Een risk en compliance beleid is een beleid waarin is vastgelegd welke methodiek je aanhoud voor het beheersen van risico’s en hoe je zorgt dat je voldoet aan de wet- en regelgeving. Hoe ingewikkeld je het kan maken laten we graag over aan dikke management boeken, uiteindelijk komt het neer op dezelfde stappen die we nemen in het gouden handboek: Plan Do Check and Act. Download het gouden handboek gerust als je wilt weten hoe je deze vier stappen zelf ook kunt zetten om IT risico’s te beheersen.

‍

Compliance is het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een een wettelijke verplichting. Denk hierbij aan de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet in Nederland. Beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving en de Health Insurance Portability and Accountability Act (HIPAA). 

‍

Een InformatieBeveiligingsBeleid schrijf je door op hoofdlijnen de richting aan te geven hoe informatiebeveiliging ingericht moet zijn voor de organisatie. Het gevaar is hierbij dat er een beleid geschreven wordt met daarin alle details van security. Dat is niet de bedoeling, het beleidsstuk moet juist op het hoogste niveau van de organisatie worden vastgesteld. De uitwerking op specifieke onderwerpen kan dan op een lager niveau plaats vinden zoals in procedures of baselines. Het beleidsstuk moet juist inzicht geven hoe de security bijdraagt aan de doelstellingen van de organisatie. Daarom is het belangrijk om juist richtinggevende uitgangspunten te zijn in plaats van concrete instellingen. Zo is het slim om te borgen dat authenticatiemethoden worden gebruikt om ongeautoriseerde toegang tegen te gaan in plaats van dat een wachtwoord 8 karakters lang moet zijn.

Aansluiten bij al bestaande processen binnen de organisatie maakt het IBB efficiënt. Stel dat er al een kwaliteitsafdeling is om processen te borgen, dan is het verstandig om daar op aan te sluiten.

‍