Normen voor de beheersing van Uitbestede ICT-beheerprocessen
13/12/2007 16:13
NOREA
Door NOREA, de beroepsorganisatie van IT-auditors en het Platform voor Informatiebeveiliging (PvIB) is op 12 december 2007 een normenstelsel gepubliceerd dat is te hanteren door de diverse partijen die betrokken zijn bij de beheersing en verantwoording over ICT-dienstverlening, namelijk:
- Klantorganisaties (i.e. de opdrachtgever van de serviceorganisatie), bij het vaststellen van hun rapportagebehoeften voor de beheersing van te ontvangen ICT-diensten;
- Serviceorganisaties, bij het vaststellen van de interne beheersmaatregelen en de rapportagestructuur voor de verantwoording over geleverde iCT-diensten;
- IT-auditors, zowel in hun oordeelsvorming bij het rapporteren over uitbestede ICT-diensten, als in hun adviesfunctie als adviseur van klant- of serviceorganisatie.
Het initiatief voor de ontwikkeling van dit normenstelsel komt voort uit de behoefte aan een gemeenschappelijk referentiekader dat goed hanteerbaar is bij situaties van uitbestede ICT-beheerprocessen. Uiteraard is daarbij rekening gehouden met reeds bestaande standaarden en best-practices als CobiT, ITIL en de Code voor Informatiebeveiliging. Ook zijn referentietabellen naar de voornoemde normenstelsels opgenomen.
Bij de ontwikkeling is gebruik gemaakt van een werkgroep, samengesteld uit vertegenwoordigers namens een groot aantal organisaties. Op deze wijze is gepoogd om te komen tot een zo groot mogelijk draagvlak aldus ir. A.G.(Bert) Los RE, voorzitter van de werkgroep Standaard Normenkader Beheersing en Beveiliging.
Het normenstelsel wordt door het samenwerkingsverband uitdrukkelijk als exposure-draft gepresenteerd met de bedoeling om de bruikbaarheid in de praktijk te toetsen èn om suggesties ter verbetering te doen.
http://www.norea.nl/download/NoreaPvIBhandreiking.pdf