Koppelingen tussen dreigingen en maatregelen

De directie stuurt niet op informatiebeveiliging. Verantwoordelijkheden richting lijnmanagers zijn niet belegd. Een informatiebeveiligingsbeleid en/of ISMS ontbreekt.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: primair

• 5.1 Beleidsregels voor informatiebeveiliging
• 5.4 Managementverantwoordelijkheden
• 5.5 Contact met overheidsinstanties
• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.29 Informatiebeveiliging tijdens een verstoring
• 5.35 Onafhankelijke beoordeling van informatiebeveiliging
• 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging

Lijnmanagers zorgen er onvoldoende voor dat informatiebeveiliging binnen hun afdeling op de juiste manier wordt ingevuld. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: primair

• 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging
• 5.4 Managementverantwoordelijkheden
• 5.5 Contact met overheidsinstanties
• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.10 Aanvaard gebruik van informatie en andere gerelateerde bedrijfsmiddelen
• 5.12 Classificeren van informatie
• 5.35 Onafhankelijke beoordeling van informatiebeveiliging
• 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging

Binnen projecten (exclusief softwareontwikkeling) is onvoldoende aandacht voor beveiliging. Dit heeft negatieve gevolgen voor nieuwe systemen en processen die binnen de organisatie worden geïntroduceerd.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: primair

• 5.8 Informatiebeveiliging in projectmanagement
• 5.19 Informatiebeveiliging in leveranciersrelaties
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 5.37 Gedocumenteerde bedieningsprocedures
• 8.6 Capaciteitsbeheer
• 8.27 Principes voor de engineering van beveiligde systemen en systeemarchitecturen
• 8.28 Veilige software ontwikkelen
• 8.32 Wijzigingsbeheer

Het ontbreekt de medewerkers aan bewustzijn op het gebied van informatiebeveiliging en voelen onvoldoende noodzaak daaraan bij te dragen.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: primair

• 5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging
• 5.4 Managementverantwoordelijkheden
• 6.1 Screening
• 6.2 Arbeidsovereenkomst
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 6.4 Disciplinaire procedure

Onvoldoende aandacht voor beveiliging bij het zelf of laten ontwikkelen van software leidt tot inbreuk op de informatiebeveiliging.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: primair

• 5.32 Intellectuele eigendomsrechten
• 8.4 Toegangsbeveiliging op broncode
• 8.25 Beveiligen tijdens de ontwikkelcyclus
• 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie
• 8.30 Uitbestede systeemontwikkeling
• 8.31 Scheiding van ontwikkel-, test- en productieomgevingen
• 8.33 Testgegevens

Informatie op een systeem is ontoegankelijk gemaakt, doordat malware (ransomware, wipers) of een aanvaller deze informatie heeft versleuteld of verwijderd.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: secundair

• 5.6 Contact met speciale belangengroepen
• 5.7 Informatie over informatiebeveiligingsdreigingen
• 5.15 Toegangsbeveiliging
• 5.17 Beheren van authenticatie informatie
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 8.7 Bescherming tegen malware
• 8.8 Beheer van technische kwetsbaarheden
• 8.13 Back-up van informatie
• 8.22 Netwerksegmentatie
• 8.23 Toepassen van webfilters

Een netwerkdienst is verminderd beschikbaar door een moedwillige aanval (DoS) of door onvoorziene toename van de hoeveelheid verzoeken of van de benodigde resources om een verzoek af te handelen. Verzoeken kunnen komen vanuit gebruikers, maar ook vanuit andere systemen.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.7 Informatie over informatiebeveiligingsdreigingen
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 8.6 Capaciteitsbeheer
• 8.14 Redundantie van informatieverwerkende faciliteiten

Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur en apparatuur van derden die in verbinding staan met het bedrijfsnetwerk, bestaat de kans op bijvoorbeeld besmetting met malware.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: primair

• 5.19 Informatiebeveiliging in leveranciersrelaties
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 6.7 Werken op afstand
• 8.1 Gebruikersapparatuur
• 8.7 Bescherming tegen malware
• 8.20 Beveiliging netwerkcomponenten
• 8.21 Beveiliging van netwerkdiensten
• 8.22 Netwerksegmentatie

