informatie als de Annex van ISO 27001:2013, echter aangevuld met veel sprekende voorbeelden van te nemen maatregelen (een checklist kun je het nog steeds niet noemen, maar het biedt zeker handvatten). De tijd die ik daarmee al bespaard heb gaat de kostprijs ruim te boven.
Nb. we hebben de Engelstalige 27001 en de Nederlandstalige 27002 aangeschaft. De 27001 omdat de meeste informatie op Internet in het Engels is (dus met Googlen makkelijker te vinden). Met die combinatie heb je meteen de "juiste" (in elk geval conform ISO) vertalingen tussen de Annex titels uit 27001 en de bijbehorende hoofdstuktitels in 27001.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
