Lunchbox presentation on use of ISO 27001 at Ibuildings.nl.

1. ISO 27001
@Ibuildings?

2. Once upon a time...
• There was no security

4. But what?

5. OWASP SAMM

7. What I expected

8. Reality

10. 4. Context
• Scope
• Interested parties

11. 5. Leadership
• High level policy
• Roles & responsibilities

12. 6. Planning
• Risks
• Risk criteria
• Risk treatment
• Controls & Objectives

13. Controls in Annex A
• A.5.1.1. Ten behoeve van informatiebeveiliging moet een
reeks beleidsregels worden gedefinieerd, goedgekeurd
door de directie, gepubliceerd en gecommuniceerd aan
medewerkers en relevante externe partijen.
• A8.1.1. Informatie, andere bedrijfsmiddelen die
samenhangen met informatie en informatieverwerkende
faciliteiten moeten worden geïdentificeerd, en van deze
bedrijfsmiddelen moet een inventaris worden opgesteld en
onderhouden.

14. Controls in Annex A
• A.11.1.6 Laad- en loslocatie
Beheersmaatregel
Toegangspunten zoals laad- en loslocaties en andere
punten waar onbevoegde personen het terrein kunnen
betreden, moeten worden beheerst, en zo mogelijk worden
afgeschermd van informatieverwerkende faciliteiten om
onbevoegde toegang te vermijden.

15. 7. Support
• Means
• Compentence
• Awareness
• Communication (policy)

16. 8. Operation
• Execute risk treatment
• Assess risk periodically

17. 9. Evaluate
• Monitor & measure
• Internal audit
• Management review

18. 10. Improve
• When Shit Hits The Fan
• GOTO 10