Heb je je oordeel over ISO 27001 gevormd door de standaard te bestuderen, of door een stripverhaal over ISO 9001 te lezen?

Zucht, de klok horen luiden, maar niet weten waar de klepel hang.

ISO27001 is een standaard op het gebied van informatiebeveiliging. De zogenaamde 'controls' schrijven voor hoe je intern zaken als fysieke en digitale toegangsbeveiliging, business contuinity en onderhoud van systemen regelt (althans, je moet het geregeld hebben, hoe je het doet staat in beginsel vrij).

Overigens zijn er genoeg websites die je er informatie over kunnen geven. Het is geen wondermiddel, maar zeker wel de basis als het gaat om het deugdelijk beveiligen van je organisatie.

ISO9001 ziet op kwaliteitsmanagement. Weet ik zelf niet veel van af, maar zal een soortgelijke systematiek op nahouden als de 27001-familie.

Ik denk dat je inderdaad te veel strips leest. Want je hebt duidelijk geen flauw benul waar je over praat. Denk je dat de onderstaande punten management onzin management onzin bevat?

ISO 27002 contains 12 main sections:

1. Risk assessment
2. Security policy
3. Organization of information security
4. Asset management
5. Human resources security
6. Physical and environmental security
7. Communications and operations management
8. Access control
9. Information systems acquisition, development and maintenance
10. Information security incident management
11. Business continuity management
12. Compliance

https://whatis.techtarget.com/definition/ISO-27001

Heb je toevallig niet Bing gebruikt om te zoeken? Dat zou je opmerkingen namelijk kunnen verklaren.

Mijn (informele) ervaring met ISO 9000 is dat het idee dit is: Je schrijft op wat je doet en hoe je het doet, en dan houd je je daaraan. (Vandaar de HHOS-opmerking "Hoofdstuk 0: Procedure voor het wijzigen van dit document".) Op zich geen slecht idee. Waarom je meer dan een pagina nodig hebt om dat op te schrijven ontgaat me een beetje. Ik ben er dan ook nooit ingedoken, mischien is er wel een reden.

Maar zulke dingen willen nog wel eens een eigen leven gaan leiden. De nummertjes blijken belangrijker dan of het hele circus opvoeren ook wel nut heeft. De schijn, het als circus opvoeren van het idee, wint het van de inhoud.

Dat kom je eigenlijk overal wel tegen. Prince2, ITIL, Six Sigma, Lean, Agile, noem maar op. Dus dat zal met ISO 27000 niet anders zijn.

Dat merk ik op zonder veel inhoudelijke kennis van al die individuele dingen. Mijn ervaring beperkt zich tot de blik van veraf: Hoe gedragen de mensen die zich hiermee bezighouden zich, hoe gaan ze ermee om? Een ervaring in de jaren 90 dringt zich op: Kwam iemand tegen die, gevraagd wat'ie deed voor de kost, opzwol en declareerde dat'ie "in de IT" zat. Toen ik doorvroeg liep de lucht er al snel weer uit. Ik bleek technisch toch iets beter onderlegd dan hij. Hij was dan ook sales, "in de IT". Daar ga je met je belangrijkheid, en een goed gesprek "talking shop" zat er ook al niet in. Zo ook iemand die wel de methodologie van buiten kent maar niet verder komt dan het afratelen van de antwoorden op de examenvragen. Probeer je er echt in te duiken, kom je er snel achter dat er inhoud en begrip mist.

Gerelateerd commentaar is bijvoorbeeld te vinden in het stuk "Cargo Cult Science" van Richard Feynman, dat mischien wel bekend is onder de oplettende lezertjes. Ook lezenswaardig is een commentaar over de Rational Unified Process-methodologie en methodologiën in het algemeen: http://www.fysh.org/~katie/computing/methodologies.txt.

Belangrijk is ook het punt wat in dat linkje wordt aangestipt: Waarom standaardiseer je? Is het omdat je een standaard-gereedschapskist neerzet voor experts in het veld zodat ze standaardgereedschap hebben om mee te werken en ideën uit te wisselen? Of is het omdat je pretendeert door slaafs de regeltjes van de methode of de standaard te volgen dat dan iedereen expertwerk kan afleveren? Dat laatste gebeurt mischien vaker dan je denkt, maar zal niet werken.

Als je hele dikke boeken nodig hebt om alle details van je methodologie te beschrijven en er vele consultancybedrijfjes opduiken om gebruikers door al die materie heen te loodsen, dan heb je niet een handig gereedschap omhanden. Dan is het eerder een blok aan het been.

Persoonlijk denk ik dat zulk methodologie- en standaardiseerstreven groot risico loopt in die val te lopen. Want hoewel het heel redelijk is iedere timmerman dezelfde basisopleiding te geven (waarna hij zichzelf verdere kunde kan bijbrengen), het metrisch stelsel duidelijk nuttig is, en ook standaarden voor metrische moertjes en boutjes een prima idee zijn, is een heel arsenaal aan standaardbewegingen voor de security-expert (of de programmeur, de projectmanager, de systeembeheerder, noem maar op) neerzetten en je dan beperken tot alleen die bewegingen, een minder goed idee. Maar dat is wel het risico wat je loopt als je probeert de "best practices" in een standaard vast te leggen, en vervolgens hele volksstammen gaan proberen "security expert volgens de ISO norm" te zijn.

Wat niet wil zeggen dat alle standaardiseerstreven bij voorbaat nutteloos is. Het kan handig zijn, maar kan dus evengoed tegenwerken. Wat maakt het verschil?

