Een it control framework is een raamwerk waarin alle relevante risico’s en wet- en regelgeving omgeschreven zijn naar controle-doelstellingen en maatregelen (controls) om die doelstellingen te bereiken. Het doel van het raamwerk is om niet alleen overzichtelijk te krijgen welke maatregelen er genomen zijn, maar ook om overzichtelijk te houden hoe effectief die maatregelen zijn. Daarom is het prettig om ook per control vast te leggen wie de eigenaar is, hoe en wanneer de control getest wordt en wat de uitkomst van de test is. De uitkomst kan zijn 'effectief' of 'niet effectief'. Sommige verbeteracties zijn klein en worden vaak oranje gekleurd maar soms is er veel verbeter werk nodig en is een control rood. Het onderhouden van dit raamwerk, het it control framework, wordt meestal uitgevoerd door het information security office.
Er zijn twee stromen die jouw lijst van belangrijke risico’s compleet maken en up-to-date houden:
Een best practice control framework is een raamwerk met daarin een standaard set van risico’s en controls die voor een gemiddeld bedrijf van belang zjin. Als je kiest om zo een best practice te gebruiken heb je een basis zodat je weet dat je de meest belangrijke risico’s niet vergeet. Toch zul je deze altijd nog moeten aanpassen zodat ze ook echt beschrijven hoe jouw bedrijf of organisatie deze control heeft ingericht. Er zijn enorm veel best practice control frameworks, ieder met een eigen focus. De raamwerken die het meest gebruikt worden zijn de volgende vier:
Het ISO27001 framework bevat een basis van beveiligingsmaatregelen die toepasbaar is voor veel bedrijven. Het framework zelf staat in de bijlage, omdat het bij ISO juist gaat om het risk management systeem en niet om het framework zelf.
Het COBIT framework is een raamwerk wat gericht is op algemene beheersmaatregelen (Control Objectives, vandaar de eerste drie letters van de afkorting). Deze gaat dus niet specifiek in op security maar heeft een algemeen IT karakter.
ITIL is een framework bestaande uit een reeks best practices voor het leveren van efficiënte IT-ondersteuningsdiensten aan je klanten. ITIL is dan ook gericht op de verbetering van de klanttevredenheid en productiviteit en valt onder de bredere term change management. Deze bibliotheek van processen is daardoor minder geschikt om je informatiebeveiligingsraamwerk op te bouwen maar geeft tegelijkertijd wel een goed overzicht van betrokken processen zoals bijvoorbeeld change management.
De Cloud Control Matrix is een informatiebeveiligingsraamwerk dat zich helemaal richt op clouddiensten.
Als in het contract met de afnemers van de diensten of producten is afgesproken dat een bepaald niveau van risico beheersing wordt gewaarborgd zoals beschreven in het InformatieBeveiligingsBeleid, dan moet dat ook bij leveranciers geregeld zijn. Dat kun je doen door met hen af te spreken dat ze zich aan het IBB houden en dat regelmatig te toetsen. Wanneer het IBB van de leverancier uitgebreider is kun je hen ook daaraan houden (en toetsen). Ten slotte kun je steunen op certificering.
Ontdek de mogelijkheden tijdens een kennismaking
