ISO/IEC 38500 – BiSL – ASL een vergelijking

Samenvatting van een eerdere publicatie van Machteld Meijer en Mark Smalley op ASL BiSL Foundation

ISO/IEC 38500, BiSL en ASL kunnen een grote rol spelen in het professionaliseren van de informatievoorziening, ieder model vanuit hun eigen doelstelling en kracht. Ze kunnen prima naast elkaar worden gebruikt. Dat zou elke organisatie dan ook eigenlijk moeten doen.

In 2008 verscheen een nieuwe ISO-norm, de ISO/IEC 38500:2008. Het is een norm voor de ‘Corporate Governance of Information Technology’. De norm positioneert zich zowel aan de vraagkant als de aanbodkant van informatiediensten, dit in tegenstelling tot normen zoals ISO/IEC 20000-1:2005, NEN 3434:2007 en ISO/IEC 12207:2008, die alleen gericht zijn op interne en externe leveranciers van IT-diensten.

BiSL (Business information Services Library) is een framework dat expliciet voor de vraagkant ontworpen is en richtlijnen geeft voor zowel governance, management als uitvoering van de informatievoorziening. Het lijkt daardoor op het eerste gezicht grote raakvlakken te hebben met de ISO-norm, waardoor het interessant is te weten in hoeverre de norm en dit framework over dezelfde dingen gaan en elkaar aanvullen. ASL (Application Services Library) behandelt de sturing van een organisatie die applicatiemanagementdiensten verleent en kijkt dus naar governance vanuit het oogpunt van de aanbieder van informatiediensten. Omdat ASL en BiSL op elkaar aansluiten en dus beide met governance van doen hebben, worden ze alle twee in de vergelijking meegenomen.

De ISO/IEC 38500-norm is in Nederland minder bekend. Daarom gaan we hier wat dieper in op de inhoud daarvan dan op de inhoud van BiSL en ASL. Deze frameworks worden in grote lijnen bekend verondersteld.

ISO/IEC 38500:2008

De ISO/IEC 38500:2008-norm is gebaseerd op een aantal bronnen, in het bijzonder op de Australische AS 8015:2005-norm. De norm is primair gericht op directies van informatie gebruikende organisaties (en ook op diegenen die hen in dezen adviseren, informeren en ondersteunen), met de bedoeling hen te helpen met doeltreffend, doelmatig en acceptabel gebruik van IT in hun organisaties. Onder ‘gebruik van IT’ wordt verstaan planning, ontwikkeling, beheer en toepassing van IT gericht op de behoeften van de business.

De norm bestaat uit drie delen: Scope, Framework en Guidance. In deze driedeling worden enkele basisprincipes in steeds meer detail behandeld. De norm kan worden toegepast bij organisaties van verschillende grootte en typering, zowel profit als non-profit.

ISO 38500 omvat governance (maar niet management en uitvoering) van zowel vraag als aanbod van IT-diensten (intern en extern). Essentieel is het onderscheid tussen governance en management. Management omvat de maatregelen en processen die nodig zijn om de strategische doelen van de organisatie te realiseren. Deze doelen en de bijbehorende beleidsmatige randvoorwaarden zijn vastgesteld door de directie, die vervolgens bewaakt dat hieraan wordt voldaan. Aanvullend op dit aansturen en monitoren van het management omvat governance ook het inhoudelijk evalueren van deze doelen en randvoorwaarden.

Hoewel de norm niet direct op het taakgebied management is gericht, moet worden opgemerkt dat managers een belangrijke rol vervullen omdat zij doelen en randvoorwaarden van de directie aanvaarden en erover rapporteren. In het kader van governance doen managers immers het volgende:

· ze adviseren en ondersteunen directies;
· ze voorzien directies van informatie en implementeren de doelen die directies aangeven;
· ze zijn veelal degenen die beleidsvoorstellen aandragen;
· ze voeren bepaalde governancetaken namens directies uit.

Scope van de ISO 38500-norm

Op het titelblad van de ISO 38500-norm staat dat het een norm is voor de ‘Corporate Governance of Information Technology’. Dat klinkt duidelijk, maar toch kun je je twee dingen afvragen:

· Corporate: welk bedrijf?
· Information Technology: wat valt daaronder?

Corporate

In meer dan 80 procent van de tekst van de norm wordt hier het bedrijf bedoeld dat informatie nodig heeft, in onze termen de business, de vraagkant van IT ofwel demand. Het gaat namelijk steeds over de IT die de organisatie nodig heeft om haar werk te kunnen doen. De organisatie is ‘any company’, dus elk willekeurig bedrijf, binnen de overheid of commercieel, klein of groot. Daarbij kan de aanbodkant van IT door dezelfde organisatie worden uitgevoerd of kan de IT zijn geoutsourcet.

