Leeswijzer

LEESWIJZER – SCORES PER SERVICEPROVIDER EN BEDRIJFSPROFIELEN

In deze leeswijzer vindt u een toelichting op de schematische weergave van de onderzoeksresultaten per serviceprovider. Serviceproviders die geëvalueerd zijn door ten minste tien verschillende klantorganisaties, worden opgenomen in de benchmarkstudie. Op de profielpagina worden de onderzoeksresultaten van de serviceprovider weergegeven.

Een aantal van de deelnemende IT-serviceproviders heeft gebruik gemaakt van de mogelijkheid om naast de benchmarkresultaten een bedrijfsprofiel te publiceren. Bij deze serviceproviders vindt u een bedrijfsbeschrijving, een beknopte klantcase en aanvullende informatie over de IT-serviceprovider.

TAXONOMIE DIENSTEN IT EXPERIENCE

SERVICEPROVIDER

 

BEDRIJFSPROFIEL

Een aantal van de deelnemende IT-serviceproviders heeft gebruik gemaakt van de mogelijkheid om naast de benchmarkresultaten een bedrijfsprofiel te publiceren. Het bedrijfsprofiel is tot stand gekomen in samenwerking met de desbetreffende serviceprovider.

In het bedrijfsprofiel wordt een beknopte omschrijving gegeven van de organisatie. Is de serviceprovider regionaal, nationaal of mondiaal georiënteerd? In welke sectoren is de provider vooral actief? Met welke partners wordt er samengewerkt? In welke domeinen is deze serviceprovider actief? Op welk vlak onderscheidt de serviceprovider zich van de concurrentie?

In de uitgelichte case hebben we de serviceproviders gevraagd om één aansprekend voorbeeld te geven van een project en/of samenwerking. Dat voorbeeld is uitgewerkt in een beknopte casebeschrijving.

COMPLIANCY STANDAARDEN EN RICHTLIJNEN

In de tabel – bij het bedrijfsprofiel – zijn normen, standaarden en richtlijnen opgenomen waaraan serviceproviders zeggen te voldoen. Giarte heeft een aantal van deze standaarden uitgevraagd die hieronder beknopt worden toegelicht. Serviceproviders kunnen naast deze uitgevraagde standaarden ook andere standaarden hebben opgegeven.

Normen van de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC)
ISO 9001 en ISO 14001 zijn internationale normen voor managementsystemen. ISO 9001 is een norm voor kwaliteitsmanagementsystemen. ISO 14001 is gericht op milieumanagementsystemen en is van toepassing op milieuaspecten waarvan de organisatie heeft aangegeven deze te kunnen beheersen en beïnvloeden. ISO 14001 stelt geen specifieke eisen aan milieuprestaties.

De internationale normen ISO/IEC 27001, 27002 en 27018 hebben betrekking op informatiebeveiliging. ISO/IEC 27001 omschrijft de vereisten voor een Information Security Management System (ISMS): een systematische benadering van het managen van gevoelige bedrijfsinformatie. Overheidsinstanties zijn verplicht om aan ISO 27001 en 27002 te voldoen aan de hand van de BIR (Baseline Informatiebeveiliging Rijksoverheid). ISO/IEC 27018 ziet specifiek toe op de beveiliging van persoonsgegevens in de cloud. De norm is voornamelijk gericht op cloudproviders die persoonsgegevens verwerken.

Assurance-standaarden en het Service Organization Control Rapport
De standaard ISAE 3402 is bedoeld voor processen die relevant zijn voor de financiële verslaglegging van de uitbestedende organisatie. In de Verenigde Staten is de ISAE 3402-standaard (met enkele aanpassingen) opgenomen in de lokale standaard SSAE 16, waaraan de merknaam SOC1 is gegeven. Omdat SOC1 hierdoor nagenoeg gelijk is aan ISAE 3402, is voor de tabel besloten deze standaarden gezamenlijk weer te geven als ‘ISAE 3402/SOC1’, tenzij door de serviceprovider is aangegeven aan een van beide te voldoen.

SOC2 is het assurance-rapport gericht op IT-serviceproviders. In tegenstelling tot het ISAE 3402-rapport, liggen voor het SOC2-rapport de minimaal op te nemen beheersingsdoelstellingen vast. Ook SOC2 is een Amerikaanse merknaam. In Nederland ontbreekt een vergelijkbare norm die specifiek gericht is op IT-serviceproviders. In de praktijk wordt dit soort rapporten in Nederland ook wel uitgebracht onder de algemene assurance-richtlijn ISAE 3000. In de tabel worden de standaarden ISAE 3000 en SOC2 gezamenlijk weergegeven, tenzij door de serviceprovider is aangegeven aan een van beide te voldoen.

De Service Control Rapporten kunnen worden opgedeeld in een Type I- en een Type II-rapport. Type I omvat de genomen beheersingsmaatregelen op een bepaald moment. Type II omvat de beheersingsmaatregelen over een bepaalde periode.

Standaarden en richtlijnen voor specifieke markten
NEN 7510 is een landelijke norm voor informatiebeveiliging voor de Nederlandse zorgsector. IT-leveranciers kunnen zich volgens NEN 7510 laten certificeren als zij patiëntgegevens verwerken. Binnen de financiële sector wordt er met regelmaat gevraagd om te voldoen aan het DNB Toetsingskader dat gaat over adequate procedures en maatregelen ter beheersing van informatiebeveiliging. COBIT 4.1 en COBIT 5.0 worden vaak gebruikt als framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.