Hardware van onvoldoende kwaliteit kan leiden tot uitval van systemen.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 7.8 Plaatsen en beschermen van apparatuur
• 7.13 Onderhoud van apparatuur
• 8.13 Back-up van informatie
• 8.14 Redundantie van informatieverwerkende faciliteiten

Fouten in software kunnen leiden tot systeemcrashes of het corrupt raken van de in het systeem opgeslagen informatie.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: -

• 5.8 Informatiebeveiliging in projectmanagement
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 8.19 Installeren van software op operationele systemen
• 8.27 Principes voor de engineering van beveiligde systemen en systeemarchitecturen
• 8.28 Veilige software ontwikkelen
• 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie
• 8.31 Scheiding van ontwikkel-, test- en productieomgevingen
• 8.32 Wijzigingsbeheer

Onjuiste configuratie van een applicatie kan leiden tot een verkeerde verwerking van informatie.
Beschikbaarheid: secundair, Integriteit: primair, Vertrouwelijkheid: -

• 5.8 Informatiebeveiliging in projectmanagement
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.37 Gedocumenteerde bedieningsprocedures
• 8.9 Configuratiebeheer
• 8.32 Wijzigingsbeheer
• 8.34 Bescherming van informatiesystemen tijdens audit

In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen (intern en extern).
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: -

• 5.8 Informatiebeveiliging in projectmanagement
• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 8.8 Beheer van technische kwetsbaarheden
• 8.19 Installeren van software op operationele systemen
• 8.30 Uitbestede systeemontwikkeling
• 8.32 Wijzigingsbeheer

Onvoldoende kennis of te weinig controle op andermans werk vergroot de kans op menselijke fouten. Gebruikersinterfaces die niet zijn afgestemd op het gebruikersniveau verhogen de kans op fouten.
Beschikbaarheid: secundair, Integriteit: primair, Vertrouwelijkheid: -

• 5.8 Informatiebeveiliging in projectmanagement
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 8.2 Speciale toegangsrechten
• 8.12 Voorkomen van gegevenslekken
• 8.13 Back-up van informatie
• 8.23 Toepassen van webfilters

Het ontbreken van een beleid op bijvoorbeeld systeemgebruik en internetgebruik, vergroot de kans op misbruik, onnodige belasting van het systemen en het netwerk, malware besmettingen en/of reputatieschade.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: secundair

• 5.3 Functiescheiding
• 5.10 Aanvaard gebruik van informatie en andere gerelateerde bedrijfsmiddelen
• 5.18 Toegangsrechten
• 5.32 Intellectuele eigendomsrechten
• 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
• 6.2 Arbeidsovereenkomst
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 6.4 Disciplinaire procedure
• 8.15 Gebeurtenisregistratie
• 8.19 Installeren van software op operationele systemen
• 8.23 Toepassen van webfilters

Door onvoldoende controle op de uitgifte en onjuiste inventarisatie van bedrijfsmiddelen bestaat de kans dat diefstal niet of te laat wordt opgemerkt.
Beschikbaarheid: secundair, Integriteit: -, Vertrouwelijkheid: primair

• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.11 Retourneren van bedrijfsmiddelen
• 6.1 Screening
• 7.2 Fysieke toegangsbeveiliging
• 7.3 Beveiligen van kantoren, ruimten en faciliteiten
• 7.4 Monitoren van de fysieke beveiliging
• 7.5 Beschermen tegen fysieke en omgevings dreigingen
• 7.8 Plaatsen en beschermen van apparatuur
• 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein
• 8.1 Gebruikersapparatuur
• 8.10 Wissen van informatie
• 8.12 Voorkomen van gegevenslekken
• 8.13 Back-up van informatie

Door het ontbreken van een clear-desk en/of clear-screen policy kan toegang verkregen worden tot gevoelige informatie.
Beschikbaarheid: secundair, Integriteit: primair, Vertrouwelijkheid: primair

• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 7.7 'Clear desk' en 'clear screen'
• 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein
• 8.1 Gebruikersapparatuur
• 8.21 Beveiliging van netwerkdiensten

Het toelaten van externen, zoals leveranciers en projectpartners, kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.19 Informatiebeveiliging in leveranciersrelaties
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 6.1 Screening
• 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
• 7.3 Beveiligen van kantoren, ruimten en faciliteiten
• 7.4 Monitoren van de fysieke beveiliging

Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie.
Beschikbaarheid: secundair, Integriteit: -, Vertrouwelijkheid: primair

• 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
• 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein
• 7.10 Opslagmedia
• 8.1 Gebruikersapparatuur
• 8.10 Wissen van informatie
• 8.12 Voorkomen van gegevenslekken
• 8.24 Gebruik van cryptografie

Door onvoldoende (mogelijkheid op) controle op een identiteit, kan ongeautoriseerde toegang verkregen worden tot vertrouwelijke informatie. Denk hierbij ook aan social engineering, zoals phishing en CEO-fraude.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.14 Overdragen van informatie
• 5.16 Identiteitsbeheer
• 5.17 Beheren van authenticatie informatie
• 6.1 Screening
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 6.4 Disciplinaire procedure
• 7.4 Monitoren van de fysieke beveiliging
• 7.7 'Clear desk' en 'clear screen'
• 8.1 Gebruikersapparatuur
• 8.2 Speciale toegangsrechten
• 8.15 Gebeurtenisregistratie
• 8.26 Toepassingsbeveiligingseisen

Door onvoldoende controle op medewerkers met bijzondere rechten, zoals systeembeheerders, bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.3 Functiescheiding
• 5.10 Aanvaard gebruik van informatie en andere gerelateerde bedrijfsmiddelen
• 5.16 Identiteitsbeheer
• 5.19 Informatiebeveiliging in leveranciersrelaties
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 6.1 Screening
• 6.4 Disciplinaire procedure
• 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband
• 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
• 8.2 Speciale toegangsrechten
• 8.12 Voorkomen van gegevenslekken
• 8.15 Gebeurtenisregistratie
• 8.16 Monitoren van activiteiten
• 8.17 Kloksynchronisatie

Door een ontbrekend, onjuist of onduidelijk proces voor het uitdelen en innemen van rechten, kan een persoon onbedoeld meer rechten hebben. Deze rechten kunnen door deze persoon zelf of door anderen (bijv. via malware) misbruikt worden.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.11 Retourneren van bedrijfsmiddelen
• 5.15 Toegangsbeveiliging
• 5.16 Identiteitsbeheer
• 5.17 Beheren van authenticatie informatie
• 5.18 Toegangsrechten
• 6.5 Verantwoordelijkheden na beëindiging of wijziging van het dienstverband
• 8.2 Speciale toegangsrechten
• 8.3 Beperking toegang tot informatie
• 8.4 Toegangsbeveiliging op broncode
• 8.9 Configuratiebeheer
• 8.12 Voorkomen van gegevenslekken
• 8.18 Gebruik van speciale systeemhulpmiddelen
• 8.31 Scheiding van ontwikkel-, test- en productieomgevingen

Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.17 Beheren van authenticatie informatie
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 8.5 Beveiligde authenticatie
• 8.12 Voorkomen van gegevenslekken

Door onduidelijkheid over vertrouwelijkheid van informatie van informatie en bevoegdheid van personen bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.
Beschikbaarheid: -, Integriteit: secundair, Vertrouwelijkheid: primair

• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.10 Aanvaard gebruik van informatie en andere gerelateerde bedrijfsmiddelen
• 5.12 Classificeren van informatie
• 5.13 Labelen van informatie
• 5.14 Overdragen van informatie
• 5.15 Toegangsbeveiliging
• 5.33 Beschermen van registraties
• 8.12 Voorkomen van gegevenslekken
• 8.26 Toepassingsbeveiligingseisen
• 8.33 Testgegevens