Zoals het literatuurboek op de middelbare school betoogde: Wat maakt Literatuur-met-hoofdletter danwel lektuur? Hoe schrijft een groot schrijver? Zijn het de regels van spelling, grammatica, compositie, en zo verder? In onze termen, is het de standaardmethodologie van het Literatuurschrijven? ISO 123450000 "meesterschrijverschap"?

Nee, grote schrijvers breken die regels met grote regelmaat. Wat niet wil zeggen dat de spellingsregels nutteloos zijn. Maar dat wil ook niet zeggen dat iedere jandoedel een groot schrijver is, of kan zijn. Naast talent en iets te vertellen hebben, moet je eerst de regels van binnen en van buiten beheersen. Pas als je ze in meesterschap kan overstijgen kun je ze met goed resultaat breken. En dat geldt eigenlijk voor wel meer werkgebieden.

De volgende vraag dringt zich dan op: Als complete handleiding security-expert is het niet geschikt, dat is nu wel duidelijk. Maar is ISO 27000 geschikt als grammaticaregels van de security? Dat weet ik niet. Ik kan het hele document niet eens binnenhalen (copyright-acceptatieformulier met leeg action="" veld), dus inhoudelijk kan ik er geen commentaar op geven. Het lijkt niet echt te leven behalve onder standaardnummertjesfetishisten. En ook of het een geschikt onderwerp is om door ISO te laten standaardiseren is me niet duidelijk.

Dat het hele security-gebeuren zelf nog in de kinderschoenen staat, dat is wel duidelijk. Is ISO 27000 een nuttige toevoeging? Geen idee. Het is best een stukje leeswerk, gezien het aantal hoofdstukken in 27001, en 27002, volgens wikipedia. Wie zin heeft kan er induiken om te kijken waar het werkelijk over gaat en waarom ze daar zoveel woorden voor nodig hebben.

JA karma4, inderdaad! Wollig management gelul zonder werkelijke inhoud! Walgelijke zelfverrijking van ISO-adepten.

Wat is daar wollig aan? Het beschrijft gewoon hoe je werkt in een bedrijf. Technische uitwerken is heel iets anders. Het beschrijft een vastlegging hoe je bepaalde processen hebt uitgewerkt.

https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/

User access management (subsection A.9.2)
This is where things start to get technical – you have to define how you require the users to register in your systems (e.g., handling user IDs), how you assign them the access (provisioning of access or revoking the access), and how you manage the authentication data (e.g., how you provide the initial passwords, smart cards, etc.).

But again, you have to take care of some organizational stuff – for example, if you need to allow access that is outside of the regular rules (privileged access), you need to define exactly who can approve such user access exception. What is usually done is that companies define user profiles, and if any access has to be approved above that, this is treated as privileged access and then the asset owner has to approve such exception.

Since such exceptions will always exist, the asset owners should regularly review all the privileged access and decide whether they are still needed – very often you’ll have a situation where a privileged access was approved a long time ago, only to find out it poses a high security risk and there is no operational need for such access.

Controle op exceptions, toch niet echt wollige management gelul. Dit kan je hierna technisch met bepaalde tooling inregelen, of via een papier trail. Beide zijn mogelijk, maar dat is een technische oplossing. Je moet alleen wel beschrijven en het moet geaudit kunnen worden.

Finally, there has to be a process of removal of all access rights when someone is leaving the company or adjusting them when a person changes their position in the company. Too many times it has happened that people have access to some systems a couple of years after they have left a company, only because no one has remembered to close this access.

By the way, you can define all those rules in the same Access Control Policy, or you can develop separate documents for that purpose – for example, you might develop a Password Policy where you define how to perform the authentication[/i]

Juist vanuit Security is dit van belang.

Hoe denk je dat je grote prijen als CERN, Amazon of Google dit doen? Die hebben mega boekwerken liggen zodat niet zomaar iemand bijvoorbeeld rechten krijgt tot bepaalde privacy data. Blijkbaar jij je nog nooit verdiept in ISO en het belang er van?

ISO is een standaard voor management systemen! Het is geen standaard voor informatiebeveiliging of kwaliteit an sich. Een standaard voor een management systeem helpt directies en management teams om op een gestructureerde manier over onderwerpen na te denken, en deze standarden maak het mogelijk om management systemen op een uniforme manier te beoordelen te toetsen. Nogmaals een ISO standaard, in dit specifieke voorbeeld de ISO 27001, helpt je niets bij het beveiligen van informatie. wat wel zou kunnen helpen is de ISO27002, dat is een norm waarin best practices beschreven worden, weliswaar best practices voor het toepassen van ISO27001.

Kortom: Geen wondermiddel, Wel een management hulpmiddel. Management en directie helpen nadenken over een onderwerp waar ze over het algemeen niet van de hoed en de rand weten is nooit een tijdsverspilling.

ISO 27001 is een van de meest waardevolle IT-gerelateerde standaarden die zowel continuïteit als informatie-beveiliging dekt; geen serieus data-verwerkend bedrijf kan zonder (soortgelijke) normen & procedures anno 2018. Niet dat de ISO certificering zelf zo heilig is; maar het is inhoudelijk gewoon een erg goede norm ! Als klein (scale-up/MKB) bedrijf misschien initieel een nachtmerrie, maar na de initiële investering plukt iedereen - de medewerkers, de klanten, en management - er de vruchten van; zowel commercieel (kansen) als operationeel (duidelijk documentatie, procedures en nooit meer Zwarte Pieten)

Waardevol? Duur bedoel je:


Als er veel geld wordt gevraagd voor dergelijke documenten dan weet je al hoe laat het is.

