Deze blog behandeld de verschillende interne controle frameworks/managementsystemen voor informatiemanagement en informatiebeveiliging. Deze zorgen ervoor dat er voor de organisatie een structuur en houvast ontstaat om interne controle te krijgen (het zorgen dat er zekerheid is ten behoeve van het bereiken van de doelstellingen). Een drietal veel gebruikte frameworks/systemen zullen worden uitgelicht: COBIT, COSO en ISO 27001.
COBIT
COBIT is een (interne controle) framework dat als doel heeft om de prestaties op IT-gebied (en informatiebeveiliging) in kaart te brengen. Het helpt de organisatie inzien of er wordt voldaan aan gestelde eisen (IT-governance), en kan worden gezien als een beheersmodel. Het maakt een link tussen de vereisten vanuit de organisatie (business requirements) en hoe IT kan worden ingezet om deze doelstellingen te bereiken. COBIT bestaat uit verschillende beheersmaatregelen in de vorm van IT-controls. Deze maatregelen worden vertaald naar een vijftal gebieden, vergelijkbaar met de Plan-Do-Check-Act-cirkel van Deming.
“Evaluate, Direct and Monitor” behandelt de governance (het waarborgen) dat doelstellingen worden behaald, door onder andere te kijken naar stakeholderbelangen en het monitoren van de resultaten. Bij “Align, Plan and Organise” worden beheersmaatregelen geformuleerd op basis van de plannen en strategie en hoe de infrastructuur eruit komt te zien om het beste resultaat te krijgen. “Build, Acquire and Implement” behandelt onder andere hoe en in welke vorm het binnen de bestaande processen geïmplementeerd gaat worden. “Deliver, Service and Support” behandelt het resultatenaspect, hierbij wordt er bijvoorbeeld gekeken hoe problemen/incidenten worden opgelost en hoe de ondersteunende processen ervoor zorgen dat er een efficiënte/effectieve uitvoering van IT-systemen is. “Monitor, Evaluate and Assess” behandelt of het IT-systeem voldoet aan de doelstellingen, of er controles nodig zijn. Ook worden maatregelen geformuleerd om de prestaties, interne controle en compliance te waarborgen.
COSO
Het COSO-framework is gericht op het risicomanagement binnen de organisatie en het verbeteren van de interne beheersing/controle op organisatieniveau. Hieronder valt het onderdeel informatiemanagement en de bijbehorende systemen. COSO legt een link tussen de doelstellingen en de benodigde elementen voor een beheerssysteem.
Aan de hand van missie en visie worden de organisatiedoelstellingen geformuleerd. Hieruit komen afgeleide doelstellingen voort die gestuurd, beheerst en verantwoord moeten worden (interne controle). Binnen COSO is dit een proces om zekerheid te creëren in het behalen van de strategische doelstellingen, effectiviteit en efficiëntie van processen, betrouwbaarheid van informatieverzorging, en wet- en regelgeving (1). Het beheersysteem bestaat uit verschillende elementen, zoals interne omgeving, doelstellingen, risicobeoordeling en monitoring (2).
ISO 27001
ISO 27001 is een managementstandaard voor informatie- en gegevensbeveiliging en helpt de organisatie om beveiligingsrisico’s en incidenten tot een minimum te beperken. Met deze standaard (en certificering) kan een organisatie laten zien dat hij voldoet aan de internationale standaardisatie-eisen. Dit is te zien als een groot voordeel. Voor een ISO-implementatie is er een bepaalde structuur nodig, een zogenaamd managementsysteem, in dit geval een Information Security Management System (ISMS). Tegenwoordig is de standaard (net als COBIT) opgebouwd uit beheersmaatregelen. Het managementsysteem kan bijvoorbeeld worden ingericht aan de hand van het Plan-Do-Check-Act principe van Deming.
In de plan-fase komt het leiderschap op het gebied van informatiebeveiliging en het maken van een plan voor het managementsysteem naar voren, in de do-fase wordt de ondersteuning voor- en uitvoering hiervan behandeld. In de checkfase wordt ingegaan op monitoring en evaluatie. De act-fase beslaat de veranderingen en verbeteringen in het systeem. Continue verbetering is bij (elke) ISO-normering hierbij dus het uitgangspunt.
Resumerend
COBIT, COSO en ISO 27001 bieden organisaties een structuur en houvast op het gebied van informatiemanagement en informatiebeveiliging, al heeft elk zijn eigen focus. De bovengenoemde systemen kunnen naast elkaar worden gebruikt, al is de keuze afhankelijk van het soort bedrijf en bedrijfstak. COBIT en COSO behandelen meer de wat-vraag (wat moet er gedaan worden), ISO 27001 is gericht op de hoe-vraag (hoe moet het geïmplementeerd worden).
Bronnen:
- https://www.coso.org
- http://www.house-of-control.nl/cobit-5.html
- http://www.house-of-control.nl/coso-erm.html
- https://www.isaca.org
- https://www.managementboek.nl/code/inkijkexemplaar/9789402186284/handboek-iso-27001-cees-van-der-wens.pdf
- https://www.nen.nl/NEN-Shop/Informatiebeveiliging-1.htm
- http://www.qualified-audit-partners.be/index.php?cont=463&lgn=3
- https://www.tuv.nl/nl/iso-27001/wat-is-iso-27001/