Normity

Security management is de systematische aanpak van beveiliging binnen een organisatie — fysiek, logisch en organisatorisch. Het omvat toegangsbeheersing, monitoring, incidentafhandeling, awareness, beveiligingsarchitectuur en bedrijfscontinuïteit. Security management overlapt sterk met informatiebeveiliging, maar is vaak breder: ook fysieke beveiliging, fraudepreventie en continuïteitsplanning.

Informatiebeveiliging richt zich op vertrouwelijkheid, integriteit en beschikbaarheid van informatie (ISO 27001). Security management is breder en omvat ook fysieke beveiliging (toegang, camera's, sloten), persoonsbeveiliging, bedrijfscontinuïteit en fraude. In volwassen organisaties vallen ze samen onder een CISO of security officer.

Relevante normen zijn ISO 27001 (ISMS), ISO 22301 (business continuity), ISO 28000 (supply chain security), NIST CSF (cybersecurity framework) en CIS Controls (praktische controls). Voor fysieke beveiliging gelden normen als NEN-EN 50131 (inbraakbeveiliging) en NEN 1010 (elektrische installaties).

Defense in depth is een beveiligingsprincipe waarbij meerdere lagen van beveiliging elkaar versterken, zodat het falen van één maatregel niet meteen leidt tot een incident. Typische lagen: fysieke toegang, netwerkperimeter, host-beveiliging, applicatiebeveiliging en databeveiliging. Hoe meer lagen, hoe robuuster — maar ook duurder.

De CISO (Chief Information Security Officer) is eindverantwoordelijk voor informatiebeveiliging binnen een organisatie. De CISO bepaalt beleid, coördineert risicobeoordelingen, stuurt security-teams aan en is aanspreekpunt voor directie en toezichthouders. In kleinere organisaties is de CISO-rol vaak parttime of uitbesteed aan een externe specialist.

Een SOC (Security Operations Center) is een team dat beveiligingsgebeurtenissen monitort, incidenten detecteert en respons coördineert. Een SOC werkt meestal 24/7 en gebruikt SIEM-tools (Security Information and Event Management) om logs te analyseren. Veel organisaties besteden hun SOC uit aan een Managed Security Service Provider (MSSP).

Zero Trust is een beveiligingsmodel dat ervan uitgaat dat geen enkele gebruiker, apparaat of verbinding automatisch te vertrouwen is — ook niet binnen het bedrijfsnetwerk. Elke toegang wordt expliciet geverifieerd en gelimiteerd tot het noodzakelijke. Zero Trust vervangt het klassieke perimeter-model waarbij het interne netwerk 'veilig' werd geacht.

NIS2 is Europese wetgeving voor informatiebeveiliging in kritieke sectoren. NIS2 stelt eisen aan risicomanagement, incidentmelding, leveranciersketen, bedrijfscontinuïteit en directieverantwoordelijkheid — allemaal kerndomeinen van security management. Organisaties onder NIS2 hebben een volwassen security-aanpak nodig, vaak geformaliseerd in een ISMS.