Een framework, waarmee je kan kijken hoe goed je je IT beveiliging op orde hebt is onzin ? Niet echt.

Het heeft ten eerste inhoudelijke waarde, omdat het helpt de beveiliging te verbeteren. Daarnaast heeft het waarde, omdat klanten (zeker bij beveiligingsclubs) graag willen zien dat je als leverancier beveiliging serieus neemt, en je zaken zelf op orde hebt.

Heeft helemaal niets te doen met ''interessant doen'', en heeft absoluut toegevoegde waarde. Dat het (m.i.) een saaie klus is, om je mee bezig te houden, dat is een ander verhaal.

Bij ISO 27001 trajecten welke ik heb geimplementeerd kwamen *altijd* relevante zaken naar boven, ter verbetering van de IT beveiliging van de werkgever, of klant, voor wie ik dit uitvoerde.


Lachwekkende bewering.

Duur, voor een bedrijf ? Valt ontzettend mee. Meeste kosten gaan zitten in de werkzaamheden van intern/extern personeel wat de ISO audit uitvoert. Kost een stuk meer dan het materiaal.

Dank je!


Aha! Inzicht in hoe de zakkenvullers van deze ISO wereld te werk gaan! Eerst moet je (als 'bedrijf') grof geld betalen om die documenten überhaupt in te kunnen zien (om te bepalen of het voor jouw bedrijf interessant is). Daarna komen de kosten van implementatie van al de open deuren die dergelijke documenten intrappen. En als klap op de vuurpijl komen de kosten van een ISO audit er ook nog bij? Mooie gecreëerde markt dit.

Jij en de realiteit

Alle alomvattende benaderingen van de werkelijkheid zijn nog steeds een benadering.
Een benadering is subjectief en niet objectief.
Subjectief in de zin van dat het een kader vormt vanuit een bepaald perspectief dat niet alle andere varainten insluit.
Als die benadering nogal uitweidt kan het heel nuttig zijn om een samenvatting van die benadering te raadplegen om een idee te krijgen van het kader.

Wanneer je dat doet zal je je bewust moeten zijn van het feit dat een samenvattende benadering een eigen kader kan hebben dat niet automatisch hoeft samen te vallen met het originele perspectief van de benadering van de werkelijkheid.
Dat kan voordelen hebben en nadelen.
Voordelen in de zin dat je kritisch oog krijgt voor de spanningen tussen bedachte werkelijkheid in de benadering en de werkelijkheid as is, of jou idee daarvan en insteek daarbij (jouw perspectief).
Nadeel kan zijn dat de samenvattende benadering de beschrijvende benadering geweld aandoet omdat de perspectieven botsen, per ongeluk of expres.

Wanneer je je daar van bewust bent doet de vorm van de samenvatting van de benadering er niet zoveel toe.
Jan terlouw bijvoorbeeld schijft een paar dichtregels over het onderwerp waar hij een lezing over wil geven, dichtregels die voor hem intuïtief de werkelijkheid in essentie kunnen vatten, bij de kladden grijpen zo je wil.
Als een ander dat kan bereiken door die samenvattingen te plukken uit strips die die beschrijvende werkelijkheid tot onderwerp hadden verheven is dat prima.

Het werkelijke probleem in deze discussie is dat er voor de post en erna, werelden clashen die elkaar nooit zullen begrijpen en zullen blijven hangen in het eigen gelijk al was het maar omdat er anders niet van mening te verschillen valt.

Ik heb gelijk omdat ik vour altijd zal sterven in mijn gelijk.
Ik heb gelijk want ik zeg dat ik alles heb gelezen en verkies mij op basis daarvan tot winnaar tegenover iedereen die dat niet heeft gedaan!
Ik heb gelijk want ik heb de relevante delen naast de terzake doende werkelijkheid gelegd!
Ik heb gelijk want ik heb wel een idee van het nut van deze materie op basis van vergelijkende oordelen van anderen.
Ik heb gelijk want ik zie dat hier massaal tijd wordt verspild om de tijd maar door te komen, 99% procent van dit soort discussies levert niemand iets nuttigs op.

Tenzij er iemand op basis van deze discussie denkt, ik ga het lezen, ik flikker het weg, hier ga ik geen geld aan verspillen.
Neem een hond en ga eens lekker het nabije park en wat frisse lucht samen managen.

wat is er mis met die strip link ?
"Unable to connect"

Exemplarisch voor veel discussies hier : "Unable to connect"
Bestaat daar ook een mooie ISO verhandeling over of moeten we het doen met de DSM 5?

ROFLOL: Dit klinkt als een heuse Fiets Standaard

Lees je eerst eens goed in over de materie mbt informatie beveiliging ( ISO 2700x ) of kwaliteits (iso9000) voor je verder iets gaat posten begrijp je misschien dat het best nuttige normen zijn.

Als je klanten wilt behouden ben je vaak genoodzaakt aan bepaalde normeringen te voldoen:
- Een elektromonteur moet diverse NEN normen kennen en ook certificaten daarvoor behalen.
- Zo moet een Hosting provider kunnen aantonen dat ze bewust met informatie beveiliging bezig zijn, zodat jij enigsinds zeker weet dat jou gegevens daar veilig staan.
- Zo moet een Chirurg ook aan diverse criteria voldoen en diploma's en certificaten halen voor hij een open hart operatie mag uitvoeren.

