Informatiemanagement draait om het regelen van de bedrijfsinformatie in een brede zin van het woord. De verantwoordelijke persoon hiervoor wordt vaak CIO of Chief Information Offcier genoemd. In kleine ondernemingen ontbreekt de functie vaak, maar laten we uitgaan van de rol die deze persoon dient te spelen. De CIO heeft een aantal taakgebieden en een aantal duidelijke competenties.
Zo moet de CIO begrijpen wat de CEO (de algemeen directeur) wil; welke visie er is, en welke missie(s) en doelen er zijn (het richten). Die informatie dient hij te kunnen vertalen naar een inrichting van de noodzakelijke werkprocessen (het inrichten) en die dient hij te kunnen uitleggen en toetsen op het operationele niveau (het verrichten). Hij moet ook de bedrijfsplannen kunnen vertalen in een technische richting naar de MSP (Managed Service Provider) of de ICT afdeling. Ten slotte dient hij ook nog eens de marktontwikkelingen bij te kunnen houden voor nieuwe inzichten en technieken. Al met al dient de CIO kennis en inzicht te hebben in de informatieprocessen en al wat daarbij komt kijken.
De gebieden waarop de CIO deze kennis en inzichten moet hebben wisselt tussen verschillende typen ondernemingen. In ieder geval behoren informatievoorziening, architectuur, risicomanagement, informatiebeveiliging en gegevensbescherming tot de kern.
Informatievoorziening
Het kunnen sturen van een bedrijf valt en staat met de informatievoorziening. Met te weinig, te late en niet integere gegevens is goed bestuur bijna niet mogelijk. Als ondernemer loop je dan vaak achter de feiten aan en zie je je goed bedoelde maatregelen totaal verkeerde uitwerking hebben. Daarom is het voorzien van de juiste en relevante informatie aan de bestuurder dan ook een van de kerntaken, om een goed, standvastig, maar aan de andere kant ook flexibel beleid te kunnen voeren binnen een onderneming.
Architectuur
Transparantie, efficiëntie en beheersbaarheid zijn effecten van een goed uitgevoerde architectuur. Dit gaat dan niet om gebouwen, maar om het structureren van processen, informatiestromen, technologie en de daarbij behorende communicatie. Het voorspelbaar zijn heeft voor de bestuurder veel voordelen, zodat passend beleid kan worden ingezet.
Risicomanagement
Zowel in ons privéleven als ook in elke onderneming gaat het nemen van beslissingen om de kans dat een gewenste impact zich voordoet, en dat dat een positief effect heeft op de organisatie. Aan de andere kant zijn er ook vele bedreigingen die de onderneming negatief kunnen beïnvloeden. Risicomanagement analyseert de bedreigingen en de kansen die deze hebben om impact het hebben en prioriteert deze. Vanuit risicomanagement worden (aanvullende) maatregelen voorgesteld en de business bepaalt welke van de maatregelen worden genomen, om deze risico’s binnen grenzen te brengen en te houden.
Informatiebeveiliging
Het digitale goud is in deze tijd informatie. Vele bedrijven doen hun best zoveel mogelijk informatie te verzamelen en hebben hier zelfs een verdienmodel van gemaakt. Naast deze legitieme bedrijven bestaan er ook organisaties met minder goede bedoelingen. We kunnen wel stellen dat elke organisatie blootgesteld wordt aan een continue stroom aan aanvallen om gegevens te kunnen achterhalen.
Het beveiligen van informatie gaat over een breed spectrum van opties. Zoals al eerder gesteld gaat het niet alleen om informatie in computersystemen, maar ook om informatie die bijvoorbeeld in een papieren archief is opgeborgen. Zelfs de informatie die in de hoofden van de medewerkers zit, valt binnen deze definitie. Elke bron van informatie moet afzonderlijk worden bekeken op beveiligingsmogelijkheden en op eventueel toe te passen maatregelen. Informatiebeveiliging leunt zwaar op risicomanagement, want je kan niet 100% beveiligen. De kosten daarvoor zouden niet te overzien zijn, en de vraag is of het dan nog werkbaar is.
Informatiebeveiliging is dan ook van toepassing binnen een breed spectrum van de organisatie.
Gegevensbescherming
Hoewel bijna iedereen denkt dat dit een onderdeel is dat sinds 2018 op de kaart staat, is het in werkelijkheid al een aantal decennia oud. Feit is dat het hier gaat om de bescherming van persoonsgegevens van betrokkenen van de onderneming,. Dat zijn niet alleen klanten, maar ook werknemers, crediteuren, eventuele donateurs, leden, ontvangers van nieuwsbrieven en andere stakeholders. Gegevensbescherming kan niet zonder informatiebeveiliging. Effectieve bescherming van persoonsgegevens is afhankelijk van de transparantie van informatieprocessen en de registratie van hieraan gerelateerde incidenten.
Gegevensbescherming gaat ook over het effectief opnemen van procedures om inbreuken te herkennen en af te handelen. Denk hierbij aan de datalek procedure.