Gevoelige informatie kan lekken indien opslagmedia of systemen welke opslagmedia bevatten worden weggegooid of ter reparatie aan derden worden aangeboden.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 7.10 Opslagmedia
• 7.13 Onderhoud van apparatuur
• 7.14 Veilig verwijderen of hergebruiken van apparatuur
• 8.10 Wissen van informatie
• 8.12 Voorkomen van gegevenslekken

Kwetsbaarheden in applicaties of hardware worden misbruikt (exploits) om ongeautoriseerde toegang te krijgen tot een applicatie en de daarin opgeslagen informatie.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.6 Contact met speciale belangengroepen
• 5.7 Informatie over informatiebeveiligingsdreigingen
• 5.8 Informatiebeveiliging in projectmanagement
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
• 8.7 Bescherming tegen malware
• 8.8 Beheer van technische kwetsbaarheden
• 8.12 Voorkomen van gegevenslekken
• 8.15 Gebeurtenisregistratie
• 8.16 Monitoren van activiteiten
• 8.22 Netwerksegmentatie
• 8.23 Toepassen van webfilters
• 8.27 Principes voor de engineering van beveiligde systemen en systeemarchitecturen
• 8.28 Veilige software ontwikkelen
• 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie
• 8.32 Wijzigingsbeheer

Zwakheden in de beveiliging van het (draadloze) netwerk worden misbruikt om toegang te krijgen tot dit netwerk.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.6 Contact met speciale belangengroepen
• 5.7 Informatie over informatiebeveiligingsdreigingen
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 7.12 Beveiligen van bekabeling
• 8.5 Beveiligde authenticatie
• 8.8 Beheer van technische kwetsbaarheden
• 8.16 Monitoren van activiteiten
• 8.20 Beveiliging netwerkcomponenten
• 8.22 Netwerksegmentatie
• 8.29 Testen van de beveiliging tijdens ontwikkeling en acceptatie

Door aanpassingen in netwerkconfiguratie of fysieke netwerkonderdelen wordt netwerkverkeer omgeleid, waardoor deze afgeluisterd kan worden.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.6 Contact met speciale belangengroepen
• 5.7 Informatie over informatiebeveiligingsdreigingen
• 5.19 Informatiebeveiliging in leveranciersrelaties
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 7.12 Beveiligen van bekabeling
• 8.5 Beveiligde authenticatie
• 8.7 Bescherming tegen malware
• 8.8 Beheer van technische kwetsbaarheden
• 8.9 Configuratiebeheer
• 8.12 Voorkomen van gegevenslekken
• 8.22 Netwerksegmentatie
• 8.32 Wijzigingsbeheer

Doordat externe partijen / leveranciers hun informatiebeveiliging niet op orde hebben, kunnen inbreuken ontstaan op de informatie waar zij toegang tot hebben.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.8 Informatiebeveiliging in projectmanagement
• 5.19 Informatiebeveiliging in leveranciersrelaties
• 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 8.34 Bescherming van informatiesystemen tijdens audit

Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd. Denkbij ook aan Bring Your Own Device (BYOD).
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 6.7 Werken op afstand
• 7.9 Beveiligen van bedrijfsmiddelen buiten het terrein

Door middel van keyloggers of netwerktaps wordt gevoelige informatie achterhaald.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 7.1 Fysieke beveiligingszones
• 7.2 Fysieke toegangsbeveiliging
• 7.8 Plaatsen en beschermen van apparatuur
• 7.12 Beveiligen van bekabeling
• 8.7 Bescherming tegen malware
• 8.12 Voorkomen van gegevenslekken

Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie.
Beschikbaarheid: -, Integriteit: secundair, Vertrouwelijkheid: primair

• 5.12 Classificeren van informatie
• 5.13 Labelen van informatie
• 5.14 Overdragen van informatie
• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 6.4 Disciplinaire procedure
• 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
• 7.10 Opslagmedia
• 8.24 Gebruik van cryptografie
• 8.26 Toepassingsbeveiligingseisen

Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.14 Overdragen van informatie
• 6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
• 7.10 Opslagmedia
• 8.12 Voorkomen van gegevenslekken
• 8.24 Gebruik van cryptografie
• 8.26 Toepassingsbeveiligingseisen

