Privacyrecht is code (R&P nr. ICT1) 2010/7.9.2:7.9.2. Maturiteitsmodellen

Privacyrecht is code (R&P nr. ICT1) 2010/7.9.2

7.9.2. Maturiteitsmodellen

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De afgelopen tien jaar zijn er verschillende maturiteitsmodellen van bedrijfsprocessen ontwikkeld door o.a. de Carnegie Mellon University (CCMi Capability Maturity Model), het Instituut Nederlandse Kwaliteit (INK), en KPMG. Volgens Smit is een maturiteitsmodel: "a staged structure of maturity levels, which defines the extent to which a specific process is defined, managed, measured, controlled and/or effective, assuming the organization develops and adopts new processes and practices, from which it learns, optimizes and moves on to the next level, until the desired level is reached."1

Het afgelopen decennium zijn er binnen het bedrijfsleven ook maturiteitsmodellen ontwikkeld op specifieke onderzoeksgebieden, zoals voor de onderlinge afstemming van verschillende informatietechnologieën van ondernemingen, softwareontwikkeling en beveiliging van informatie. Al deze modellen hebben één ding gemeen: ze beschrijven alle de maturiteit van een of meer processen binnen een organisatie. De beschrijvingen van deze maturiteitsniveaus zijn per model verschillend, maar komen in grote lijnen met elkaar overeen. In ieder model wordt de eerste maturiteitsfase (`immature') gekenschetst als chaotisch, en hebben deelprocessen van IAM (1 monitoring; 2 provisioning; 3 authorization management; 4 user management; 5 authentication management) een ad hoc karakter. Het CCMi maturity model dat het Software Engineering Institute (SEI) in 2000 heeft ontwikkeld beschrijft voor bedrijfsprocessen binnen organisaties de volgende maturiteitsfasen:2

Fase 1:

Alleen nieuwe processen zijn gedefinieerd, en deze worden uitgevoerd op ad hocbasis. (Fase: 'immature'.)

Fase 2:

Processen die lijken te werken en in orde zijn, worden herhaald. De planning vanspecifieke IAM-deelprocessen staat centraal. (Fase: 'starting up'.)

Fase 3:

Processen worden regelmatig uitgevoerd, gestandaardiseerd en gedocumenteerd om vast te stellen of ze dienovereenkomstig worden uitgevoerd. Op dit punt in de ontwikkeling van de organisatie heeft zij de ad hoc-fase definitief achter zich gelaten. (Fase: `active'.)

Fase 4:

Het welslagen van processen wordt organisatiebreed gemeten, processen en kwaliteit worden bewaakt op basis van kwantitatieve procedures. Het periodiek actualiseren van de authenticatie vereisten geschiedt op basis van continue risicoanalyses. Het gebruikersbeheer is nog steeds handmatig, maar wel gecentraliseerd en betreft nu alle gebruiksregistraties (Fase ‘pro active”.

Fase 5

Processen worden systematisch verbeterd aan de hand van kwantitatieve terugkoppeling van (test)resultaten en innovatieve ideeën. IAM is een belangrijk onderdeel van de ondernemingsdoelstellingen.3(Fase: 'top class'.)

De combinatie van de procesbeschrijvingen en de beschrijvingen van de maturiteitsfasen resulteren in het volgende IAM-maturiteitsmodel.4

Figuur 7.5: Identiteit en toegangsprocessen en daarbij behorende technologieën, Van Gestel, 2007, p. 34. Op de X-as staan de maturiteitsfasen en op de Y-as de IAM-processen, die toenemen in complexiteit.

id-57a5aeb5-c9fa-49b3-8fa9-6d66c48efa68

Een organisatie zal zich steeds bewuster worden van het belang van IAM-processen naarmate zij de vijf maturiteitsfasen doorloopt. De organisatie moet hierdoor niet alleen haar IAM-processen bijstellen, maar ook haar eigen organisatiestructuur en bedrijfsbeleid. Het privacybeleid kan hierbij niet achterblijven. IAM-processen blijken ook conform de S-curve van Rogers (zie paragraaf 7.5) te verlopen.5

Deze functie is alleen te gebruiken als je bent ingelogd.