"De winst van ISO 27002 is, dat organisaties niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel", stelt Wiebe Zijlstra op ZBC.nl. "Want niet de norm is bepalend. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de organisatie, waarbij de ISO-norm geldt als een set van ‘best practices’. Zo wordt tevens voorkomen dat maatregelen niet worden geaccepteerd."

Zijlstra vat samen hoe u de securitynorm ISO 27002 implementeert met het bedrijfsbeleid als basis: "Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van ISO 27002 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele organisatie. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele organisatie gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden." Ga naar het artikel voor de uitwerking van deze implementatie-aanpak voor ISO 27002.