Risk management volgens ISO 31000 moet dienend zijn aan de managementprocessen en andere managementsystemen. Zo niet, dan leidt het tot competentiestrijd en machtsspelletjes.

ISO 31000 biedt een kader voor risk management. Dit artikel geeft van de belangrijkste begrippen een samenvatting en beschrijft op hoofdlijnen de principes, het kader of framework en de processen.

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

De verdeling van verantwoordelijkheden en bevoegdheden tijdens een project is afhankelijk van de fase waarin het project verkeert. Via gedefinieerde opdrachttypen kan de juiste verdeling steeds eenvoudig worden gerealiseerd.

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

Voorbeeld van een handleiding voor het inrichten van gebruiksbeheer en gebruikersbeheer om structureel de service van de ICT-afdeling aan de gebruiker te verbeteren, niet verstoord door incidenten en emoties.

Een voorbeeld uit de praktijk van een Plan van Aanpak voor het opstellen van een Business Continuity Plan (of calamiteitenplan) voor een middelgrote organisatie. Dit plan betreft de tweede fase, als de scope van het BCP al bepaald is. Uitgangspunt voor dit projectplan is dat het aantal preventieve maatregelen zoveel mogelijk beperkt wordt, omdat deze, gelukkig, in de meeste gevallen weggegooid geld blijken te zijn.

Het Information Security Management Systeem is bij de invoering van informatiebeveiliging vaak de heilige graal en vergaande bureaucratie zijn dienaar. Het kan anders. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak en dat werkt contraproductief.

Als interne auditing niet tot uw dagelijkse bezigheden behoort, dan is het wellicht handig om deze checklist te gebruiken. Het is een reminder voor de zaken waar u op moet letten. De checklist betreft de voorbereiding van de audit, de interviews, de verslaglegging en de opvolging van de audit.

Auditing is een vakgebied op zich. Een audit lijkt voor buitenstaanders vaak eenvoudig. Iemand komt langs, stelt een hoop vragen, schrijft een rapport en klaar is Kees. Om als auditor succes te hebben komt er echter meer kijken. In dit artikel leest u wat een audit nu eigenlijk is.