Informatie gaat verloren door onleesbaar geraken van medium of gedateerd raken van bestandsformaat.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.33 Beschermen van registraties
• 7.10 Opslagmedia
• 8.13 Back-up van informatie

Ongewenste handelingen als gevolg van foutieve bedrijfsinformatie of het toegestuurd krijgen van foutieve informatie. Dit kan zijn als gevolg van moedwillig handelen of van een vergissing.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: -

• 5.14 Overdragen van informatie
• 5.19 Informatiebeveiliging in leveranciersrelaties
• 8.24 Gebruik van cryptografie
• 8.26 Toepassingsbeveiligingseisen

Door een onjuist of ontbrekend sleutelbeheer bestaat de kans op misbruik van cryptografische sleutels. Het gebruik van zwakke cryptografische algoritmen biedt schijnveiligheid.
Beschikbaarheid: -, Integriteit: primair, Vertrouwelijkheid: primair

• 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen
• 8.11 Maskeren van gegevens
• 8.24 Gebruik van cryptografie

Cryptografische sleutels raken kwijt door problemen met de hardware waar deze sleutels in opgeslagen liggen, door het handelen van een kwaadwillende of door een menselijke fout, waardoor de daarmee versleutelde informatie niet meer toegankelijk is.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 8.13 Back-up van informatie
• 8.24 Gebruik van cryptografie

Door wetgeving in sommige landen kan de overheid van zo'n land inzage krijgen in informatie welke in de cloud ligt opgeslagen.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.21 Beheren van informatiebeveiliging in de ICT-keten
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen

Door wetgeving in sommige landen kan de overheid inzage eisen in de gegevens op meegenomen systemen bij een bezoek aan dat land.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen
• 6.3 Bewustwording, opleiding en training op informatiebeveiliging
• 6.7 Werken op afstand
• 8.1 Gebruikersapparatuur

Door wetgeving in sommige landen kan de overheid een kopie van cryptografische sleutels opeisen.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.31 Wettelijke, statutaire, regelgevende en contractuele eisen
• 8.24 Gebruik van cryptografie

De gevolgen van incidenten worden hierdoor onnodig groot. Binnen het bedrijf is er onvoldoende netwerkmonitoring en is er geen centraal meldpunt voor beveiligingsincidenten.
Beschikbaarheid: -, Integriteit: secundair, Vertrouwelijkheid: primair

• 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten
• 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen
• 5.26 Reageren op informatiebeveiligingsincidenten
• 6.8 Melden van informatiebeveiligingsgebeurtenissen
• 8.7 Bescherming tegen malware
• 8.15 Gebeurtenisregistratie
• 8.16 Monitoren van activiteiten

Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren.
Beschikbaarheid: primair, Integriteit: primair, Vertrouwelijkheid: primair

• 5.5 Contact met overheidsinstanties
• 5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen
• 5.25 Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen
• 5.26 Reageren op informatiebeveiligingsincidenten
• 5.27 Leren van informatiebeveiligingsincidenten
• 5.28 Verzamelen van bewijsmateriaal
• 5.29 Informatiebeveiliging tijdens een verstoring
• 8.15 Gebeurtenisregistratie
• 8.16 Monitoren van activiteiten
• 8.17 Kloksynchronisatie

Veroorzakers van incidenten worden niet aangesproken op hun handelen. Managers hebben onvoldoende zicht op herhalende incidenten, waardoor zij daar niet op sturen.
Beschikbaarheid: primair, Integriteit: secundair, Vertrouwelijkheid: primair

• 5.24 Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten
• 5.27 Leren van informatiebeveiligingsincidenten
• 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging
• 6.4 Disciplinaire procedure
• 6.8 Melden van informatiebeveiligingsgebeurtenissen

Het ontbreken van toegangspasjes, zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang.
Beschikbaarheid: -, Integriteit: -, Vertrouwelijkheid: primair