Of voor iemand ergens in mag rijden:
- Moet je een Rijvaardigheids bewijs B hebben voor je met een auto de openbare weg op mag...

etc
etc

Blijkbaar kan jij dan niet klok kijken. Dit soort bedragen zijn voor een bedrijf die aan ISO 27001 denken geen grote bedragen.
Dit geeft eigenlijk weer aan dat je niet ziet waarom je dit nodig hebt, of waarvoor je dit nodig zou hebben.

Het is altijd lachen om je opmerkingen. Je maakt er zelf er wel helaas belachelijk mee. Het zegt iets over je kwaliteiten om in te zien waarom je dit nodig zou hebben als een bedrijf een bepaalde schaal heeft bereikt.

Als je als bedrijf nadenkt over ISO 27001 dan heb je hier al over nagedacht en dan doe je dit niet zomaar. De kosten waar je naar verwijst zijn maar een klein gedeelte van de kosten die ja aan FTE kwijt bent om je er werkelijk mee bezig te zijn. Nog afgezien van de kosten van je audit.

Maar als je als bedrijf serieus bezig bent, dan heb je een ISO certificering. Het zegt iets over je professionaliteit (en procedures) van het bedrijf. Maar ook dat bepaalde privacy en security maatregelen gewaarborgt zijn.

Het is een standaard, juist toch een mooi iets? Wereldwijd de zelfde standaard? Klinkt toch mooi?

@Tha Cleaner Wat weet jij ervan? Jij bent toch gewoon schoonmaker! Dus wat lul je nou over dingen 'beyond your pay grade'! Ga toch iets schoonmaken!

Jouw woorden: https://www.security.nl/posting/584313/#posting584472

Dan heeft team FOSS het over open standaarden en dan kan hij er niet mee overweg. Nogal droevig voor iemand die zegt van ICT iets te weten. Het zijn de kaders voor de overheid https://www.noraonline.nl/wiki/Kaders_beveiliging
"Voor de overheid gelden de volgende standaarden voor het inrichten van informatiebeveiliging:
De "ISO 27000"-standaarden op de Lijst van open standaarden voor Pas Toe of Leg Uit:
- NEN-ISO/IEC 27001 (MSIB, Managementsystemen voor informatiebeveiliging) en
- NEN-ISO/IEC 27002 bevat een set good practices die daarop aansluiten.
Deze zijn voor verschillende overheden uitgewerkt in meer praktische Baselines Informatiebeveiliging:
- BIR (Baseline Informatiebeveiliging Rijksdienst)
- BIWA (Baseline Informatiebeveiliging Waterschappen)
- BIG (Baseline Informatiebeveiliging Gemeenten)
- IBI (Interprovinciale Baseline Informatiebeveiliging)
In 2018 is begonnen aan een overkoepelende baseline voor de hele overheid, de BIO (Baseline Informatiebeveiliging Overheid). Daarnaast kan het zijn dat in domeinen of ketens aanvullende afspraken zijn gemaakt, zoals in het saMBO-ICT programma Informatiebeveiliging en Privacy."


De 27001 is voor de boardroom ofwel het strategisch niveau.
Praktisch probleem, het is niet hip (zie Maersk)
De 27002 / bir is voor een algemene invulling ofwel het tactische niveau middenkader en architecten.
Praktisch probleem de werkelijke invulling vind op de vloer plaats dan wel in overleg met leveranciers.
Dit gaat gewoonlijk niet goed omdat hij bij verkoopverhalen en misvattingen van de werkelijke situatie blijft
De eigen invulling naar aanleiding van de algemene invulling vergaat in de strijd van doosjes nerds, lijstjesvolgers en de gebruikers die het werk moeten afkrijgen.

Voor de zorg heb je NEN7510 en wat extra's gebaseerd op de ISO27000 reeks. Bijvoorbeeld (toetsingskader):
http://www.igz.nl/zoeken/download.aspx%3Fdownload%3DInspectiebezoek%2Be-health%2BMC%2BSlotervaart%2Bapril%2B2018.pdf

Voor de financials http://www.toezicht.dnb.nl/3/50-203304.jsp
"Het is uiteraard mogelijk dat zich omstandigheden kunnen voordoen dat de bedrijfsvoering van een financiële instelling een betere beveiliging vereist dan op grond van Cobit en ISO27000 kan worden bereikt. Dit is ter beoordeling van de instelling zelf."

Waarom ik het vaak noem...
Zeg maar dat dat os nerds te vaak de boel bewust dan wel onbewust saboteren. Je kan daar vele dilbert strips mee vullen. Is dat de goede situatie? Nou waarom heeft men zoveel beveiligingsproblemen.

Die kosten voor documenten zijn voor een bedrijf minder dan 4uur een consultant inhuren.
Als je ergens werkt en de documenten zijn daar aangekocht dan heb je als medewerker de kans om die door te nemen, als werknemer gratis en voor niets. Verspreiden mag dan weer niet. Als je ergens werkt kun je kijken of dat er is en daar gebruik van maken. Het zit gewoonlijk bij CSO dan risk-management maar onder ICT kan ook. Als het bij ICT zit dan heb je meteen een signaal dat het vanaf de boardroom niet goed zit.


Toevoeging CERN wer hierboven aangehaald, team foss is daar een fan van.

https://indico.cern.ch/event/587955/contributions/2937880/attachments/1690360/2719686/2018_Poster_CHEP_ISO27001.pdf Ze gebruiken het gewoon als richtlijn. Dat kan vast niet goed zijn volgens team foss,

Te veel papieren tijgers die in de weg zitten.

