Upload
boy-baukema
View
89
Download
4
Embed Size (px)
Citation preview
ISO 27001@Ibuildings?
Once upon a time...
• There was no security
But what?
OWASP SAMM
What I expected
Reality
4. Context
• Scope
• Interested parties
5. Leadership
• High level policy
• Roles & responsibilities
6. Planning• Risks
• Risk criteria
• Risk treatment
• Controls & Objectives
Controls in Annex A• A.5.1.1. Ten behoeve van informatiebeveiliging moet een
reeks beleidsregels worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
• A8.1.1. Informatie, andere bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen moet een inventaris worden opgesteld en onderhouden.
Controls in Annex A
• A.11.1.6 Laad- en loslocatie BeheersmaatregelToegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
7. Support• Means
• Compentence
• Awareness
• Communication (policy)
8. Operation
• Execute risk treatment
• Assess risk periodically
9. Evaluate
• Monitor & measure
• Internal audit
• Management review
10. Improve
• When Shit Hits The Fan
• GOTO 10