Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
8.24.05
Huidige tekst
Er zijn afspraken over reservecertificaten van een alternatieve leverancier als uit de risicoafweging blijkt dat deze noodzakelijk zijn als onderdeel van gereedheid voor bedrijfscontinuïteit (zie beheersmaatregel 5.30 uit NEN-EN-ISO/IEC 27002:2022).
Voorgestelde tekst
Mijn advies is om hier geen expliciete maatregel van te maken in de BIO; deze overweging kan deel uitmaken van een heel scala aan afwegingen die gemaakt wordt bij het verantwoord inzetten van certificaten maar is zeker geen vaste maatregel.
Constatering + argumentatie
Bij een BIO onderzoek onlangs riep deze maatregel vragen op over wat er precies bedoeld wordt. In de praktijk kleven er namelijk aan het bewaren van reservecertificaten diverse nadelen (kosten, beheerlast, beveiligingsrisico's) terwijl het onzeker is dat het reservecertificaat bruikbaar is in geval van een calamiteit. Een veel praktischere oplossing, ook om andere aanleidingen, is het beschikken over een goede administratie, beschikken over alternatieve leveranciers, een plan van aanpak bij calamiteiten maar bovenal agility ten aanzien van certificaatwisseling.
Verwachte impact
Opmerkingen
Dit BIO-wijzigingsverzoek is niet rechtstreeks via GitHub ingediend, maar ontvangen via een alternatieve route. Voor de volledigheid heeft CIP als beheerder van GitHub dit verzoek - van een andere indiener - opgenomen in GitHub voor transparantie en een totaaloverzicht.
Welk deel van de BIO of het BIO-ontwerp
BIO-versie of BIO-ontwerpversie
BIO2 v1.3
Identificatienummer(s) + titel(s)
8.24.05
Huidige tekst
Voorgestelde tekst
Constatering + argumentatie
Verwachte impact
Opmerkingen