“Informatiesystemen worden minimaal jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teamingstesten. Internetfacing informatiesystemen worden bij voorkeur continue getest op zwakheden en kwetsbaarheden.”
Ik heb moeite met “kan bijvoorbeeld”. Wat willen wij?
27002:2022-richtlijn 8.08d verwijst al naar scanning, en 8.08e noemt al penetratietests.
Ik zou hier of verwijzen naar de 27002-richtlijn of concretiseren naar bijvoorbeeld: “Elk kwartaal (geautomatiseerde) kwetsbaarheidsanalyses, minimaal eenmaal per jaar penetratietesten, en periodiek red-teamingstesten.”
Al twijfel ik over redteaming, en vraag ik mij af of er een nuancering nodig is voor OT.
“Informatiesystemen worden minimaal jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses, penetratietesten of red-teamingstesten. Internetfacing informatiesystemen worden bij voorkeur continue getest op zwakheden en kwetsbaarheden.”
Ik heb moeite met “kan bijvoorbeeld”. Wat willen wij?
27002:2022-richtlijn 8.08d verwijst al naar scanning, en 8.08e noemt al penetratietests.
Ik zou hier of verwijzen naar de 27002-richtlijn of concretiseren naar bijvoorbeeld: “Elk kwartaal (geautomatiseerde) kwetsbaarheidsanalyses, minimaal eenmaal per jaar penetratietesten, en periodiek red-teamingstesten.”
Al twijfel ik over redteaming, en vraag ik mij af of er een nuancering nodig is voor OT.