Informatiebeveiliging kan op veel manieren ingericht worden. Allereerst is wet- en regelgeving leidend in keuzes die gemaakt moeten worden. Denk dan aan de AVG voor privacy, WBNI als security leidraad voor de kritische infrastructuren, NEN 7510 voor de zorgsector en BIO voor de landelijke- en gemeentelijke overheden.

Toch geven veel van dit soort normen vrij “wollige” instructies zoals: U dient uw beveiliging state-of-the-Art” ingericht te hebben. Daar kan je wat mee…

Je komt dan al snel in de wereld van de (inter-)nationale normen terecht.

In een groot deel van de wereld gaat het dan om ISO 27001 en ISO 27002. Duik je er echter dieper in dan blijkt  de ISO 27000-serie normen uit een groot aantal verdiepende normen te gaan die allemaal specifieke eisen op het gebied van informatiebeveiliging en voor specifieke doelen stellen.

Al die 27000-serie normen hebben directe raakvlakken met andere ISO normen:

Voorbeelden hiervan zijn:

Cloud Computing (19086), Device Management (20000), Weerbaarheid ( 22300), Business Continuity Management (22301), Software engineering (25010), Risico Management (31000), Privacy (31700). En ooohh ja, IEC 62443 voor kritische infrastructuren. Dan heb ik het nog niet gehad over ISACA met haar COBIT (Control Objectives for Information and Related Technologies) of het Secure Controls Framework.

En dit is maar een kleine bloemlezing uit de beschikbare normen…

De ene norm is heel gedetailleerd, met implementatierichtlijnen tot in detail. De andere norm is heel technisch. Een andere norm richt zich vooral op compliance, terwijl bijvoorbeeld de ISO 27000 normen vooral proberen alle aspecten van de informatiebeveiliging te raken.

Maar wat is nu de beste aanpak? Met welke norm moet je wat? Welke norm is voor jou niet relevant?

Wat is je ambitie? Wil je ISO 27001 gecertificeerd worden? Of in ieder geval deze norm implementeren? Ook dan zijn er verschillende mogelijkheden het doel zo pragmatisch mogelijk te bereiken.

Wilt u daar meer over weten? Neem dan vrijblijvend contact op.