raad + daad

De meeste normen waarover we hier spreken waren vroeger nogal anders van opzet. Toen waren het een soort afvinklijstjes waar je precies uit kon afleiden wat je geregeld moest hebben, en ook hoe. Dat gold dan voor elke organisatie in elke omstandigheid in gelijke mate. Nu is dat anders: het vertrekpunt is risicoanalyse en zodra er omstandigheden wijzigen (andersoortige klant of product, voortschrijdende technologie, organisatieaanpassing) zal de organisatie daarop moeten reageren. En dat blijft altijd doorgaan; je bent nooit definitief klaar.

Laat u niets wijs maken. Vroeger kon iemand met ‘de norm’ in de hand misschien stellig beweren dat een wachtwoord minstens 6 karakters lang moest zijn; nu niet meer. Alle ISO-normen die zijn opgezet volgens de standaard ‘High Level Structure’ gaan uit van contextanalyse en risicobeoordeling: waar staan we en moeten we daar wat mee? En als uw antwoorden op die vragen goed doordacht zijn, dan is dat in overeenstemming met de norm. En zelfs in de uitvoering is nadenken toegestaan: Comply or explain!