ISM Cross-references

ISM Cross-references

Bedrijven hebben te maken met allerlei normen waar zij zich aan willen houden, of die zij van buiten opgelegd krijgen. Servitect heeft voor een aantal van deze normen een ISM cross-reference ontwikkeld.

Door de ISM cross-reference toe te passen tijdens of na een ISM-invoering kan het door de norm beschreven kwaliteitsniveau worden gerealiseerd, waarna een formele certificering kan worden uitgevoerd door een onafhankelijke auditor.

De ISM cross-reference legt de relatie tussen de eisen en de toetsingscriteria uit de norm, het ISM-framework, en de toepassing van ISM. De eisen en toetsingscriteria uit de norm worden hiermee onderverdeeld in een drietal groepen:

  • gerealiseerd door het standaard toepassen van ISM
  • naar wens te realiseren door het toepassen van de ISM-methode binnen IT-beheer
  • te realiseren door activiteiten buiten IT-beheer te initiëren, bijvoorbeeld via HRM of facilitair beheer.

De cross-reference wordt geleverd met een unieke managementtool, waarin de eisen en criteria zijn vastgelegd en uitgesplitst naar  activiteiten die door de ISM-processen kunnen worden aangestuurd. Ook ondersteunt de tool de planmatige, gefaseerde invoering van het normenstelsel.

Voor de volgende normen is de cross-reference al uitgewerkt en direct beschikbaar:

  • NEN7510
  • DNB

Normen waarvoor de cross-reference snel beschikbaar gemaakt kan worden zijn:

  • COBIT
  • ISO20000
  • ISO27001

NEN7510

De norm NEN7510 is een door het Nederlands Normalisatie-instituut (NEN) ontwikkelde norm voor informatiebeveiliging voor de zorgsector in Nederland.

Voor de zorgsector is NEN7510 de norm voor het mogen toepassen van een Elektronisch Patiënten Dossier (EPD).

Het College bescherming persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) hanteren NEN7510 als hét meetinstrument op het gebied van informatiebeveiliging voor de zorgsector in Nederland

ISO20000

ISO20000 is een standaard voor IT-servicemanagement (ITSM). De standaard is op 14 december 2005 geratificeerd en specificeert de minimumeisen waaraan IT-dienstverleners behoren te voldoen. In 2011 werden de eisen geactualiseerd in ISO20000-1 en in 2012 werd de handreiking voor de invoering geactualiseerd in ISO20000-2.

ISO 27001

ISO 27001 is de ISO-standaard voor informatiebeveiliging. In Nederland is deze vastgesteld als NEN-norm NEN-ISO/IEC 27001:2005, vertaald naar het Nederlands, en door het College Standaardisatie verplicht gesteld voor Nederlandse overheden.

DNB

Sinds 2010 onderzoekt DNB de kwaliteit van informatiebeveiliging als thema binnen de financiële sector. Onderdeel van dit thema zijn periodieke self assessments, die bij banken, verzekeraars en pensioenfondsen worden uitgezet. Voor deze self assessment is in 2010 het Toetsingskader Informatiebeveiliging opgesteld dat bestaat uit 54 COBIT controls. Door DNB is gesteld dat deze controls in het kader van beheerste bedrijfsvoering allen een volwassenheidsniveau van minimaal “3” dienen te hebben (de controls dienen aantoonbaar werkend te zijn). Op een aantal controls is zelfs een volwassenheidsniveau van “4” vereist.

COBIT

Control Objectives for Information and related Technology (COBIT) is ontwikkeld door ISACA en ITGI en richt zich op IT-governance en IT-management. COBIT stelt IT-managers in staat om het toezicht op de informatievoorziening in te richten. Daarnaast kunnen auditors op basis van het framework hun controleprogramma beschrijven en uitvoeren.

COBIT is in de praktijk gericht op de compliance van IT-processen met relevante regelgeving, controle over IT-functies, consistente uitkomsten, en het managen van risico’s. COBIT wordt tevens gebruikt als norm voor het toetsen van compliance met de Sarbanes-Oxley-wet en andere standaarden.

ISM Portal

Zernikepark 4
9747 AN Groningen

info@ismportal.nl
050 - 5791387