ISO 27001 vs. ITIL

Informatietechnologie (IT) is niet meer weg te denken uit onze organisatie en is één van de belangrijkste doorgeefluiken van informatie; intern in de organisatie, van en naar klanten én partners. COVID19 heeft het belang van IT in een snel tempo doen toenemen. Aan de ene kant nemen de wettelijke en contractuele vereisten hieromtrent toe en aan de andere kant is het een niet te versmaden informatiebron voor mensen/bedrijven met minder goede bedoelingen. Het gevolg is evident: we moeten ons aan deze nieuwe realiteit aanpassen.

In de informatietechnologiewereld gebruikt men naast ISO 27001 ook ITIL. Maar wat is het verschil?
ISO 27001

Information Technology Infrastructure Library (ITIL) is een referentiekader met richtlijnen die aangeven hoe een IT-dienstverlener het best kan garanderen dat haar klanten de producten en diensten krijgen die zij verlangen. Het is dus eerder een set van ‘best practices’ en concepten. ITIL is een publiek-privaat framework waar we sinds 2019 werken met ITIL 4. Deze versie omvat methodologieën die zijn gericht op de automatisering van processen, de verbetering van samenwerking en communicatie binnen de hele organisatie en de integratie en uitbreiding van servicebeheer buiten het IT-department (zoals HR, financiën, klantenondersteuning, enz.).


ITIL is dus geen industriestandaard zoals ISO 27001, die eisen bevat voor voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het sleutelelement van ISO 27001:2013 is de ‘Statement Of Applicability’. De SoA is een gedocumenteerde verklaring met 35 controledoelstellingen en 114 controles om te implementeren in een Information Security Management System (ISMS). Die controles moeten worden doorgevoerd zodat een organisatie de risico's voor haar informatiebeveiliging kan beheersen in relatie tot de significantie ervan voor de organisatie als geheel.

Een onontbeerlijke aanvulling van ISO 27001 is ISO 27002. Deze laatste geeft voor elk van de geïdentificerde controles een leidraad om die te implementeren.

ITIL kan een belangrijke rol spelen bij de uitvoering van de vele aspecten van de geïdentificeerde controles.

Het moet gezegd dat ITIL geen wondermiddel is dat 'alles zal doen' wanneer je de ISO/IEC 27001-certificatie nastreeft. ITIL zal wél de weg naar het bereiken van die certificatie vergemakkelijken. Sterker nog, organisaties die al een volwassen ITIL-raamwerk hebben, zullen merken dat veel van hun processen en activiteiten die al aanwezig zijn, het implementeren van de informatiebeveiligingscontroles zullen vergemakkelijken. Eigenlijk zijn ISO 27001 en ITIL complementair. Ze helpen samen de dienstverlening aan de klant op een veilige manier te laten verlopen.

Dirk De Paepe is Master in Militaire- en Luchtvaartwetenschappen met een jarenlange internationale ervaring in de operationele processen van luchtvaart-, ruimtevaart- en defensiebedrijven. Hij is in zijn loopbaan ook actief betrokken bij het implementeren, onderhouden en auditeren van managementsystemen in diverse sectoren. Hierbij hanteert hij steeds een pragmatische aanpak met aandacht voor de grootst mogelijke toegevoegde waarde voor het betrokken bedrijf.

 

Lees meer over managementsystemen