Information Technology

IT wordt beschreven als ‘Resources required to acquire, process, store and disseminate information’ en omvat zowel informatie- als communicatietechnologie. Het is niet helder of daar de niet-geautomatiseerde informatievoorziening ook geheel of gedeeltelijk onder valt. Er worden geen voorbeelden in die richting genoemd. De ervaring leert echter dat het strakke onderscheid tussen informatievoorziening (IV) en IT (de geautomatiseerde IV) dat in Nederland gebruikelijk is, lang niet overal zo wordt gehanteerd. Het is dus mogelijk dat niet-geautomatiseerde IV deels onder IT wordt verstaan.

De norm lijkt dus te gaan over de vraag hoe een organisatie ervoor zorgt dat de ondersteuning door (geautomatiseerde) IV adequaat is en tevens tot aan de top van de organisatie bestuurlijk verankerd is. De norm stelt daarbij ook eisen aan de IT en deze eisen gaan ver, zeker als IT niet intern in de organisatie belegd is. Een aantal eisen is zodanig gericht op de managers van de IT, dat deze niet kunnen worden opgelegd aan de managers van het bedrijf als ze hun IT geoutsourcet hebben. In dat geval moeten deze eisen in het contract met de leverancier van IT-diensten worden geborgd.

Zes principes van de ISO 38500-norm

De norm geeft aan dat er zes basisprincipes nodig zijn om ervoor te zorgen dat de IT-ondersteuning van een bedrijf adequaat is. Deze principes, die door de directie van een bedrijf moeten worden gehanteerd, beschrijven niet hoe je dingen moet doen, maar wel waar een organisatie aan moet voldoen. Volgens de opstellers van de norm gaat ISO/IEC 38500 vooral over het gedrag van mensen binnen een organisatie dat nodig is om succesvol van IT gebruik te maken.

De principes zijn:
1. Responsibility – verantwoordelijkheid: alle betrokkenen, zowel supply (IT-aanbieders) als demand (business), moeten hun verantwoordelijkheden kennen en nemen ten aanzien van de IT.
2. Strategy – strategie: businessplannen moeten afgestemd zijn op IT-mogelijkheden en alle IT binnen een organisatie moet de huidige en toekomstige business ondersteunen.
3. Acquisition – verwerving: alle IT-investeringen moeten worden gedaan op basis van een businesscase; er zou geregeld moeten worden nagegaan of die uitgangspunten nog steeds kloppen.
4. Performance – prestatie: de prestaties van de IT-systemen moeten leiden tot businessvoordelen en daarom is het nodig dat IT de business adequaat ondersteunt.
5. Conformance – conformiteit, naleving: IT-systemen moeten eraan bijdragen dat kan worden aangetoond dat bedrijfsprocessen voldoen aan wet- en regelgeving; ook de IT zelf dient zich te houden aan wettelijke vereisten en afgesproken interne regels.
6. Human behaviour – menselijk gedrag: IT moet erop gericht zijn dat er voldoende rekening wordt gehouden met de menselijke factor en de behoeften van de mensen in het proces.

Deze principes worden in de norm eerst heel kort en daarna stuk voor stuk uitgebreider behandeld. Bij deze beschrijving lopen eisen aan de business en aan IT wat door elkaar. Verder is de uitdieping van een onderwerp op het eerste gezicht niet altijd geheel in lijn met het bovenliggende principe.

BiSL

BiSL is een publieke standaard voor businessinformatiemanagement (operationeel functioneel beheer plus informatiemanagement). BiSL geeft invulling aan processen en activiteiten die noodzakelijk zijn om de informatievoorziening vanuit gebruikers- en bedrijfsoptiek te sturen. Het is een samenhangend framework met aandacht voor zowel uitvoerende, sturende en richtinggevende processen als hun onderlinge relaties (zie figuur 2).

ASL

ASL is een publieke standaard voor applicatiemanagement. ASL geeft invulling aan processen en activiteiten die noodzakelijk zijn om applicaties goed te kunnen beheren en onderhouden, niet alleen vandaag maar ook overmorgen. Net als BiSL is ook ASL een samenhangend framework met aandacht voor zowel uitvoerende, sturende en richtinggevende processen als hun onderlinge relaties (zie figuur 3). In dit artikel wordt gerefereerd aan ASL 2, de nieuwe versie van het framework.

