Veel IT-organisaties maken gebruik van standaarden om de complexiteit van het verschillende IT werkzaamheden (IT-operations, technisch beheer, informatiemanagement, kwaliteitsbeheer, projectmanagement, architectuur, informatiebeveiliging, compliance, etc., etc.) in detail te reguleren en vorm te geven. De voornaamste reden hiervoor is dat er dan gewerkt kan worden volgens deze standaarden, iedereen weet wat er dan verwacht mag of kan worden en de activiteiten geven dus bij herhaling hetzelfde resultaat. Doordat resultaten gelijk zijn, kan vervolgens gekeken worden naar verbeteringen in de vorm van effectiviteitsverbetering of efficiency verbetering. Het doel van standaarden is immers: continual improvement.
Binnen informatiebeveiliging komen we de standaard ISO27001 (onderdeel ISO27000) vaak tegen. In deze standaard staat het managementsysteem, risicomanagement, de analyse van kritieke bedrijfsprocessen en het treffen van beveiligingsmaatregelen centraal. Maar hoe zit dat in de andere standaarden en is de standaard ISO27001 ook wel geschikt voor andere de kritieke (IT) bedrijfsprocessen.
In het laatste ISACA-blad worden de standaarden en de kritieke bedrijfsprocessen in kaart gebracht en wordt aangegeven of de standaard een handvat bevat voor een of meerdere kritieke bedrijfsprocessen. Als dit zo is wordt dat aangegeven met een "+" en anders met een "-".
Binnen informatiebeveiliging komen we de standaard ISO27001 (onderdeel ISO27000) vaak tegen. In deze standaard staat het managementsysteem, risicomanagement, de analyse van kritieke bedrijfsprocessen en het treffen van beveiligingsmaatregelen centraal. Maar hoe zit dat in de andere standaarden en is de standaard ISO27001 ook wel geschikt voor andere de kritieke (IT) bedrijfsprocessen.
In het laatste ISACA-blad worden de standaarden en de kritieke bedrijfsprocessen in kaart gebracht en wordt aangegeven of de standaard een handvat bevat voor een of meerdere kritieke bedrijfsprocessen. Als dit zo is wordt dat aangegeven met een "+" en anders met een "-".
Als uw organisatie dus gebruik maakt van een van bovenstaande standaarden dan kunt u met deze weergave nagaan of uw gekozen standaard wel of niet al uw kritieke IT processen ondersteunt. Let op, het is geen waardeoordeel, de weergave geeft aan of een kritiek IT proces opgenomen is in de standaard. Als dat niet het geval is (-) dan is dat nog geen reden tot paniek.
U moet zich dan afvragen of alle genoemde kritieke IT processen ook daadwerkelijk binnen uw organisatie voorkomen. Als dat zo is dan kun u de proceseigenaar vragen of hij aanvullende maatregelen getroffen heeft om het ontbreken van een handvat binnen de standaard af te dekken. Ja? Dan is er niets aan de hand, als dat niet het geval is dan heeft u een reden om dat alsnog aan te proceseigenaar te vragen (wellicht zelfs te eisen).
Als u een deel van uw kritieke (IT) bedrijfsprocessen overgelaten heeft aan een dienstverlener dan kunt u uw dienstverlener dus nog eens extra confronteren met bovenstaande weergave en hem dezelfde vraag stellen als aan uw interne dienstverlener.
Mocht u behoefte hebben aan extra mankracht, schroom dan niet om contact met ons op te nemen, wij helpen u graag. SeKuRiGo helpt u bij het maken van strategische en tactische keuzes op het gebied van informatiebeveiliging en risicomanagement. Maar bovenal met het traject erna om de gemaakte keuzes van uw beveiligingsbeleid te implementeren. Om dit vooral niet te complex te maken en uw risico’s te beheersen, kunt u rekenen op onze ervaring.
U moet zich dan afvragen of alle genoemde kritieke IT processen ook daadwerkelijk binnen uw organisatie voorkomen. Als dat zo is dan kun u de proceseigenaar vragen of hij aanvullende maatregelen getroffen heeft om het ontbreken van een handvat binnen de standaard af te dekken. Ja? Dan is er niets aan de hand, als dat niet het geval is dan heeft u een reden om dat alsnog aan te proceseigenaar te vragen (wellicht zelfs te eisen).
Als u een deel van uw kritieke (IT) bedrijfsprocessen overgelaten heeft aan een dienstverlener dan kunt u uw dienstverlener dus nog eens extra confronteren met bovenstaande weergave en hem dezelfde vraag stellen als aan uw interne dienstverlener.
Mocht u behoefte hebben aan extra mankracht, schroom dan niet om contact met ons op te nemen, wij helpen u graag. SeKuRiGo helpt u bij het maken van strategische en tactische keuzes op het gebied van informatiebeveiliging en risicomanagement. Maar bovenal met het traject erna om de gemaakte keuzes van uw beveiligingsbeleid te implementeren. Om dit vooral niet te complex te maken en uw risico’s te beheersen, kunt u rekenen op onze ervaring.