Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

Veel bedrijven hebben geen plan om hun grootste bedrijfsrisico’s af te dekken. Zou dit komen doordat het nemen van risico’s verslavend is voor leiders?

Het Information Security Management Systeem is bij de invoering van informatiebeveiliging vaak de heilige graal en vergaande bureaucratie zijn dienaar. Het kan anders. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak en dat werkt contraproductief.

Informatiebeveiliging was lange tijd synoniem voor bureaucratie, hoge kosten en gebrek aan draagvlak. Bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan en wantrouwen leek de basis. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk maakte dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit, gelukkig, gaan veranderen.

Privacy heeft maar weinig uit te staan met informatiebeveiliging. Het is een extern opgelegde randvoorwaarde met slechts weinig eisen die echt moeten. Kortom, een sluitpost en geen uitgangspunt.

Corparate Governance is in feite geen kwestie van regels, maar van goed ondernemingsbestuur, attitude en normen en waarden. De continuïteit van het succes van de onderneming is de centrale factor en die moet transparant zijn voor alle stakeholders om zo nodig tijdig bij te kunnen sturen.

Veel bedrijven zijn zich er niet van bewust dat de uitbraak van een grieppandemie grote impact kan hebben op hun bedrijfscontinuïteit. Klanten en medewerkers zullen plekken mijden waar besmettingsgevaar groot is zoals openbaar vervoer, bedrijfskantines, opleidingsinstituten en bijeenkomsten. In dit artikel meer over de bedreigingen voor de business continuity en op welke wijze u zich tegen deze calamiteit kunt wapenen.

De vertrouwenscrisis als basis voor de huidige recessie zet bedrijven ertoe aan om zekerheden te vragen aan klanten en toeleveranciers. Leverbetrouwbaarheid, ook bij calamiteiten, is vaak een eis van grote bedrijven, overheden en hun toezichthouders. Ook het MKB moet hieraan voldoen.

ISO ISO 27001 is een normatieve norm (baseline) waarop u gecertificeerd kunt worden. ISO 27002 (voorheen 17799) bevat best practices op basis waarvan u een op de risicoanalyse afgestemd basisbeveiligingsniveau kunt bepalen. Vooral voor kleinere en middelgrote organisaties bevat ISO 27001 vaak te veel overbodige eisen. Maar oordeelt u zelf.