bkstvskmbntn

[Åke Nordin]

Erik Josefsson wrote:

> Det ligger förslag om att utöka databasens innehåll och
> användningsområde, därför undrar jag om det inte skulle vara naturligt
> att sätta ribban ännu högre än "BSI100-2, BSI100-3, ISO/IEC 27001", om
> det nu går.
> 
> Går det?

Nu vet jag inget om BS100-standarderna, men ISO 2700X säger absolut
inget om ribbans höjd, den sätter organisationen själv. Standarden
säger mest hur du ska beskriva att du klarar din egen ribba. Det är
ungefär som kvalitetssystem enligt ISO 9000: säger ditt
kvalitetssystem att du ska kasta alla klagomål i papperskorgen och
att alla produkter som överhuvud taget kan förpackas i sina kartonger
är godkända, så är det ett kvalitetsledningssystem som kan
ISO9000-certifieras.

Man måste med andra ord granska policys, gap-analysernas utfall
och avstämningen att alla förändringar som krävs för att stänga
gapen om man ska kunna veta något om hur säker databasen är.

-- 
  .
  Ake Nordin <moose at enting.se> Unix/net geek, Netia.se consultant.
  Damian Conway: "The programmer is fighting against the two most
  destructive forces in the universe: entropy and human stupidity."