Eerder eigen OS nerds die de eisen en doelen van informatiestromen niet willen begrijpen en daardoor tot saboteurs worden. Dacht je nu echt dat een OS nerd waarvan verwacht dat een taak moet uitvoeren om de organisatie te verbeteren aan het hoofd van die organisatie staat. Die verhalen ken ik als bofh https://www.theregister.co.uk/data_centre/bofh/earlier/10/ leuk om te lezen minder om te ervaren.

Ik los shit op en zorg er voor dat de omgeving blijft draaien. Ik mag oa de technische oplossingen of rapportages bouwen die in de ISO certificering besproken worden. Of eventueel de tooling hiervoor inregelen.

Ik ga dus regelmatig de shit schoonmaken van andere indien die de procedures niet gevolgd hebben. Ik maak dus schoon.... Ik ga er dus even vanuit dat jij met "beyond your pay grade" je eigen kennis bedoelt?

Oa het bedrijf waar ik voor werk, heeft diverse ISO certificeringen, wereldwijd. En werken eigenlijk alleen maar met bedrijven die ISO gecertificeerd zijn.

Zonder procedures krijg je juist shit. Mede omdat beheerders even denken dat ze weten hoe ze het moeten inrichten. Even lokaal (admin) accountje aanmaken zijn daar juist de voorbeelden van.
Service accountje aanmaken, maar geen procedure om het wachtwoord te wijzingen iedere X periode.
Nieuwe gebruiker.... Even snel VPN toegang regelen, maar als de persoon daarna niet meer werkt, wordt zijn account niet gedisabled. En dan staat men raar te kijken, indien een admin ontslagen wordt.

Allemaal papieren tijgers, volgens Team FOSS? Misschien moet je toch eens verdiepen in ISO 27001 of hoe Enterprise IT werkt.

Papier heb je nodig om te weten hoe en wat je mag doen. Automatisering kan daar wel heel goed bij helpen en versnellen. Welkom in de grote wereld.

Het valt wel op dat sinds je een "Team" bent, je kwaliteit tot (logisch) nadenken drastisch naar beneden is gegaan.

Dat soort geneuzel met het intrappen van open deuren laat ik graag aan de papieren tijgers over!

Waarmee ik je hartelijk bedank met de duidelijkheid waarom foss zo problematisch is dat het een bedreiging voor ict is.

Je mag het open deuren noemen, maar je laat weer duidelijk zien, dat je eigenlijk geen idee hebt hoe een Enterprise omgeving werkt en helemaal niet hoe Enterprise IT werkt. En waarom dit soort (ISO) afspraken juist nodig zijn.

Maar zoals vaker, of je bent aan het trollen, of je snapt er echt helemaal niets van.

Omdat ik een gecreëerde markt mét bijbehorende zakkenvullers als zodanig herken?

N.B.: wat opvalt is het lage taalniveau van de ISO-adepten hier. Alsof ze de lagere school niet hebben kunnen afmaken en daarom allerlei rare sprongen hebben moeten maken om toch nog zoveel mogelijk geld te kunnen verdienen. Dat maakt het plaatje wel compleet, nietwaar?

Ik (TS) ben nog even gaan rondneuzen naar ISO standaarden, en ik stuitte op het OSI Reference Model voor network architectures. Deze is door de ISO naar voren gebracht in plaats van TCP/IP, wat we nu hebben.

Tanenbaum (in Computer Networks 3rd edition) heeft er dit over te zeggen (OSI):
Given the enormous complexity of the model and the protocols, it will come as no surprise that the initial implementations were huge, unwieldy, and slow.
Everyone who tried them got burned. It did not take long for people to associate "OSI" with "poor quality." While the products got better in the course of time, the image stuck.
In contrast, one of the first implementations of TCP/IP was part of Berkeley UNIX(R) and was quite good (not to mention free).

Ik denk dat iedereen die dit nu leest op internet, blij is dat OSI het niet is geworden ;-)

Een andere ISO gedrocht is OOXML dat nu naast ODF bestaat.
https://en.wikipedia.org/wiki/Standardization_of_Office_Open_XML#Criticism

Niet perse een goed track record voor ISO. Ik vind het jammer dat ze zich met IT bemoeien. En ik blijf er bij dat het veel tijd moet kosten.

Ach, ik herinner me een opmerking van een manager: "We zijn iso 27000 gecertificeerd *dus* we zijn veilig". Oh, boy, was he wrong... Dat getuigt wel van een zekere naïviteit.

Iso 27k kan helpen, maar dan moet je ook echt wel doen wat je belooft, en wel volledig invullen. Iso 27k laat toe dat je zelf bepaalt wat en hoe. Dat is de grote manco.

En dat is het echte gevaar! De papieren tijgers die zich met dat soort zaken bezig houden hebben geen enkel werkelijk inzicht in de werkelijke problematiek en denken dat ze goed bezig zijn als ze zo'n standaard erdoor drammen. Indien er voldoende tijd en geld wordt uitgetrokken om het door een team met zowel papieren tijgers als echte deskundigen te laten implementeren dan kan het wel tot een positief resultaat leiden. Want op zich hoeft er met zo'n standaard niets mis te zijn. Het zijn meer de papieren tijgers die het keer op keer verkloten.

Ik ben niet van de Taal. Dat is niet mijn sterkste punt en daar ben ik ook van op de hoogte en houd dus hier rekening mee.. Ik ben meer van de techniek.
Mijn vriendin is specialist zijn in de Nederlandse taal (afgestudeerd), maar geen enkel benul hebben van Computers.
Dus is daar een directe verband?
Als ik dit naast jouw plaatje leg, kan dit dan wel weer kloppen, hoe beter je in de Nederlandse taal bent, hoe slechter je met IT kan omgaan. Dat maakt het plaatje wel compleet, nietwaar?

