De schrijver John Heinrich Roos geeft met als leidraad ISO27002 handvatten voor het integreren van informatiebeveiliging in projecten. Maar is informatiebeveiliging in projecten nu heel anders dan in een reguliere organisatie?
Ik ben recent bezig geweest met het opzetten van een projectmanagementmethodiek bij een zorgorganisatie. Projecten gingen niet beheerst en sturing ging elke keer op een andere wijze. Laat staan dat het onderwerp informatiebeveiliging in de projecten geadresseerd werd. In deze methodiek is aandacht voor informatiebeveiliging en het uitvoeren van een PIA opgenomen. Het boek ‘Informatiebeveiliging integreren in projecten’ leek me dan ook een mooie toets om te zien of we bij het opstellen van de projectmanagementmethodiek volledig waren geweest.
Schrijver John Heinrich Roos is op basis van ISO27001, een standaard rondom informatiebeveiliging waartegen organisaties ook getoetst kunnen worden, te werk gegaan. Daarbij zin de normen uit deze ISO27001-standaard vertaald naar projecten. Voor kenners van de standaard bevat dit niet veel nieuws, met name het woord ‘project’ is overal toegevoegd. Zijn de eisen aan informatiebeveiliging in een project dan ook heel anders dan in een reguliere organisatie? In mijn optiek niet, het gaat veelal om dezelfde normen en aandachtspunten. Als je deze op organisatieniveau goed ingeregeld hebt, vertaalt zich dat wel in projecten.
Is het boek daarmee overbodig? Nee, zeker niet, het geeft een mooie beschrijving van de mogelijke rol van een Project Management Ondersteuning. Daarnaast bevat het in hoofdstuk 16 en 17 interessante checklists. In hoofdstuk 16 is een checklist opgenomen per onderdeel van de ISO27001 (van beleid tot cryptografie). Hoofdstuk 17 bevat een checklist voor een Data Impact Analyse (DIA). Beide checklists zijn volgens mij ook erg goed toepasbaar voor informatiebeveiliging op organisatieniveau.
De leesbaarheid en compactheid van Informatiebeveiliging integreren in projecten maakt het tot een mooi document, wat zeker gebruikt kan worden voor de checklists en om kennis te krijgen van ISO27001. In ons project waren we gelukkig redelijk volledig, met nog een paar aandachtspunten. Van de checklists zullen we zeker gebruik maken!
Jan Hoogstra is zelfstandige, IT-consultant. Hij voert opdrachten uit op het gebied van beoordeling en advisering over IT-gerelateerde onderwerpen in de zorgbranche. Zo is hij programmamanager, projectmanager en adviseur op het gebied van bijvoorbeeld IT-strategie en pakketselecties.
Over Jan Hoogstra
Jan Hoogstra heeft meer dan 25 jaar ervaring als IT-adviseur en IT-auditor bij grote accountants- en adviesbureaus. Tijdens zijn loopbaan heeft hij veel opdrachten gedaan op het gebied van informatiebeveiliging en optimalisering van de inzet van IT. Jan is directeur bij CognoSense, dat gespecialiseerd is in de menselijke kant van IT.