Security Professionals
- ipfw add deny all from eindgebruikers to any
ISO 27001:2013 risk assessment
Ik ben bezig met het in kaart brengen van risico's. Nu wil ik deze risico's koppelen aan 'treatments' in de vorm van beheersmaatregelen uit appendix A.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Reacties (7)
Ha Denii,
Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
De ISO vraagt naar informatiecontuiteit, business continuiteit vraagt naar continuiteit van je gehele onderneming.
Als je dus wilt motiveren waarom een bepaalde maatregel van toepassing is om risico X te mitigeren, hou dan dit verschil goed in de gaten.
Ik gebruik zelf Ravib.nl voor risicoanalyses voor de organisatie op een generiek niveau, best een leuke tool.
Succes!
Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
De ISO vraagt naar informatiecontuiteit, business continuiteit vraagt naar continuiteit van je gehele onderneming.
Als je dus wilt motiveren waarom een bepaalde maatregel van toepassing is om risico X te mitigeren, hou dan dit verschil goed in de gaten.
Ik gebruik zelf Ravib.nl voor risicoanalyses voor de organisatie op een generiek niveau, best een leuke tool.
Succes!
22-12-2014, 11:22 door
denii
@Anoniem
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Wellicht dat deze website je verder helpt: https://www.ravib.nl/. Met name de pagina over koppelingen (https://www.ravib.nl/koppelingen) bevat voor jou nuttige informatie.
Door denii: @Anoniem
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Niet helemaal waar. Zie https://www.ravib.nl/broncode En minder veilig? Ach, waarom ravib niet vertrouwen, maar andere webdiensten wel? Voor meer info, zie https://www.ravib.nl/verklaringHelemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
22-12-2014, 14:04 door
denii
Door Anoniem:
Door denii: @Anoniem
Helemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Niet helemaal waar. Zie https://www.ravib.nl/broncode En minder veilig? Ach, waarom ravib niet vertrouwen, maar andere webdiensten wel? Voor meer info, zie https://www.ravib.nl/verklaringHelemaal gelijk. Bedankt!
Ravib is voor mij geen optie omdat er alleen online gewerkt kan worden. Niet alleen onpraktisch, maar ook minder veilig.
Bedankt voor de aanvulling. In de tijd dat ik Ravib gebruikte en om een lokale variant vroeg kreeg ik te horen dat dit geen optie was (ook begrijpelijk). Nu is het weer een serieuze optie. Het heeft overigens weinig met vertrouwen inde bekwaamheid van Hugo te maken, ik wil een RA gewoon niet online hebben.
22-12-2014, 14:33 door
Erik van Straten
21-12-2014, 10:11 door denii: Ik ben bezig met het in kaart brengen van risico's. Nu wil ik deze risico's koppelen aan 'treatments' in de vorm van beheersmaatregelen uit appendix A.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
Kan iemand me vertellen waar ik zaken als brand en waterschade aan zou kunnen koppelen? Ik zou denken dat ik dan moet zoeken in beheersmaatregelen onder 11.2, maar kom niet verder dan maatregel 11.2.1. En ook daar kan ik voor mijn gevoel maatregelen als een brandblusser of brandmeldinstallatie niet onder plaatsen.
21-12-2014, 11:00 door Anoniem:Brand en waterschade en alle overige vormen van "rampen" vallen onder business continuiteit. Kijk hiervoor bij Annex A §17.
Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
Of dat verschillende gebieden zijn, hangt sterk af van het soort organisatie waar je met BCM (Business Continuity Management) en/of IB (InformatieBeveiliging) bezig bent. Voor een chemische fabriek bijvoorbeeld is er een duidelijk verschil tussen beide gebeiden, maar voor een ICT bedrijf is dat onderscheid veel kleiner (tot niet aanwezig). Immers, als het pand van een ICT bedrijf afbrandt of er ontstaat waterschade in de serverruimte, dan betekent dit in de praktijk dat lokale informatievoorzieningen niet meer beschikbaar zijn, en niemand de telefoon kan opnemen.Let wel op: Business continuity managmeent en informatiebeveiliging zijn verschillende gebieden.
Zelf heb ik veel plezier van de ISO27002:2013, die bevat dezelfde informatie als de Annex van ISO 27001:2013, echter aangevuld met veel sprekende voorbeelden van te nemen maatregelen (een checklist kun je het nog steeds niet noemen, maar het biedt zeker handvatten). De tijd die ik daarmee al bespaard heb gaat de kostprijs ruim te boven.
Nb. we hebben de Engelstalige 27001 en de Nederlandstalige 27002 aangeschaft. De 27001 omdat de meeste informatie op Internet in het Engels is (dus met Googlen makkelijker te vinden). Met die combinatie heb je meteen de "juiste" (in elk geval conform ISO) vertalingen tussen de Annex titels uit 27001 en de bijbehorende hoofdstuktitels in 27001.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.