Als ik op mijn werk kijk, hoeveel er afgestuurd zijn in de IT, maar werkelijk geen enkel benul hebben van hoe je werkelijk IT moet doen.

Je kan het ook van de andere kant bekijken. Specialisten die zo maar even iets doen zonder na te denken, en een mega security issue generen. Dat gebeurt veel vaker dan je denkt. Best lullig als tijdens een audit een niet gedocumenteerde wijzing naar voren komt. Wie mag er dan denk je weer een lul smoes voor verzinnen?..... Je papieren manager.

Het is altijd een samen werking tussen managers (papieren tijgers zoals jij ze noemt) en de werk vloer. Processen zijn er met een redenen, zodat je aanpassingen kan traceren naar wijziging. Daar draait het vaak om, traceerbaarheid. Zomaar een (service) account aanmaken is daar oa een onderdeel van. Maar ook iemand toestemming geven voor bepaalde data.

Lost een ISO certificering al je issues nu op. Natuurlijk niet.... De zwakste schakel is nog altijd de mens want die houd zich vaak niet aan de bedachte afspraken omdat hij het beter denkt te weten en dat afspraken niet voor hem gelden. Immers hij weet het beter.(komt je dat misschien bekend voor, alles denken beter te weten?)

Kan je nou alleen nog maar andermans argumenten omdraaien? Hoewel, dat past natuurlijk precies in het plaatje. N.B.: ik ben goed in beide, zoals de meesten hier.


Welnee! Hun die dur voor gestudeerd hebben weten er helemaal niks van! Hou toch op man!

Ze zijn allemaal afgestuurd als papieren tijgers en denken te weten hoe ze IT moeten doen. Praktijk is soms toch net even iets anders. Past eigenlijk in jouw mening van de papieren tijgers.....

Dus om even een quote aan te halen: Hou toch op man!

En hij weet weer niet met iets beters te komen dan mijn argument om te draaien. Mijn beeld van een lichtgewicht aan de zijlijn zonder eigen ideeën is hiermee definitief bevestigd!

Goh... De mensen hier zullen nu wel moeten raden wat jouw reactie hierop zal zijn! Eg wel!

Voor degenen die wat later zijn ingestapt in deze discussie zal ik het even samenvatten:

Goh... De mensen hier zullen nu wel moeten raden wat jouw reactie hierop zal zijn! Eg wel!

Nee. 14 hoofdstukke met controls. Hierboven staat de inhoudsopgave van de 2005 versie. Die is al 8 jaar achterhaald.

Dat krijg je als je geen kennis hebt maar het van Google moet halen. Foei.

Je hebt werkelijk geen idee waar je over praat. De ISO27k serie bestaat nu in die vorm 18 jaar. Er zijn ruim 50.000 bedrijven wereldwijd gecertificeerd (waaronder Microsoft, Apple, Amazon AWS, Philips etc. etc.). Je dacht toch niet dat die bedrijven dat deden als het geen nut zou hebben? Papieren tijgers zijn die normen helemaal niet. In de hele norm wordt van 13 activiteiten aangegeven dat je bewijs zou moeten hebben dat je die dingen doet. Dat kan in enkele A4'tjes.

Kom eens op een cursus van me. Dan kun je met kennis meepraten want alles wat je in deze thread beweert bewijst dat je echt kennis te kort komt.

Slarti (ISO9001/27001/7510/ETSI lead auditor bij 2 certificerende instellingen).

Nuttig?!
Is de wereld er beter van geworden?

Nee?
Misschien moeten dan de hoofdstukken nog wat aangepast worden op een zeker thema : belasting ontduiking en ontduiken van sociaal maatschappelijke verantwoording.

Mocht er een paragraaf staan waarin wordt geadviseerd overheden tegen elkaar uit te spelen om maximale kortingen op belastingheffing af te dwingen dan is het wellicht een overweging die norm maar eens te gaan schrappen.
Voldoen aan een norm om de norm kan geen doel op zich zijn.
En als normen meer kwaad dan goed doen wordt het tijd voor de versnipperaar.

Ja. Dan weet je dat er door mensen met verstand aan gewerkt is. En dat er een organisatie achter staat die zorgt voor onderhoud e.d.. Dat is jammer in deze wereld, maar soms moet je voor goede dingen betalen.

En als een paar honderd euro besteden aan deze normen teveel geld is, dan moet je maar helemaal niet aan security beginnen. Beetje firewall, load balancer, access gateway, salaris systeembeheerder etc. etc. en je bent een paar ton verder.

Betere versie:

void main()
if sender EQ "Team Foss" {
delete_message(message_id);
}

Dat codefragment kan vast veel eleganter :-) Het gebruik van een GOTO statement of spronginstructie leidt tot spaghetticode. Zulke code valt moeilijk te onderhouden. Edsger Dijkstra zou zich er flink aan hebben gestoord.

https://en.wikipedia.org/wiki/Go_To_Statement_Considered_Harmful

Merkwaardig wereldbeeld heb jij. Wat heeft dat wat je noemt met nut en noodzaak van normen zoals 27k te maken?

Nuttig?

Ik zal je 1 voorbeeld geven. Als je het SSL certificaat van security.nl bekijkt dan zie je dat dat afgegeven is door Globalsign. Dat is een certificate authority. Zolang we niet echt betere systemen hebben om te weten dat dit echt de security.nl site is moeten jij en ik het met de zekerheid die een CA ons geeft doen.

