Door majortom: (maar waarbij ze wel voldoen aan ISO27k e.d. en het groene vinkje voor compliancy kunnen zetten). Nee, dan voldoe je niet aan ISO27k e.d., maar er zijn veel waardeloze auditors (in dienst van uitsluitend zakkenvullende uitgevers van ISO27k certificaten) die niet verder kijken dan hun neus lang is. De strekking van ISO27k e.d. is dat informatie daadwerkelijk zodanig beveiligd is dat deze redelijkerwijs niet in handen van ongeautoriseerden kan vallen (naast dat de integriteit, authenticiteit en beschikbaarheid aan wettelijke en sowieso redelijke eisen voldoet). Wat je (de makers van) dergelijke normen kunt verwijten is dat zij (die normen) absurd abstract zijn, waardoor zij bijv. systeembeheerders totaal niet aanspreken en bovendien voor velerlei uitleg vatbaar zijn. Het is, in elke organisatie opnieuw, weer monnikenwerk om dergelijke normen te vertalen in concrete maatregelen en procedures. Dat is smeken om ellende. Aan de andere kant is bescherming van persoonsgegevens zodanig fundamenteel ...