Geïntegreerd, Organisatiebreed Normenkader (GON)

Naarmate organisaties groter zijn en in meer branches werkzaam zijn, neemt het aantal wetten en regels waaraan zij moeten voldoen, alleen maar toe.Daar komen dan nog eens de interne regels en richtlijnen bij. Tezamen vormt dit een groot aantal normen. Op het gebied van IRM / Informatiebeveiliging is ook sprake van een grote hoeveelheid normen, zie bijvoorbeeld ISO-27002, de Code of Practise. Deze normen raken verschilllende domeinen of disciplines die ook zelfstandig beschouwd kunnen worden: denk aan (ITIL-)procedures voor beheer. HR-procedures rond aanname en ontslag of normen voor fysieke beveiliging. Daar waar het bijvoorbeeld gaat om brandbeveilging kunnen wet- en regelgeving prevaleren en specifieke eisen stellen bijvoorbeeld aan de hoeveelheid en aard van de blusmiddelen die aanwezig moeten zijn. Regelgeving kan echter ook (deels) tegenstrijdig zijn. Vanuit de optiek van fysieke beveiliging is een muur zonder ramen beter. Om reden van ARBO-wetgeving mag in een ruimte zonder ramen slechts beperkt gewerkt worden. Vanuit verschillende bronnen kunnen er dus (deels) tegenstrijdige of aanvullende eisen zijn met betrekking tot eenzelffde object. Daarbij is het vanuit de optiek van Compliancy belangrijk te weten en te kunnen volgen dat blijvend aan de eisen wordt voldaan. Om deze reden kan het zeker voor grotere organisaties lonend zijn om te werken met één Geïntegreerd, Organisatiebreed Normenkader (GON). Dit geeft dan per (cluster van) objecten aan welke normen vanuit wet- en regelgeving van toepassing zijn, welke interpretatie de organisatie hanteert voor elkaar aanvullende of tegenstrijdige normen en op welke wijze de naleving wordt gecontroleerd. Zie bijvoorbeeld: Het inrichten van het GON vergt een samenwerking tussen alle betrokken disciplines. Het is denkbaar dat een centrale afdeling belast met compliancy vraagstukken wordt aangewezen als de beheerder van het GON. Het GON is dan ook de eerste bron voor maatregelen van IRM en vervangt dan (in dit voorbeeld) ISO-27001/2 als bron. In optima forma is het GON het centrale managementsysteem en in te delen naar aspectsystemen, zoals het ISMA voor IRM (informatiebeveiliging) en BCMS voor BCM, et cetera. Voordelen van een GON: • één uniforme set aan normen en interpretaties; • daarmee duidelijkheid hoe mogelijk tegenstrijdige of aanvullende normen ten opzichte van elkaar geïnterpreteerd moeten worden; • dwingt verschillende, uiteenlopende disciplines tot samenwerking op gemeenschappelijke onderwerpen als GRC/ Mogelijke nadelen van een GON: • Indien niet goed bijgehouden, snel verouderd en daarmee een bron van foute informatie; • Complexiteit; • Normen kunnen het karakter hebben van voorschrijven van bepaalde maatregelen; daarbij wordt niet gelet op hogere doelstellingen en alternatieven om dit doel te bereiken; • Zogenaamd ‘checklist gedrag’, men hanteert enkel de normen vanuit de GON en denkt niet meer na over hogere doelstellingen of aanvullende risico’s.