Security Professionals - ipfw add deny all from eindgebruikers to any

ISO 27001:2013 risk assessment

22-12-2014, 10:11 door denii, 7 reacties
Ik ben bezig met het in kaart brengen van risico's. Nu wil ik deze risico's koppelen aan 'treatments' in de vorm van beheersmaatregelen uit appendix A.

Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Reacties (7)
22-12-2014, 11:00 door Anoniem
Ha Denii,

Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
De ISO vraagt naar informatiecontuiteit, business continuiteit vraagt naar continuiteit van je gehele onderneming.
Als je dus wilt motiveren waarom een bepaalde maatregel van toepassing is om risico X te mitigeren, hou dan dit verschil goed in de gaten.

Ik gebruik zelf Ravib.nl voor risicoanalyses voor de organisatie op een generiek niveau, best een leuke tool.

Succes!
22-12-2014, 11:22 door denii
@Anoniem

Helemaal gelijk. Bedankt!

Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
22-12-2014, 11:23 door Anoniem
Wellicht dat deze website je verder helpt: https://www.ravib.nl/. Met name de pagina over koppelingen (https://www.ravib.nl/koppelingen) bevat voor jou nuttige informatie.
22-12-2014, 11:26 door Anoniem
Door denii: @Anoniem

Helemaal gelijk. Bedankt!

Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Niet helemaal waar. Zie https://www.ravib.nl/broncode En minder veilig? Ach, waarom ravib niet vertrouwen, maar andere webdiensten wel? Voor meer info, zie https://www.ravib.nl/verklaring
22-12-2014, 14:04 door denii
Door Anoniem:
Door denii: @Anoniem

Helemaal gelijk. Bedankt!

Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Niet helemaal waar. Zie https://www.ravib.nl/broncode En minder veilig? Ach, waarom ravib niet vertrouwen, maar andere webdiensten wel? Voor meer info, zie https://www.ravib.nl/verklaring

Bedankt voor de aanvulling. In de tijd dat ik Ravib gebruikte en om een lokale variant vroeg kreeg ik te horen dat dit geen optie was (ook begrijpelijk). Nu is het weer een serieuze optie. Het heeft overigens weinig met vertrouwen inde bekwaamheid van Hugo te maken, ik wil een RA gewoon niet online hebben.
22-12-2014, 14:33 door Erik van Straten
21-12-2014, 10:11 door denii: Ik ben bezig met het in kaart brengen van risico's. Nu wil ik deze risico's koppelen aan 'treatments' in de vorm van beheersmaatregelen uit appendix A.

Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
21-12-2014, 11:00 door Anoniem:Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
Of dat verschillende gebieden zijn, hangt sterk af van het soort organisatie waar je met BCM (Business Continuity Management) en/of IB (InformatieBeveiliging) bezig bent. Voor een chemische fabriek bijvoorbeeld is er een duidelijk verschil tussen beide gebeiden, maar voor een ICT bedrijf is dat onderscheid veel kleiner (tot niet aanwezig). Immers, als het pand van een ICT bedrijf afbrandt of er ontstaat waterschade in de serverruimte, dan betekent dit in de praktijk dat lokale informatievoorzieningen niet meer beschikbaar zijn, en niemand de telefoon kan opnemen.

Zelf heb ik veel plezier van de ISO27002:2013, die bevat dezelfde informatie als de Annex van ISO 27001:2013, echter aangevuld met veel sprekende voorbeelden van te nemen maatregelen (een checklist kun je het nog steeds niet noemen, maar het biedt zeker handvatten). De tijd die ik daarmee al bespaard heb gaat de kostprijs ruim te boven.

Nb. we hebben de Engelstalige 27001 en de Nederlandstalige 27002 aangeschaft. De 27001 omdat de meeste informatie op Internet in het Engels is (dus met Googlen makkelijker te vinden). Met die combinatie heb je meteen de "juiste" (in elk geval conform ISO) vertalingen tussen de Annex titels uit 27001 en de bijbehorende hoofdstuktitels in 27001.
22-12-2014, 16:08 door Anoniem
Door denii:
... ik wil een RA gewoon niet online hebben.
Maar je e-mail, bankzaken en belastingaangifte mogen wel online? Ik begrijp je punt wel, maar als je eerlijk bent, dan is het meer een gevoelskwestie dan een van logische redenering.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.