Met de NEN 7131 norm zijn bedrijven en instellingen in staat om maatregelen te treffen voor risico’s die de bedrijfscontinuiteit in gevaar kunnen brengen. NEN 7131 gaat uit van een kwaliteitscyclus (Plan-Do-Check Act), het voorkomen van incidenten, maar ook om de gevolgen te beheersen mocht zich een incident voordoen, zodat de bedrijfscontinuiteit verzekerd blijft (bron).
Het ziet er naar uit dat we binnenkort weer een avondje moeten studeren om een nieuwe norm onder de knie te krijgen. Ik ben in ieder geval zeer benieuwd hoe deze nieuwe norm er uit komt te zien en of bedrijven hem ook echt gaan omarmen. Dit biedt wat mij betreft weer enorme kansen en een leuke uitdaging om bedrijven te helpen met hun bedrijfscontinuiteit.
Over de inhoud van de norm kan ik natuurlijk nog niks zeggen, ik kan alleen maar hopen dat we er slim mee omgaan. Te vaak zien we dat de maatregelen uit een norm (kijk maar naar de Code voor Informatiebeveiliging) domweg geimplementeerd worden zonder dat we de achterliggende gedachte proberen te doorgronden.
Ik zeg het wel vaker, maar dan toch nog maar een keer: het gaat niet om het implementeren van maatregelen…nee het gaat om het afdekken van risico’s. Of dat nu informatiebeveiligingsrisico’s zijn of risico’s voor de bedrijfscontinuiteit doet eigenlijk niet ter zake. Sterker nog, volgens mij zouden de informatiebeveiligingsrisico’s een afgeleide moeten zijn van die bedrijfscontinuiteit (wat heeft het anders voor zin?).
Tegen alle bedrijven die deze norm gaan implementeren wil ik graag zeggen: “hold your horses”, denk eerst even goed na over de methodiek voordat je hard gaat hollen met een pakket maatregelen onder je arm.
Oh ja, en als je er hulp bij nodig hebt mag je me natuurlijk altijd even over bellen.