Elke organisatie is uiteraard uniek en brengt haar eigen risico’s met zich mee. Maar de basis voor informatiebeveiligingsmanagement is een goed risico-assessment. Een assessment komt in de meeste richtlijnen, frameworks en normen voor. Voldoen aan wet- en regelgeving is uiteraard verplicht, maar steeds meer bedrijven onderkennen het gevaar en kiezen er voor om gebruik te maken van gerenommeerde normen en richtlijnen die internationaal of in de sector geaccepteerd zijn. Bijkomend voordeel is dat beleid op basis van normen en richtlijnen meestal certificeerbaar is en u deze openlijk mag communiceren. Deze laag van beveiliging– gebaseerd op normen en/ of richtlijnen - wordt ‘assurance’ genoemd. Het geeft uiteraard geen garanties, maar u bouwt meer zekerheid in.
De vraag blijft altijd ongeacht of u kiest voor een richtlijn, norm, framework of een gehele eigen invulling: ‘hoe veilig is uw informatie en in welke mate beheerst u uw risico’s?’.