ISO 27001@Ibuildings?

Once upon a time...

• There was no security

But what?

OWASP SAMM

What I expected

Reality

4. Context

• Scope

• Interested parties

5. Leadership

• High level policy

• Roles & responsibilities

6. Planning• Risks

• Risk criteria

• Risk treatment

• Controls & Objectives

Controls in Annex A• A.5.1.1. Ten behoeve van informatiebeveiliging moet een

reeks beleidsregels worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.

• A8.1.1. Informatie, andere bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen moet een inventaris worden opgesteld en onderhouden.

Controls in Annex A

• A.11.1.6 Laad- en loslocatie BeheersmaatregelToegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.

7. Support• Means

• Compentence

• Awareness

• Communication (policy)

8. Operation

• Execute risk treatment

• Assess risk periodically

9. Evaluate

• Monitor & measure

• Internal audit

• Management review

10. Improve

• When Shit Hits The Fan

• GOTO 10