Net een account aangevraagd, ik ben benieuwd naar wat je ervan gemaakt hebt.

Het proces dat je beschrijft is niet nieuw en is 6 jaar geleden al door het bedrijf Armiz bedacht, geregistreerd en in gebruik genomen. Daarbij wordt echter geen (geautomatiseerde) tooling gebruikt.

Ik wil je er op wijzen dat er wellicht dusdanige overeenkomsten in jouw werkwijze en die van Armiz kunnen zijn, dat er sprake kan zijn van een licentie plicht.

Zou je met ons contact op kunnen nemen om in overleg te treden? Contactgegevens vind je op de website van Armiz.

Hugo,

Complimenten voor de uitwerking zover. De koppeling van dreiging aan maatregelen is een nuttig instrument

Alvast een paar vragen en opmerkingen.
1. Klopt het dat de p & s onder BIV bij dreigingen voor Primair en Secundair staan ? en doe je hier verder ook nog wat mee in de rest van de tool?
2. Ben je uitgegaan van een externe bron of methode bij het samenstellen van de dreigingen?

Op dit moment lijkt de tool vanuit de maatregelen te werken. (Bij de maatregelen zit een echte koppeling met welke bedreigingen ze adresseren) Als ik vanuit de organisatie redeneer zou ik het liever vanuit het perspectief van de dreigingen bekijken. (dus vanuit de dreigingen kunnen kijken welke maatregelen je daarvoor genomen hebt) Als je dan bij maatregelen aan kunt geven of deze generiek zijn of per informatiesysteem genomen (moeten) worden kun je bij een dreiging gelijk zien welke generieke maatregelen al genomen zijn bij het adresseren van een andere dreiging.

Een koppeling van de dreigingen en maatregelen met de informatiesystemen systemen uit de BIA is dan de ultieme kers op de taart.

Groet,
Peter

In het algemeen is het toegestaan om aan te leunen bij andermans werkwijze, en al helemaal als er alleen sprake is van toevallige gelijkenis.

Een octrooi is de enige uitzondering hier, maar die gaat niet op want dit proces is niet octrooieerbaar.

Auteursrecht speelt geen rol, tenzij er concrete creatieve teksten zijn gekopieerd. Enkel het aanwezig zijn van overeenkomsten is onvoldoende bewijs daarvoor.

Wauw, een echte Nederlandse patenttrol!!

Ik heb mijn eerste reactie iets te haastig opgesteld, (niet goed gekeken) maar wat ik probeerde te zeggen was dat het veel meerwaarde zou hebben om bij dreigingen gelijk te kunnen zien welke maatregelen er al genomen zijn.

@ Armiz, De werkwijze die Hugo hier toepast is een standaard methode bij risico beheersing die al heel lang bestaat. Er zijn op talloze vakgebieden voorbeelden van te vinden en er zijn zelfs meerdere leveranciers die (kostbare) software pakketten bieden die hetzelfde doen wat Hugo hier doet. Jullie staan nu in ieder geval bij mij op de lijst met bedrijven met wie ik geen zaken zou willen doen.

Ook ik heb net een account aangevraagd, ben heel benieuwd

Voor de goede orde, een patenttrol ontwikkelt zelf niets maar koopt patenten. Wij hebben veel tijd en geld in de ontwikkeling van een RA proces gestoken, dus het lijkt me niet meer dan normaal dat je probeert te voorkomen dat een ander daar (ongewild/onbedoeld) gebruik van maakt.

Wanneer je jouw werkwijze op de NEN7510 hebt gestoeld dan zal je proces niet op dat van Armiz lijken, maar je bent altijd welkom om van gedachten te wisselen.

Intrigerend. Wat is het patentnummer?

Interessante ontwikkeling.

Maar wat ik al eerder aangaf... er is hier klaarblijkelijk door 1 persoon een goedbedoeld initiatief genomen. En dat leidt mogelijkerwijs tot keuzes voor maatregelen als bepaalde dreigingen relevant geacht worden en er een risico is. De invoering van die maatregelen kan veel geld kosten. Vervelend als de RA niet goed was.

Erger is dat door foute koppelingen, incomplete dreigingenlijst, fouten in de tooling, maatregelen die echt nodig waren niet geselecteerd worden.

Daarom zou ik dit tool dus never nooit zomaar bij een klant gebruiken voordat er een *gedocumenteerde* peer review heeft plaatsgevonden.

De oorspronkelijke lijst waar je van uit bent gegaan komt uit de BSI publicatie PD3005 en het RA2 tool. En het spreadsheet dat je in de je eerste posts noemde heb ik jaren geleden gemaakt en breed uitgereikt (o.a. in alle NEN trainingen rond ISO27001 en NEN7510 voor alle ziekenhuizen). Aan die lijst en dat tool hebben veel mensen gewerkt onder andere Ted Humphries en Angelika Plate, leden van de ISO werkgroepen, leden uit de NEN normcommissies, consultants van de big-four etc. etc. En die tooling is eerst in pilots ingezet en is uiteindelijk bij veel ISO27001 projecten gebruikt en door CB's goedgekeurd.

Als ik als auditor bij jouw klanten een vraag ga stellen over de maatregelselectie a.h.v. dit tool in een certificeringsproces dan sta je met de mond vol tanden... er is geen enkele zekerheid (100% is nooit te halen natuurlijk maar peer review is absolute noodzaak) dat dit tool ook maar enigszins betrouwbaar is. Althans niet op dit moment. En het dan al bij klanten gaan inzetten? Brrr.....

Leuk overigens dat iemand hier dreiging, kans maal impact en maatregelen koppelen als idee denkt te kunnen beschermen.