Security Professionals - ipfw add deny all from eindgebruikers to any

Beleidsstukken voor informatiebeveiliging

20-09-2018, 18:26 door tek_h, 9 reacties
Algemene vraag mbt beleidsstukken informatiebeveiliging....

Vaak zie ik beleidsstukken die te downloaden zijn op de website van een organisatie.

Andere organisaties hebben wel een classificatie en delen de stukken niet met derden.

Is dit een kwestie van smaak en perspectief van een security professional? Wat is hier de achterliggende gedachte?
Reacties (9)
20-09-2018, 22:23 door karma4
Het kan ingegeven zijn dat ze letterlijk de algemene richtlijnen zoals de ISO 27k hebben opgenomen in hun toelichting.
Dan is openbare publicatie uitgesloten wegens auteursrechten.

Het kan zijn dat er vele namen in opgenomen zijn met hun rol (versiebeheer).
Dan is openbare publicatie uitgesloten wegens privacy.

Er is geen verplichting om die beleidsstukken te publiceren.
Sommige security verantwoordelijk geloven dat ze geheim moeten zijn omdat kwaadwillenden anders te veel zouden weten.
Technische operationele details horen niet in de tactische en strategische stukken daarmee ben ik voor openbaarheid.
Voor overheidsinstanties is er VNG KING en NORA (bir-tnk) daarmee hoeven ze niet veel meer zelf in te vullen
25-10-2018, 10:56 door nadhim
De best practices van de norm NEN-ISO/IEC 27002 en de privacy richtsnoeren van het CBP vormen, voor zover zij bijdragen aan de informatiebeveiliging van <PPPP>, het uitgangspunt voor de te definiëren maatregelen. Dit is een bedrijfseconomische afweging.
25-10-2018, 11:50 door Anoniem
Vaak zie ik beleidsstukken die te downloaden zijn op de website van een organisatie. Andere organisaties hebben wel een classificatie en delen de stukken niet met derden.

Het feit dat je bepaalde stukken ziet op de website zegt niets over of een organisatie zaken classificeert, en evenmin over wat men *niet* publiek deelt op de website. Het hebben van classificatie impliceert niet per definitie dat je niets publiceert (kijk naar de AIVD, en de periodieke rapporten) ;)
25-10-2018, 11:52 door Anoniem
@karma4: je neemt toch geen namen op in beleidsstukken maar rollen... Bij iedere personele wisseling zou je anders nieuwe beleidsstukken moeten publiceren. Dat is incompetentie ten top en een heel slecht argument.
25-10-2018, 13:26 door Anoniem
Door Anoniem: @karma4: je neemt toch geen namen op in beleidsstukken maar rollen... Bij iedere personele wisseling zou je anders nieuwe beleidsstukken moeten publiceren. Dat is incompetentie ten top en een heel slecht argument.
Ik denk dat karma4 doelde op de auteurs van het document en hun functie, niet op de in het document beschreven functies.
25-10-2018, 14:29 door User2048
In ISO 27001:2013 hoofdstuk 5.2 staat onder g)
Het beleid voor informatiebeveiliging moet beschikbaar zijn voor belanghebbenden, voor zover van toepassing.
Om aan de norm te voldoen moet het beleid beschikbaar zijn voor belanghebbenden. Dat wil niet zeggen dat je het op je website moet publiceren, maar belanghebbenden moeten het kunnen inzien. Wie belanghebbenden zijn moet je volgens de norm vastleggen, zie hoofdstuk 4.2 van ISO 27001. Het verdient aanbeveling om het beleidsstuk zo te schrijven dat er geen informatielek ontstaat als je het beschikbaar stelt aan derden. Zet er dus geen gevoelige informatie in. Gevoelige informatie zet je in onderliggende documenten die je niet vrijgeeft.
25-10-2018, 14:55 door Anoniem
@karma4: je neemt toch geen namen op in beleidsstukken maar rollen... Bij iedere personele wisseling zou je anders nieuwe beleidsstukken moeten publiceren. Dat is incompetentie ten top en een heel slecht argument.

Versie beheer ? Gaat over wie wanneer een document bewerkt ?
26-10-2018, 19:16 door karma4
Door Anoniem:
@karma4: je neemt toch geen namen op in beleidsstukken maar rollen... Bij iedere personele wisseling zou je anders nieuwe beleidsstukken moeten publiceren. Dat is incompetentie ten top en een heel slecht argument.

Versie beheer ? Gaat over wie wanneer een document bewerkt ?
Dank je correct en to the point. Ik zie de opmerking "versiebeheer"er boven bij staan.
Je hebt het met versiebeheer maar ook de contacten voor een DR uitwijk etc.
Die moet je niet bewaren binnen het betrokken ICT deel. Heb je ze nodig dan moeten ze bereikbaar zijn.
Strategisch tactisch zijn de ISo27002 Nen7510 openbaar de specifieke eisen als de BIO is de opvolger van wat de bir-tnk is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.