En wat is nu het geval? De browser makers vertrouwen alleen CA's die voldoen aan een aantal normen, zoals ETSI normen, normen van het CA Browser Forum e.v.a., en jammer maar helaas voor jou; dan is voldoen aan 27001 een harde eis.

Dus als jij daar het nut niet van ziet dan raad ik je aan ook geen bezoek meer te brengen aan deze site want dan heeft volgens jou ook een SSL certificaat vast geen nut...

En maak dan ook geen gebruik van de snelweg... want daarop rijden allemaal mensen met een rijbewijs. Een bewijs dat ze voldoen aan door de overheid gestelde normen. Allemaal niet nuttig? Voorkomt toch een hoop ellende denk ik dat we daar normen voor hebben.

En nou niet zwarte piet of zoiets in de discussie betrekken want ik vind het erg knap van je om belastingontduiking in de discussie te trekken.

Waar heb je die onzin nu weer vandaan. http://iips.icci.edu.iq/images/exam/Computer-Networks---A-Tanenbaum---5th-edition.pdf (fifth edition)
"1.4.5 A Critique of the OSI Model and Protocols
Neither the OSI model and its protocols nor the TCP/IP model and its protocols are perfect. Quite a bit of criticism can be, and has been, directed at both of them."
….
"1.4.6 A Critique of the TCP/IP Reference Model
The TCP/IP model and protocols have their problems too. First, the model does not clearly distinguish the concepts of services, interfaces, and protocols. Good software engineering practice requires differentiating between the specification
and the implementation, something that OSI does very carefully, but TCP/IP does not."

Met Andrew Tanebaum heb je citicus over lunix https://www.ibm.com/developerworks/community/blogs/6e6f6d1b-95c3-46df-8a26-b7efd8ee4b57/entry/linux_is_obsolete_a_must_read_debate_between_andrew_s_tanenbaum_and_linus_torvalds34?lang=en

Het is de decennia durende ergernis over nitwits die niets van ICT willen begrijpen dat ik een weerwoord ben gaan geven.
De gangbare weg van goedkoop en snel, (gratis en voor niets), wat kan er daar nu mis mee gaan.
Sox en dan is het onderdeel 404 voor ICT was een gevolg van het Enron schandaal. Antwoord fraude en bedrog.

Ah, je lijdt aan het hunnie benne dom en ikke is slim syndroom!

Even een steek over de continuïteit van bijvoorbeeld ziekenhuizen . Slotervaart MC groep is failliet.
Had je dat aan kunnen zien komen? "Definitief rapport van het inspectiebezoek in het kader van het toezicht op e-health
aan het MC Slotervaart te Amsterdam op 25 april 2018." igz

In de conclusie (nen7510 iso27002) : "De IT-strategie is onvoldoende uitgewerkt en inbreng van de diverse
belanghebbenden hierbij is onvoldoende geborgd De nieuw geformuleerde ziekenhuisstrategie heeft consequenties voor de ITstrategie. Deze consequenties zijn echter niet uitgewerkt in een ziekenhuisbrede ICT strategie. Een multidisciplinair orgaan (met vertegenwoordiging van bestuur, ICT en medische staf) dat kan adviseren en/of meebeslissen over ziekenhuisbrede ICTvraagstukken ontbreekt. " Deadline was augustus 2019

Nu is ICT van een kostenpost. Dar kan je makkelijk geld weghalen zonder dat de boel meteen omvalt. Het gevolg is wel dat de kwaliteit achteruit holt. Met dit rapport van de IGZ had een financieel specialist een negatieve beoordeling afgegeven.

Dat laat ik wel aan de open source fanaten over. He nog wat inhoudelijks?

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
Ik verwijt ze wel eens wat, maar hier staat weer zoiets wat jij echt niet ka hebben.
"Voor het gebruik van clouddiensten door zorgaanbieders bestaan verschillende normen. De meest relevante normen zijn ISAE 3402, ISO 27017 en NEN 7510. Daarnaast spelen ook de algemene beveiligingsnormen ISO 27001 en ISO 27002 een rol (zie hiervoor de beleidsregels Beveiliging van persoonsgegevens, p. 16). "

Zoveel dat er is dat je volledig fout zit en je gaat gewoon op de man spelen omdat je er niet tegen kan. Dat is echt zielig.

Veel sterkte met de wereld overtuigen waarom dit soort 'bekvecht-discussies' versleuteld over de wereld moeten.
Of waarom daar überhaupt webruimte voor gereserveerd wordt.

Pik zelf de hoofdstukjes er maar uit (h1-h12).
Hoofdstukjes waar ethiek en ethisch handelen niet in zouden misstaan.
Ethiek en ethisch handelen staan niet op zichzelf maar zijn maatschappij gerelateerd.
Het thema zwarte piet (racisme) en belastingontduiking (weglopen voor maatschappelijke verantwoordelijkheid) kunnen prima aanhaken op / in een normeringsmodel voor bedrijfsvoering.
Als dat er niet in zit is er iets ernstigs mis.

Als je dat beziet vanuit een bedrijfsvisie die zichzelf als het middelpunt van het universum (wij zijn de maatschappij) ziet en zich niet kan verplaatsen in de perceptie dat er andere visies bestaan (de onderneming is onderdeel van de maatschappij en heeft geen recht zich erbuiten te plaatsen) die meer hout snijden wel ja.

