dvebzk
commented
3 months ago @Weerd2 Dank voor je feedback. De inleiding is gisteren beschikbaar gekomen en is te vinden via de BIO pagina. In de nieuwe tekst is jouw feedback verwerkt.
De reactie per punt: 1) Het is inderdaad niet het idee om specifieke OT maatregelen/richtlijnen op te nemen in de BIO. In de inleiding staat een verwijzing naar de kaders voor OT. 2) Met het aansluiten op de NEN-EN-ISO 27001 en 27002 wordt het mogelijk om gebruik te maken van de HS (zie link in de Inleiding). Daarmee is het mogelijk om ook andere onderwerpen in een managementsysteem te behandelen (zoals de NEN norm voor een gezonde werkplek). 3) Risicomanagement krijgt de aandacht in de Inleiding van de BIO. Dit kwam ook terug in #19.
Graag hoe jij kijkt naar de verwerking van jouw feedback.
Ik zie wel een focus op OT security. Alleen de maatregelen worden niet beschreven. Omdat de iso27001 vooral gericht is op het management systeem en vaag omschreven ICT maatregelen zou ik in de aanvullende maatregelen de iec62443 terug zien komen voor OT security. Security levels vertalen naar BIV en vice versa.
Daarnaast zou ik willen benadrukken om aan alle organisaties 1 management systeem verplicht te stellen. Nu zie je vaak een wir war aan managementsystemen en dubbele processen etc. Er wordt dan vaak vanuit een zuil/kollom/afdeling gedacht en het behalen van (papieren)vinkjes. Overbodig, geld en tijdverspilling en biedt ruimte om eigen geitenpaden te creeeren.
als laatste, leg extra nadruk op risicomanagement (beheersing). Security is Risico.