• 5.29 Informatiebeveiliging tijdens een verstoring
• 7.1 Fysieke beveiligingszones
• 7.2 Fysieke toegangsbeveiliging
• 7.3 Beveiligen van kantoren, ruimten en faciliteiten
• 7.4 Monitoren van de fysieke beveiliging
• 7.5 Beschermen tegen fysieke en omgevings dreigingen
• 7.6 Werken in beveiligde gebieden
• 7.7 'Clear desk' en 'clear screen'
• 7.8 Plaatsen en beschermen van apparatuur

Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.29 Informatiebeveiliging tijdens een verstoring
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 7.1 Fysieke beveiligingszones
• 7.2 Fysieke toegangsbeveiliging
• 7.3 Beveiligen van kantoren, ruimten en faciliteiten
• 7.5 Beschermen tegen fysieke en omgevings dreigingen
• 7.8 Plaatsen en beschermen van apparatuur
• 7.11 Nutsvoorzieningen
• 8.13 Back-up van informatie
• 8.14 Redundantie van informatieverwerkende faciliteiten

Explosies kunnen leiden tot schade aan het gebouw en apparatuur en slachtoffers.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.29 Informatiebeveiliging tijdens een verstoring
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 7.1 Fysieke beveiligingszones
• 7.5 Beschermen tegen fysieke en omgevings dreigingen
• 7.7 'Clear desk' en 'clear screen'
• 7.8 Plaatsen en beschermen van apparatuur
• 8.13 Back-up van informatie
• 8.14 Redundantie van informatieverwerkende faciliteiten

Overstroming en wateroverlast kunnen zorgen voor schade aan computers en andere bedrijfsmiddelen.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.29 Informatiebeveiliging tijdens een verstoring
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 7.1 Fysieke beveiligingszones
• 7.5 Beschermen tegen fysieke en omgevings dreigingen
• 7.7 'Clear desk' en 'clear screen'
• 7.8 Plaatsen en beschermen van apparatuur
• 7.11 Nutsvoorzieningen
• 8.13 Back-up van informatie
• 8.14 Redundantie van informatieverwerkende faciliteiten

Verontreininging van de omgeving kan ertoe leiden dat de organisatie (tijdelijk) niet meer kan werken.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.29 Informatiebeveiliging tijdens een verstoring
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit

Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 7.11 Nutsvoorzieningen
• 7.12 Beveiligen van bekabeling
• 8.14 Redundantie van informatieverwerkende faciliteiten

Schade aan of vernieling van bedrijfseigendommen als gevolg van een ongerichte actie, zoals vandalisme of knaagdieren.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 7.4 Monitoren van de fysieke beveiliging
• 7.5 Beschermen tegen fysieke en omgevings dreigingen
• 7.8 Plaatsen en beschermen van apparatuur
• 7.11 Nutsvoorzieningen
• 7.12 Beveiligen van bekabeling

Het niet meer beschikbaar zijn van diensten van derden (SAAS, informatieverwerkingen, netwerkdiensten, etc) door uitval van systemen, faillissement, ongeplande contractbeëindiging of onacceptabele wijziging in de dienstverlening (bijvoorbeeld door bedrijfsovername).
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.8 Informatiebeveiliging in projectmanagement
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.23 Informatiebeveiliging voor het gebruik van clouddiensten
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 5.37 Gedocumenteerde bedieningsprocedures
• 8.14 Redundantie van informatieverwerkende faciliteiten

Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.8 Informatiebeveiliging in projectmanagement
• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.30 ICT-gereedheid voor bedrijfscontinuïteit
• 5.37 Gedocumenteerde bedieningsprocedures
• 8.28 Veilige software ontwikkelen
• 8.30 Uitbestede systeemontwikkeling

Medewerkers die het bedrijf verlaten of door een ongeval voor lange tijd niet inzetbaar zijn, bezitten kennis die daardoor niet meer beschikbaar is.
Beschikbaarheid: primair, Integriteit: -, Vertrouwelijkheid: -

• 5.22 Monitoren, beoordelen en het beheren van wijzigingen op van leveranciersdiensten
• 5.37 Gedocumenteerde bedieningsprocedures