Het doet een beetje denken aan het accountantsyndroom dat goed is voor menig leak-paper, op puntjes naar de letter voldoen aan de regel en aan de eis, zonder naar het totale plaatje te willen kijken en daarmee op grote schaal wetgeving omzeilen en ontduiken.

Compliancetunnelvisielijert?

En wat voor taaltje moet dat zijn? Het void main () suggereert C/C++ maar dan klopt de rest weer niet. Het functie blok heeft geen openende en sluitende accolades; het if-statement geen haakjes; die EQ moet iets met een string compare zijn.

Jouw 'betere' versie compileert dus niet eens, laat staan dat het doet wat je wil. Vandaar dat ik dit bericht kan schrijven en je het kan lezen.

En toch werkt het bij iedereen, ongeacht welk OS je gebruikt.
Iedereen kan de bron code meteen lezen, snappen en uitvoeren.

Zal wel in de programmeer taal “logisch nadenken” zijn geschreven.

Leuke insteek over software engineering in de basis, Je moet de syntax van programmeer talen loslaten en met het ontwerp in een blauwdruk bouwtekening neerleggen.
Het start initialisatie en einde ontbreekt net zoals de keus voor een do-while of do-until. Het verschil is de 0-* of * in een klassiek ER diagram {url]https://www.edrawsoft.com/flowchart-ns-pad.php[/url.

Wat toen gestart werd door Dijkstra lijkt vrijwel volledig verloren gegaan te zijn.
Als je de concepten hebt en daar de case-select en case-wait toevoegt met de combinaties (ieder heeft 3 versies met de genoemde 2, denk aan do-while-until ) en voeg er een data-impact flow aan toe dan krijg je best wat leuks.
Ter info: case-wait bestaat niet maar als je de map-reduce yarn gebruik wilt weergeven dan heb je die nodig.

Ze hebben het er vast uitgehaald in de 4de of 5de editie.

Misschien vind je dit leuk uit de 3de editie:
For an entire book comparing and contrasting TCP/IP and OSI, see (Piscitello and Chapin, 1993).

Als je dat helemaal leest, weet je misschien meer van TCP/IP en OSI als ik. Hoewel ik moet toegeven dat ik niet altijd even goed heb opgelet tijdens de colleges hierover. (De docent las namelijk voor uit het boek van Tanenbaum, dus bleef ik maar weg).

TS

Nee, gewoon in C style pseudo code. Maar dat wist je dus duidelijk zelf niet. U is een papieren tijger zeker?

https://en.wikipedia.org/wiki/Pseudocode

"Despite this debate, Torvalds and Tanenbaum appear to be on good speaking terms; Torvalds wants it understood that he holds no animosity towards Tanenbaum, and Tanenbaum underlines that disagreements about ideas or technical issues should not be interpreted as personal feuds."

https://en.wikipedia.org/wiki/Tanenbaum%E2%80%93Torvalds_debate

Misschien is het verstandig, zowel voor de heer Karma als voor het Foss collectief, om eens een vakantie te overwegen. Ga uit wandelen. Kom in aanraking met de elementen. Kom uit je hoofd. Gaan wandelen is gezonder dan je over en weer gaan zitten ergeren aan een overloze, totaal zinloze discussie die je, vanachter jullie toetsenbord, toch nooit kunt winnen.

Dat krijg je als je opgevoed bent in PHILIPS P4000 assembler, Cobol, UCSD-Pascal, Z80 assembler, C, C++, Business Basic, etc... dan haal je wel eens wat door elkaar. Tegenwoordig quick/dirty dingen in FreeBasic (jawel; open source!!!) en wat scripting in bash. Dus wat roestig qua syntax. Mea Culpa.

In mijn hoofd en dat van anderen compileerde het denk ik uitstekend.

Slarti

Misschien omdat bijvoorbeeld de meeste browsers met enige tijd geen HTTP meer zullen accepteren?


We spreken hier dus over een norm voor informatiebeveiliging. Waarom vind jij dat ethiek en ethisch handelen daarin zou moeten staan? De kleur van WC papier? Staat er ook helaas niet in. Normen hebben een onderwerp. Er zijn vast andere normen voor ethiek en ethisch handelen.


Ik ben je hier kwijt. Heb werkelijk geen idee waarom je in jouw visie in een discussie (?) over een norm voor informatiebeveiliging dit soort zaken betrekt. Praat dan niet mee...


Dat doen kinderen vaak; schelden zonder argumenten. Als je niets beter weet is dat wel een beetje een zwaktebod.

Het staat er nog steeds allen je moet bij 1.4.5 in de PDF zijn. Je verwijzing is prima met http://campus-degrees.blogspot.com/2014/12/a-comparison-of-osi-and-tcpip-reference.html krijg je de fundamentele verschillen aangereikt. Ik leer en stof geheugen af. Voor een bedrijf kreeg SNA opgelegd (pu lu) dan wel X25 (overheid eg RDW) of moest je zelf wat bouwen. In het huidige internet is session control (stateless) een probleem voor de applicatie.


Het maakt voor een oplevering weinig uit je moet het geheel werkend zien te krijgen tegen iets wat acceptabel is. Het verbaasd me niet zo meer dat er voor moeilijke dure niet werkende opties gegaan wordt, doel en middel worden zo vaak verwisseld.

@ 17:28 discussieren kan hier niet want er heerst een assymetrie die niet te overbruggen is als je anoniem post
hint: zelfs redelijke reacties halen in de helft van de gevallen de kolommen niet door god mag weten van voor filterrules die van dag tot dag lijken te verschillen.