SeKuRiGo
  • Home
  • Blog
  • Contactgegevens
  • Klanten
  • Privacyverklaring
  • Algemene voorwaarden

Positionering van "kritieke (IT) processen" binnen standaarden

22/4/2014

0 Reacties

 
Veel IT-organisaties maken gebruik van standaarden om de complexiteit van het verschillende IT werkzaamheden (IT-operations, technisch beheer, informatiemanagement, kwaliteitsbeheer, projectmanagement, architectuur, informatiebeveiliging, compliance, etc., etc.) in detail te reguleren en vorm te geven. De voornaamste reden hiervoor is dat er dan gewerkt kan worden volgens deze standaarden, iedereen weet wat er dan verwacht mag of kan worden en de activiteiten geven dus bij herhaling hetzelfde resultaat. Doordat resultaten gelijk zijn, kan vervolgens gekeken worden naar verbeteringen in de vorm van effectiviteitsverbetering of efficiency verbetering. Het doel van standaarden is immers: continual improvement.

Binnen
informatiebeveiliging komen we de standaard ISO27001 (onderdeel ISO27000) vaak tegen. In deze standaard staat het managementsysteem, risicomanagement, de analyse van kritieke bedrijfsprocessen en het treffen van beveiligingsmaatregelen centraal. Maar hoe zit dat in de andere standaarden en is de standaard ISO27001 ook wel geschikt voor andere de kritieke (IT) bedrijfsprocessen.

In het laatste ISACA-blad worden de standaarden en de kritieke bedrijfsprocessen in kaart gebracht en wordt aangegeven of de standaard een handvat bevat voor een of meerdere kritieke bedrijfsprocessen. Als dit zo is wordt dat aangegeven met een "+" en anders met een "-". 

Foto
Als uw organisatie dus gebruik maakt van een van bovenstaande standaarden dan kunt u met deze weergave nagaan of uw gekozen standaard wel of niet al uw kritieke IT processen ondersteunt. Let op, het is geen waardeoordeel, de weergave geeft aan of een kritiek IT proces opgenomen is in de standaard. Als dat niet het geval is (-) dan is dat nog geen reden tot paniek.

U moet zich dan afvragen of alle genoemde kritieke IT processen ook daadwerkelijk binnen uw organisatie voorkomen. Als dat zo is dan kun u de proceseigenaar vragen of hij aanvullende maatregelen getroffen heeft om het ontbreken van een handvat binnen de standaard af te dekken. Ja? Dan is er niets aan de hand, als dat niet het geval is dan heeft u een reden om dat alsnog aan te proceseigenaar te vragen (wellicht zelfs te eisen).

Als u een deel van uw kritieke (IT) bedrijfsprocessen overgelaten heeft aan een dienstverlener dan kunt u uw dienstverlener dus nog eens extra confronteren met bovenstaande weergave en hem dezelfde vraag stellen als aan uw interne dienstverlener.

Mocht u behoefte hebben aan extra mankracht, schroom dan niet om contact met ons op te nemen, wij helpen u graag.
SeKuRiGo helpt u bij het maken van strategische en tactische keuzes op het gebied van informatiebeveiliging en risicomanagement. Maar bovenal met het traject erna om de gemaakte keuzes van uw beveiligingsbeleid te implementeren. Om dit vooral niet te complex te maken en uw risico’s te beheersen, kunt u rekenen op onze ervaring.
0 Reacties



Laat een antwoord achter.

    Theo Heinsbroek
    Adviseur informatiebeveiliging / Security manager /
    Risicomanagement ipv - mijding /
    Secure business enabler /
    Pragmatische houding /
    Balans /


    Archives

    November 2018
    April 2016
    Mei 2015
    Februari 2015
    Mei 2014
    April 2014
    Maart 2014
    December 2013
    November 2013
    Oktober 2013
    September 2013
    Augustus 2013
    Juli 2013
    Juni 2013
    April 2013
    Maart 2013
    Februari 2013
    Januari 2013
    December 2012
    Oktober 2012

Aangestuurd door Maak uw eigen unieke website met aanpasbare sjablonen.