Informatiebeveiliging

MAPGOOD

MaPGooD is een Nederlands dreigingsmodel voor risicoanalyses op het gebied van informatiebeveiliging. De afkorting staat voor zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Met die structuur loop je systematisch alle relevante dreigingsbronnen langs — geen blinde vlekken meer.

In Normity is MaPGooD direct te gebruiken bij elke risicoanalyse. Je doorloopt de zeven categorieën, koppelt risico's aan maatregelen en kunt je analyse volgend jaar 1-op-1 vergelijken. Reproduceerbaar en uitlegbaar — precies wat een auditor wil zien.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Informatiebeveiliging

Het MaPGooD-model is een van de meest gebruikte dreigingsmodellen in Nederland voor risicoanalyses op het gebied van informatiebeveiliging. Het werkt door per categorie een set standaarddreigingen aan te bieden — zo voorkom je dat je tijdens je risicoanalyse alleen kijkt naar de risico's die je toevallig al kent.

De zeven MaPGooD-categorieën:

  • Mens — menselijk handelen, ongewenst gedrag, fouten, kennisgebrek, kwade opzet
  • Apparatuur — hardware, infrastructuur, technische storingen, slijtage, diefstal
  • Programmatuur — software, configuratiefouten, bugs, kwetsbaarheden, malware
  • Gegevens — data-integriteit, datalekken, onbedoelde wijzigingen, archieven
  • Organisatie — processen, beleid, governance, samenwerking, communicatie
  • Omgeving — fysieke omgeving, brand, water, energie, klimaat
  • Diensten — afhankelijkheid van leveranciers, cloud-diensten, externe partijen

MaPGooD sluit nauw aan op ISO 27002 en BIO. Wie met deze normen werkt, vindt MaPGooD een logische manier om de risicoanalyse vorm te geven. Het model is bovendien volwassen genoeg voor uitgebreide analyses en simpel genoeg voor kleinere organisaties die nog geen ervaring hebben met risicomanagement.

Naast MaPGooD bestaan er andere dreigingsmodellen, waaronder RAVIB, STRIDE en OCTAVE. Welk model je kiest hangt af van je sector, je norm en je voorkeur. In Normity kun je meerdere modellen naast elkaar gebruiken — bijvoorbeeld MaPGooD voor je generieke risicoanalyse en een specifiekere analyse voor een afzonderlijk applicatielandschap.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

RAVIB inzetten bij de risicoanalyse

RAVIB is een dreigingsmodel dat je gestructureerd door een risicoanalyse voor informatiebeveiliging loodst, met standaarddreigingen die nauw aansluiten bij ISO 27002 en de BIO. In dit artikel laten we zien hoe je het model inzet, welke stappen je zet van dreiging naar maatregel en wat de voordelen zijn.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

MAPGOOD risicoanalyse

MAPGOOD is een dreigingsmodel voor risicoanalyses op het gebied van informatiebeveiliging, opgebouwd uit zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Met die structuur werk je systematisch en diepgaand alle relevante risico's af. In dit artikel leggen we uit hoe je MAPGOOD toepast in Normity.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over MAPGOOD

De vragen die we het vaakst krijgen over MAPGOOD, met korte en feitelijke antwoorden.

MaPGooD is een Nederlands dreigingsmodel voor risicoanalyses op het gebied van informatiebeveiliging. De afkorting staat voor zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Met die structuur loop je systematisch alle relevante dreigingsbronnen langs.

M = Mens (menselijk handelen, fouten, kwade opzet), A = Apparatuur (hardware, infrastructuur), P = Programmatuur (software, bugs, malware), G = Gegevens (data-integriteit, datalekken), O = Organisatie (processen, beleid, governance), O = Omgeving (fysieke omgeving, brand, water), D = Diensten (leveranciers, cloud, externe partijen).

MaPGooD is breed toepasbaar: van MKB tot grote organisaties, van zorg tot industrie en dienstverlening. Het model is volwassen genoeg voor uitgebreide analyses en simpel genoeg voor kleinere organisaties zonder veel risicomanagement-ervaring. Het sluit goed aan op ISO 27001, ISO 27002 en de BIO.

RAVIB is specifieker georganiseerd rond ISO 27002-maatregelen en BIO-eisen — vooral geschikt voor overheid en semi-publieke markt. MaPGooD is generieker en flexibeler, met zeven brede categorieën. Voor private organisaties kiezen de meeste voor MaPGooD; voor overheidsorganisaties vaak RAVIB.

Doorloop per categorie (M, A, P, G, O, O, D) de standaarddreigingen. Beoordeel impact en kans voor jouw organisatie en context. Koppel aan maatregelen. De kracht zit in systematiek: door alle zeven categorieën af te lopen voorkom je blinde vlekken. Moderne tools zoals Normity bieden de categorieën en standaarddreigingen direct beschikbaar.

ISO 27001 eist geen specifiek dreigingsmodel, maar wel een gedocumenteerde risicobeoordeling. MaPGooD is een van de bekendere keuzes in Nederland, maar ook RAVIB, STRIDE of een eigen aanpak zijn toegestaan. Wat telt: de methode is reproduceerbaar, dekt alle relevante bedreigingen en is consistent toegepast.

Ja, MaPGooD is een framework, geen dichtgetimmerd model. Je kunt per categorie eigen dreigingen toevoegen die specifiek zijn voor jouw sector of organisatie. Voor zorginstellingen: extra dreigingen rond patiëntgegevens (gekoppeld aan NEN 7510). Voor overheden: extra dreigingen rond gerubriceerde informatie.

Een MaPGooD-analyse moet actueel blijven. Herijk minimaal jaarlijks en sowieso bij grote wijzigingen: nieuwe systemen, nieuwe dreigingen, incidenten, nieuwe wetgeving. Doordat je de analyse in Normity gestructureerd vastlegt, kun je de analyse jaar na jaar 1-op-1 vergelijken — ideaal voor audits.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management