Mapping van ISO 38500 op BiSL en ASL

De ISO 38500-norm geeft aan dat directeuren van een organisatie drie taken hebben (zie figuur 4):

a. het huidige en toekomstige gebruik van IT evalueren;
b. het opstellen en implementeren van plannen en beleid aansturen om ervoor te zorgen dat de IT de businessdoelen ondersteunt;
c. monitoren in hoeverre het beleid wordt gevolgd en de prestaties van de IT voldoen aan de plannen.

BiSL, ASL en ISO 38500 beschrijven alle drie wat je moet doen en niet hoe je het moet doen. BiSL beschrijft dat vanuit het oogpunt van het bedrijf dat informatie als bedrijfsmiddel inzet, ASL vanuit het oogpunt van een van de interne of externe IT-dienstverleners en ISO 38500 vooral vanuit het eerste gezichtspunt, maar tevens vanuit het tweede. Vandaar ook dat de vergelijking zich uitstrekt over zowel BiSL als ASL.

In de twee middelste kolommen van figuren 5 en 6 wordt aangegeven in welke BiSL- en ASL-processen dezelfde ‘wat-elementen’ aan de orde komen die ISO 38500 vraagt in zijn richtlijnen. Uit de vergelijking blijkt duidelijk dat de meeste principes en richtlijnen uit de norm thuishoren op het richtinggevende niveau van BiSL en ASL. Dit is op zich niet onverwacht, want de directie van een organisatie beweegt zich vooral op strategisch niveau.

Binnen een aantal BiSL- en ASL-processen op sturend en uitvoerend niveau worden activiteiten uitgevoerd die de directie dient te besturen. Om een overzicht te krijgen van de processen en activiteiten waar vooral op gestuurd moet worden in het kader van governance, zijn deze in de twee rechterkolommen van de beide figuren aangegeven. Deze activiteiten zelf maken geen deel uit van de zaken die de norm graag aanwezig zou zien en die in de richtlijnen zijn beschreven. De richtlijnen gaan alleen over de sturing op directieniveau.

De principes en richtlijnen van de norm hebben regelmatig te maken met menselijk gedrag. Het gaat eerder over ‘kennen de mensen het beleid?’ dan over ‘wat is het beleid?’ of ‘er moet beleid zijn’. Eigenlijk besteden BiSL en ASL vrij weinig aandacht aan de wijze waarop beleid en strategie naar de medewerkers worden gebracht. De invalshoek waarmee naar governance wordt gekeken is dus nogal verschillend wanneer we enerzijds naar ISO 38500 en anderzijds naar BiSL en ASL kijken.

Overeenkomsten en verschillen

De ISO 38500-norm geeft een mooi overzicht van punten waar directeuren en managers van een (vraag)organisatie aandacht aan moeten besteden bij het gebruik van IT. Een aantal richtlijnen beschrijft ook wat het IT-management moet doen. Hiermee wordt de norm op deze punten minder toepasbaar voor organisaties waar de IT is geoutsourcet, omdat de verantwoordelijkheid voor het IT-beleid dan niet bij de vraagorganisatie ligt. Op deze punten is de norm wel goed bruikbaar voor IT-bedrijven en managers van IT-afdelingen. De verantwoordelijkheden van het IT-management worden duidelijker.

Wanneer BiSL wordt ingevoerd op volwassenheidsniveau 2-3, zijn er voldoende handvatten aanwezig om invulling te geven aan een groot deel van de richtlijnen van ISO 38500. In de praktijk zie je echter dat organisaties meestal beginnen met het toepassen van BiSL op het uitvoerende niveau. En het zijn juist de activiteiten op het richtinggevende en sturende niveau die invulling geven aan de meeste richtlijnen uit de norm. Daarbij ligt de aandacht van de norm meer op de aanpak en de verantwoordelijkheid, en de aandacht van de frameworks meer op de inhoud van de activiteiten.

Wat ISO 38500 toevoegt aan BiSL:

· De ISO-norm concentreert zich op één onderwerp, governance, en zet richtlijnen daarvoor mooi op een rijtje. Bij BiSL zijn die onderwerpen verspreid over het hele model en vanuit een ander perspectief beschreven.
· Voldoen aan eisen van governance wordt steeds belangrijker, dus heeft zo’n overzicht duidelijk meerwaarde.
· BiSL gaat niet echt in op verantwoordelijkheden van de directie, terwijl dat de kern is van ISO 38500.
· ISO 38500 gaat meer in op de zachte factoren die ook belangrijk zijn bij het implementeren van governance.

