Security Professionals - ipfw add deny all from eindgebruikers to any

Beleidsstukken voor informatiebeveiliging

20-09-2018, 18:26 door tek_h, 9 reacties

Algemene vraag mbt beleidsstukken informatiebeveiliging....

Vaak zie ik beleidsstukken die te downloaden zijn op de website van een organisatie.

Andere organisaties hebben wel een classificatie en delen de stukken niet met derden.

Is dit een kwestie van smaak en perspectief van een security professional? Wat is hier de achterliggende gedachte?

Twee lokale IP adressen

Microsoft Linux Subsystem Download niet te vinden

Reacties (9)

20-09-2018, 22:23 door karma4

Het kan ingegeven zijn dat ze letterlijk de algemene richtlijnen zoals de ISO 27k hebben opgenomen in hun toelichting.
Dan is openbare publicatie uitgesloten wegens auteursrechten.

Het kan zijn dat er vele namen in opgenomen zijn met hun rol (versiebeheer).
Dan is openbare publicatie uitgesloten wegens privacy.

Er is geen verplichting om die beleidsstukken te publiceren.
Sommige security verantwoordelijk geloven dat ze geheim moeten zijn omdat kwaadwillenden anders te veel zouden weten.
Technische operationele details horen niet in de tactische en strategische stukken daarmee ben ik voor openbaarheid.
Voor overheidsinstanties is er VNG KING en NORA (bir-tnk) daarmee hoeven ze niet veel meer zelf in te vullen

25-10-2018, 10:56 door nadhim

De best practices van de norm NEN-ISO/IEC 27002 en de privacy richtsnoeren van het CBP vormen, voor zover zij bijdragen aan de informatiebeveiliging van <PPPP>, het uitgangspunt voor de te definiëren maatregelen. Dit is een bedrijfseconomische afweging.

25-10-2018, 11:50 door Anoniem

Vaak zie ik beleidsstukken die te downloaden zijn op de website van een organisatie. Andere organisaties hebben wel een classificatie en delen de stukken niet met derden.

Het feit dat je bepaalde stukken ziet op de website zegt niets over of een organisatie zaken classificeert, en evenmin over wat men *niet* publiek deelt op de website. Het hebben van classificatie impliceert niet per definitie dat je niets publiceert (kijk naar de AIVD, en de periodieke rapporten) ;)

25-10-2018, 11:52 door Anoniem

@karma4: je neemt toch geen namen op in beleidsstukken maar rollen... Bij iedere personele wisseling zou je anders nieuwe beleidsstukken moeten publiceren. Dat is incompetentie ten top en een heel slecht argument.

25-10-2018, 13:26 door Anoniem

Door Anoniem: @karma4: je neemt toch geen namen op in beleidsstukken maar rollen... Bij iedere personele wisseling zou je anders nieuwe beleidsstukken moeten publiceren. Dat is incompetentie ten top en een heel slecht argument.

Ik denk dat karma4 doelde op de auteurs van het document en hun functie, niet op de in het document beschreven functies.

25-10-2018, 14:29 door User2048

In ISO 27001:2013 hoofdstuk 5.2 staat onder g)

Het beleid voor informatiebeveiliging moet beschikbaar zijn voor belanghebbenden, voor zover van toepassing.

Om aan de norm te voldoen moet het beleid beschikbaar zijn voor belanghebbenden. Dat wil niet zeggen dat je het op je website moet publiceren, maar belanghebbenden moeten het kunnen inzien. Wie belanghebbenden zijn moet je volgens de norm vastleggen, zie hoofdstuk 4.2 van ISO 27001. Het verdient aanbeveling om het beleidsstuk zo te schrijven dat er geen informatielek ontstaat als je het beschikbaar stelt aan derden. Zet er dus geen gevoelige informatie in. Gevoelige informatie zet je in onderliggende documenten die je niet vrijgeeft.

25-10-2018, 14:55 door Anoniem

Versie beheer ? Gaat over wie wanneer een document bewerkt ?

26-10-2018, 19:16 door karma4

Door Anoniem:

Versie beheer ? Gaat over wie wanneer een document bewerkt ?

Dank je correct en to the point. Ik zie de opmerking "versiebeheer"er boven bij staan.
Je hebt het met versiebeheer maar ook de contacten voor een DR uitwijk etc.
Die moet je niet bewaren binnen het betrokken ICT deel. Heb je ze nodig dan moeten ze bereikbaar zijn.
Strategisch tactisch zijn de ISo27002 Nen7510 openbaar de specifieke eisen als de BIO is de opvolger van wat de bir-tnk is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Beleidsstukken voor informatiebeveiliging

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren