Managen van bedrijfsspecifieke baselines
Wij moeten weten waar wij zijn om te kunnen bepalen waar wij naar toe willen gaan. Een baseline helpt ons te toetsen waar wij staan (het volwassenheidsniveau) én waar wij naartoe wensen te gaan (het ambitieniveau). U zou kunnen zeggen dat een baseline kwalitatieve posities en doelen objectiveert.
Er zijn een heel scala van baselines. Soms zijn de baselines zo ingeburgerd dat wij de baselines beschouwen als standaarden (bijvoorbeeld nummerreeksen, eenheden, of praktisch, containerafmetingen of de breedte van een spoor). De wetgever verplicht steeds vaker bedrijven zich te verantwoorden over het organiseren van compliance met wettelijke eisen voor bijvoorbeeld het treffen van passende en effectieve beheersmaatregelen gericht op het beschermen van gegevens. Dergelijke eisen stelt een bedrijf ook contractueel aan haar leveranciers van informatiediensten.
Wat zijn nu passende en effectieve beheersmaatregelen die opgenomen zijn in bedrijfsprocessen die door IT-systemen worden ondersteund? Met behulp van baselines objectiveert een bedrijf de eisen aan de bedrijfsprocessen en kan doelgerichte beheersmaatregelen treffen.
Enkele voorbeelden van baselines
Afhankelijk van de bedrijfsactiviteiten kiest de bedrijfsleiding de standaarden en baselines. De wetgever kan het bedrijf vragen standaarden toe te passen, klanten kunnen het gebruik van standaarden en baselines vereisen van hun leverancier(s) en het organiseren van de bedrijfsactiviteiten kan effectiever en kostenefficiënter met standaarden en baselines plaatsvinden.
Bij het organiseren van bedrijfsactiviteiten kunnen wij baselines onderkennen. Enkele voorbeelden.
De informatie-infrastructuur bestaat veelal uit een netwerk, databases en systemen waarmee de medewerkers van een bedrijf onderling en met de buitenwereld communiceren. Bedrijven maken voor het organiseren van hun informatie-infrastructuur meer en meer gebruik van cloudleveranciers. Om het aankopen en beheren van deze infrastructuren gemakkelijker te maken zijn er baselines beschikbaar waartegen de aanschaf en het gebruik getoetst kunnen worden. Denk aan modellen van ISO, NEN of NOREA. Zowel bij interne uitvoering of bij uitbesteding kan verantwoording aan de hand van de baselines afgelegd worden.This is just a placeholder to help you visualize how the content is displayed in the tabs. Feel free to edit this with your actual content.
Cloud omgevingen bieden de mogelijkheid baselines toe te passen. MS 365 en Azure tenants doen dit door hun klanten gebruik te laten maken van baselines voor het effectief organiseren van IT-riskmanagement en compliance-management. This is just a placeholder to help you visualize how the content is displayed in the tabs. Feel free to edit this with your actual content.
Aan IT-systemen, waarmee bedrijfsprocessen met daarin opgenomen beheersmaatregelen ondersteund worden, stelt de bedrijfsleiding functionele en non-functionele eisen. Als de IT-systemen ontwikkeld worden dan spiegelen de eisen zich in user stories en anders spiegelen de eisen zich in een baseline die gebruikt wordt bij een pakketselectie.This is just a placeholder to help you visualize how the content is displayed in the tabs. Feel free to edit this with your actual content.
Voor het maken van afspraken zijn baselines praktisch en effectief. Bij een afspraak over het leveren van informatie kan een baseline toegevoegd worden aan een request for proposal waardoor het aanbod getoetst kan worden aan die baseline. De baseline wordt op die manier gebruikt als een praktisch toetsingskader. Tijdens het contractmanagement helpen de baselines de verwachtingen over en weer te managen.
De baselines geven een gevoel dat er geen essentiële beheersmaatregelen vergeten zijn. Er wordt ook vermeden dat er dubbele maatregelen afgesproken worden. De baselines zijn niet statisch omdat wet- en regelgeving, de contractuele afspraken en beleid de baselines kunnen veranderen.
Bedrijven gebruiken de baselines bij het managen van veranderingen in de organisatie van bedrijfsactiviteiten.
Wat is onze dienstverlening?
Voordat wij kunnen starten hebben wij overzicht nodig in het verantwoordelijkheids- en aansprakelijkheidsdomein, en inzicht in de bedrijfsactiviteiten van organisatieonderdelen. Op basis van deze contextinformatie kunnen wij de volgende stappen zetten.
- Samenstellen en bedrijfsspecifiek maken en desgewenst beheren van baselines: op basis van het actuele beeld van geldende wet- en regelgeving, contractuele afspraken en beleid stellen wij in samenwerking met medewerkers de bedrijfsspecifieke baselines samen. Hierbij maken wij zoveel als mogelijk gebruik van beschikbare en beproefde sector- en segmentspecifieke baselines. De baselines kunnen betrekking hebben op technische informatie infrastructuur of functionele en non-functionele eisen aan IT-systemen. Het is ook mogelijk dat een baseline betrekking heeft op een thema, bijvoorbeeld het verwerken van persoonsgegevens.
- Toepassen van baselines: bij veranderings- en selectieprocessen maken wij gebruik van baselines. Met behulp van een baseline “meten” wij waar wij zijn (het volwassenheidsniveau) en waar de organisatie naar toe wil (het ambitieniveau). De kans op een succesvol veranderingsproces stijgt als de verandercapaciteit van de medewerkers spoort met de veranderingsstappen naar volwassenheid. De te selecteren IT-systemen die de bedrijfsprocessen ondersteunen moeten passend zijn voor het af te leggen veranderingsproces.
- Het onderhoud van de baselines: veranderende bedrijfsactiviteiten, wetgeving en IT-systemen vragen om onderhoud van de baselines. Door zoveel mogelijk te werken met algemene baselines kan het onderhoud beperkt worden.
Het ligt voor de hand dat de bedrijfscompliance functie de afgesproken baselines beheert en de functionele afdelingen helpen de baselines effectief toe te passen.
Aantrekken van externe professionals
Het komt voor dat een bedrijf externe professionals aantrekt voor het op onderdelen beheren van de standaarden en toepassen van de baselines. Een voorbeeld is de TTP-policy van MYOBI waarin de gedragscode is opgenomen gericht op het beschermen van persoonsgegevens en informatieveiligheid. De volwassenheidsniveaus spiegelen zich in de Accountability Seal.
De betrokkenheid bestaat uit:
- Op basis van het onderzoek wordt nagegaan welke stappen gezet moeten worden om (aantoonbaar) compliant met de baselines te zijn; en
- De onderbouwing van een uitkomst moet gedocumenteerd worden om de compliance aan te tonen.
Wij hanteren een methodiek voor compliance met baselines. De uitkomsten van een dergelijke methodiek zijn een verslag van bevindingen en andere rapportages. Op basis hiervan kunnen operationele verbeteringen in gang gezet worden.
Leg uw vraag voor aan onze experts
Vragen over onze dienstverlening? Neem gerust contact met ons op, wij staan u graag te woord.