Wat BiSL toevoegt aan ISO 38500:

· BiSL biedt een totaaloverzicht van de activiteiten (niet alleen governance maar ook sturende en uitvoerende activiteiten) die aan de businesskant moeten gebeuren om tot een goede informatievoorziening te komen.
· Het beperkt zich niet tot IT, maar neemt ook de niet-geautomatiseerde IV mee.
· Er is een helderdere scheiding van de verantwoordelijkheden van vraag en aanbod (demand en supply).

Ook voor de IT-gerichte richtlijnen geldt: als ASL is ingevoerd op niveau 2-3, kan invulling worden gegeven aan een groot deel van de zaken waar de IT-directie toezicht op dient te houden. Maar in dit geval is het gros van de richtlijnen in de norm terug te brengen tot slechts een paar processen van ASL: de processen in het cluster Applications Cycle Management, een paar processen uit Organization Cycle Management, kwaliteitsmanagement en contractmanagement.

Het is vanuit ons Nederlandse gezichtspunt, waarin we vraag en aanbod graag duidelijk scheiden, jammer dat in deze norm (net als ITIL) de verantwoordelijkheden van de directie van de vraagorganisatie en die van de aanbodorganisatie (in- dan wel extern) wat door elkaar lopen.

De directie van een organisatie die haar IT heeft geoutsourcet, heeft nauwelijks grip op het beleid van de IT-leveranciers die zij inhuurt. Hun managers zijn niet rechtstreeks aan te sturen, alleen indirect via contracten, maar die gaan over het algemeen niet in op de manier waarop het management van een leverancier handelt. Daardoor zal het management van een bedrijf dat IT heeft uitbesteed, nooit volledig kunnen voldoen aan de norm. Omdat de norm niet bedoeld is voor certificering, is dat overigens geen onoverkomelijk probleem.

Conclusies vergelijking

De doelstellingen van de ISO-norm en van de beide frameworks zijn zodanig verschillend dat ze eigenlijk niet echt vergelijkbaar zijn. Alle drie hebben hun duidelijke meerwaarde. ISO 38500 geeft aan waar een directie aan moet denken en hoe zij moet handelen bij het sturen op de (geautomatiseerde) informatievoorziening. BiSL en ASL geven een uitgebreid overzicht van activiteiten die moeten worden uitgevoerd om tot een goede informatievoorziening te komen en deze in stand te houden, met een nadruk op de sturing daarop.

ISO 38500 is dus bedoeld voor de directie en ASL en BiSL zijn veel meer bedoeld voor de managers (en de medewerkers). Ook is de scheiding in vraag en aanbod in ASL en BiSL helder aangegeven, terwijl dat in de norm niet zo is. Alle drie kunnen een grote rol spelen in het professionaliseren van de informatievoorziening, vanuit hun eigen doelstelling en kracht. Ze kunnen prima naast elkaar worden gebruikt. Dat zou elke organisatie dan ook eigenlijk moeten doen.

ISO 38500, ASL en BiSL kunnen prima naast elkaar worden gebruikt

Reviewer Wijnand Westerveld

Literatuur
ISO/IEC (2008). ISO/IEC 38500:2008, Corporate Governance of Information Technology.
Pols, R. van der (2009). ASL 2: een framework voor applicatiemanagement. Zaltbommel: Van Haren Publishing.
Pols, R. van der, R. Donatz & F. van Outvorst (2005). BiSL, een framework voor functioneel beheer en informatiemanagement. Zaltbommel: Van Haren Publishing.

Dr. Machteld Meijer is zelfstandig expert-consultant en trainer en neemt deel aan enkele werkgroepen van de ASL BiSL Foundation. E-mail: machteld.meijer@maise.nl.
Mark Smalley is verantwoordelijk voor internationale zaken bij de ASL BiSL Foundation en is principal consultant bij Capgemini. E-mail: mark.smalley@aslbislfoundation.org

Boeken over dit onderwerp

Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002

Auteur: Jule Hintzbergen
Dit boek is in eerste instantie ontwikkeld als studieboek voor het examen Information Security Foundation based on ISO/IEC27002 (ISFS) van EXIN.
Europrijs: 27,99
Bestellen

Praktijkgids – Werken met ISO 9001:2015

Auteur: René Gouwens
Deze praktijkgids ‘Werken met ISO 9001:2015 – De impact van kwaliteitsmamagement’ is samengesteld voor organisaties die willen starten met het opzetten van een kwaliteitsmanagmentsysteem volgens ISO 9001.
Europrijs: 59,0
Bestellen

Meer boeken over ASL vinden.


-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Geef zelf een aanvulling.

Geef een aanvulling

Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten:
Selectie te gebruiken methodologie 38 vragen.
Sidebar