| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
De bedoeling van al deze oefeningen is om kwetsbaarheden te identificeren. Gelet op de aard van de oefeningen is niet te voorspellen welke kwetsbaarheden naar boven komen. Deze kunnen betrekking hebben op alle drie kwaliteitskenmerken van informatie: vertrouwelijkheid, integriteit en beschikbaarheid.
Het is wel zo dat bij bijvoorbeeld penetratietesten de scope zo te bepalen is, dat er een focus ontstaat op één bepaald soort kwetsbaarheid. Dit kan ook specifiek het doel zijn van een test: het beoordelen van één specifiek risico. Dit doe je in overleg met je specialist Informatieveiligheid.
...
Alle (best) practices en technieken die in dit document beschreven staan, zijn onderhevig aan risicoanalyses. Elke kwetsbaarheid moet je analyseren in haar context en op basis van die analyse bepalen hoe je ermee omgaat. De kwetsbaarheid moet ook effectief uitbuitbaar (‘exploitable’) zijn en een reëel risico vormen. Het is aan elke (toepassings)eigenaar om te beslissen welke kwetsbaarheden zij oplossen. Voor eventuele restrisico’s geldt dat er een risicoaanvaarding nodig is.
...