Ga direct naar de inhoud.

isae 3402
Waar is de data van uw organisatie?

Procesbeheersing bij service providers of SaaS - ISAE 3402

We maken steeds meer gebruik van service providers of providers van Software as a Service (SaaS). Dit is een verzamelnaam voor allerlei diensten van banken, verzekeraars, internetdiensten, applicatieontwikkelaars, social media partijen en andere leveranciers van online web applicaties. Maar waar laten ze uw data?

Deze service providers zijn bijvoorbeeld data centers, call centers, ontwikkelaars, netwerkbeheerders en andere specialisten die software, hardware, informatienetwerken en infrastructuren onderhouden en operationeel maken. Hoe zorgen we er voor dat deze leveranciers betrouwbaar leveren?

Leveranciers selecteren en evalueren op basis van specificaties

In de basis is het selecteren van een service provider niet veel anders dan in de klassieke industriële wereld: Bepaal eerst de wensen en eisen van uw klanten (de gebruikers/afnemers), stel op basis daarvan het programma van eisen op en start vervolgens een selectieprocedure. Het verschil is, dat we soms weinig zicht hebben op de organisatie en werkwijze van deze online leveranciers. We kennen hun bronnen niet, hun informatieveiligheidssystemen zijn niet transparant, we weten soms niet eens waar hun servers staan of hoe back-up procedures werken. Toch is de werkwijze niet wezenlijk anders dan in de klassiek wereld: Stel de juiste vragen en selecteer op basis van de verkregen antwoorden!

Procesbeheersing realiseren met ISO 27001

Nu we meer en meer afhankelijk zijn van online diensten worden afnemers ook steeds kritischer. Waar eind vorige eeuw het internet nog het domein was van innovators en opportunisten, zijn we de initiatiefase reeds lang voorbij. Zowel particulier als zakelijk maken we gebruik van informatie en applicaties, die niet meer speciaal of bijzonder zijn, maar die ons dagelijks leven en functioneren regelen. Dat geldt voor applicaties zoals telebankieren en CRM systemen tot en met ERP systemen en back-up faciliteiten. De hoeveelheid applicaties in uw organisatie is groot.

Het bewustzijn van de afhankelijkheid van deze digitale backbone leidt tot een steeds kritischer houding bij de gebruikers en dat is goed. We willen weten waar onze gegevens blijven, of ze veilig worden opgeslagen en of we altijd van de applicaties gebruik kunnen maken. Deze kritischer houding leidt er bij de service providers toe dat ze transparanter worden, werken aan procesbeheersing, faalkosten reduceren en zichzelf laten keuren.

Selecteer de juiste leverancier op basis van prestaties die voldoen aan ISO 27001

Als bekend is wat gebruikers belangrijk vinden, kunnen de online applicatie producenten aan de slag. Het primaire proces wordt ontwikkeld en voorzien van control maatregelen. Denk als voorbeeld aan maatregelen, zoals versiebeheer, back-up procedures, toegangsprotocollen, informatiebeveiliging, innovatie en onderhoud. Dit soort maatregelen vormt samen het kwaliteitsmanagementsysteem. Maak één geïntegreerd geheel van de operationele processen: één managementsysteem, één kwaliteitshandboek, conform ISO 27001.

Dan vervolgen we de weg naar de data centers, die uw data op hun servers hebben staan. Welke leverancier voldoet aan uw eisen. Deze markten zijn inmiddels zo ontwikkeld dat u eisen kunt stellen en kunt verlangen dat deze aanbieders transparant zijn. Vraag naar protocollen, prestaties en maatregelen. Neem geen genoegen met een offerte waarin één of andere uptime van 99,9% wordt gepresenteerd, maar vraag door: Hoe realiseren ze die zekerheid, welke maatregelen hebben ze genomen, worden procedures tijdig uitgevoerd, zijn er schaduwsystemen, wat zijn de geregistreerde afwijkingen, hoe snel worden errors hersteld, et cetera? Stel deze vragen en maak op basis daarvan een goede selectie.

ISAE 3402 als controlemiddel gebruiken

Mocht u zelf toch twijfelen, dan kunt u ook altijd een derde partij inschakelen of gewoon vragen naar auditrapporten. Een bekend voorbeeld hiervan is de ISAE 3402. Deze norm helpt een auditor de processen van online leveranciers te onderzoeken en geven een bepaalde mate van betrouwbaarheid.

Het is voor de aanbieders verstandig eerst te voldoen aan ISO 9001 en daarna ook aan ISO 27001, zodat de processen goed gedefinieerd zijn en continue procesbeheersing operationeel is. De norm ISAE 3402 is een manier om te helpen achterhalen of service providers voldoen aan uw eisen. Vraag daarnaast natuurlijk ook gewoon om aantoonbare resultaten van hun primaire processen, zoals aantal afwijkingen of in 1 x goed prestaties. Soms staan die al in het ISAE 3402 rapport, als het een type II rapport is. We ervaren nogal eens, dat er wel actie wordt ondernomen op fouten, maar dat procedures niet structureel worden verbeterd (lees hier meer over de PDCA-cirkel). Een fout kan zich dan morgen gewoon herhalen. Dit is geen ICT vraagstuk, maar een managementvraagstuk, dat gaat over procesbeheersing. Procesbeheersing is juist weer het centrale onderwerp in normen als ISO 9001 en ISO 27001.

Hulp bij het ontwikkelen van beheerste processen

IT specialisten hebben verstand van hun werk. Ze kennen de software, de hardware en kunnen allerlei ontwikkelingen realiseren. Echter, procesbeheersing is een apart vak met een andere denkwijze. We kunnen u helpen met zowel de procesbeheersing als de procesverbetering. Die verbeteringen zijn vaak niet in software of hardware te vinden, maar in de managementstructuur of -cultuur. We helpen u bij het beheersen van processen en kunnen verbeterteams leiden. Ook kunnen we een kwaliteitsmanagementsysteem en Information Security Management System voor uw organisatie ontwikkelen en helpen implementeren.

Wilt u meer weten over managementsystemen of informatie te beveiligen? Vul dan onderstaande formulier in. Of stuur vrijblijvend een e-mail naar info@patagonia-bv.com of bel ons voor uw vragen op 088 33 666 66.

Gegevens invullen voor vragen en informatie

Unieke aanpak:

  • Eenvoudig en praktisch
  • Workshop van 2 dagdelen
  • Met gratis format handboek
  • Coaching van leidinggevenden
  • Integraal systeem
×
Patagonia B.V. maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden. Als u geen cookies wilt, kunt u deze website niet gebruiken. Lees meer over cookies