ASL en BiSL opgehelderd

ASL en BiSL opgehelderd
‘ASL en BiSL zijn alternatieven voor ITIL.’ ‘In ASL en BiSL ontbreken Probleembeheer en Beveiligingsbeheer.’ Over ASL en BiSL bestaan allerlei misverstanden en misvattingen. Hoe zit het nou echt met beide succesvolle beheermodellen?
Vraag: Waarom zijn de namen van de beheerdomeinen in ASL en BiSL aangepast?
In de nieuwe versies van ASL en BiSL zijn de namen van de drie beheerdomeinen gewijzigd. Applicatiebeheer heet nu applicatiemanagement. Functioneel beheer (inclusief informatiemanagement) heet nu businessinformatiemanagement (BIM) en technisch beheer heet nu IT-infrastructuurmanagement. Er zijn diverse redenen voor de naamsverandering. Het begrip applicatiebeheer wordt in vrij veel organisaties gebruikt voor het dagelijkse beheer van de applicaties (binnen applicatiemanagement). Het woord wekt ook de indruk dat applicatie-onderhoud en -vernieuwing er niet onder vallen. Daarom wordt het woord applicatiemanagement gebruikt. Bovendien lijkt dit sterk op het overeenkomstige Engelse begrip application management . De term functioneel beheer wordt in de praktijk meestal gebruikt voor de operationele activiteiten binnen het domein. De richtinggevende aspecten ziet men er niet in. Om die verwarring weg te nemen heet het domein nu businessinformatiemanagement. De meest voorkomende uitvoerende rol heet natuurlijk nog steeds functioneel beheerder. Om in lijn te blijven wordt technisch beheer nu aangeduid met IT-infrastructuurmanagement.
De woorden zijn weliswaar veranderd, maar de oorspronkelijke betekenis en scope van de domeinen zijn ongewijzigd gebleven.
Misvatting: ASL en BiSL zijn alternatieven voor ITIL.
ITIL is in de jaren tachtig van de vorige eeuw ontwikkeld. Het was een procesmodel gebaseerd op best practices uit met name het IT-infrastructuurdomein (technisch beheer in de termen van Looijen). Er groeide in het midden van de jaren negentig echter behoefte aan een alternatief voor ITIL, maar dan specifiek voor applicatiemanagement (applicatiebeheer en onderhoud), omdat ITIL weinig aandacht besteedde aan de specifieke behoeften van dat domein. Daarom is ASL ontwikkeld, mede op basis van de ITIL-procesbeschrijvingen.
Een logisch vervolg was om ook voor het derde domein, businessinformatiemanagement (functioneel beheer en informatiemanagement), een procesmodel te ontwikkelen. Dit werd uiteindelijk BiSL. Dit framework sluit goed aan op het framework voor applicatiemanagement en daardoor indirect ook op ITIL.
Sinds het ontstaan is de focus van ITIL verbreed en zijn er nieuwe processen bijgekomen. Maar ITIL is nog steeds geschreven voor de IT-dienstverlener, al gaat het nu veel meer uit van de behoeften van de afnemers. Ook ASL is aangepast. Procesnamen zijn veranderd en er is onder andere meer aandacht voor multi-leveranciersdiensten.
Een vraag die geregeld wordt gesteld is: zijn ITIL, ASL en BiSL onderling uitwisselbaar? Deels. Voor een aantal relevante activiteiten zoals het afhandelen van incidenten en het beheren van wijzigingsvoorstellen op hoofdlijnen wel. BiSL is echter geschreven voor de vraagkant van IT en niet voor de aanbieder (zoals ITIL en ASL) en beschrijft dus de taken en verantwoordelijkheden van de vraagorganisatie. Daardoor verschilt het van ITIL en ASL in de op het oog overeenkomstige processen en bevat het een groot aantal activiteiten en processen die niet in ITIL en ASL zijn opgenomen. Het heeft daardoor voor de afnemers van informatiediensten een grote meerwaarde boven ITIL en ASL.
ASL en ITIL bevinden zich weliswaar beide aan de aanbodkant, maar ook hier zien we verschillen. Een belangrijk verschil in de indeling van processen is dat ITIL geen aandacht besteedt aan de processen waarmee producten die worden opgenomen in de diensten worden gemaakt en aangepast, terwijl deze processen in ASL net zo belangrijk zijn als de beheerprocessen. In ASL wordt de taal van de applicatiebeheerder en-ontwikkelaar beter gesproken. Voor de overeenkomstige processen (met name de ‘oude’ servicesupport en service-delivery-processen) biedt ITIL meer details dan ASL.
Overigens zien we in ASL en BiSL dat de strategische/richtinggevende laag procesmatig beter wordt afgedekt: ze bevatten processen waarvan de ‘tegenhangers’ in ITIL ontbreken.
Dat leidt tot de constatering dat elk framework zijn eigen sterktes en eigen doelgroep heeft. Aan de andere kant zie je dat er organisaties zijn die de infrastructuur-, applicatie- en functioneel beheeractiviteiten niet zo duidelijk hebben gescheiden: ze zijn samengebracht in één organisatorische eenheid, en zelfs bij dezelfde medewerkers. Hoe ga je daar nu in de praktijk mee om? Ons advies is: als je de relevante processen bijvoorbeeld hebt ingericht op basis van ITIL en alles naar verwachting loopt, laat het dan zo. Heb je echter behoefte aan verbeteringen of aan verdieping, of wil je je processen nog gaan inrichten of herinrichten aan de hand van een framework, kijk dan liever naar het specifieke beheermodel voor jouw type organisatie. Het is ervoor gemaakt. Bovendien maakt dat het uitwisselen van best practices met andere organisaties makkelijker, omdat deze best practices veelal wel op één domein en op één procesmodel zijn afgestemd.
Misvatting: Het hebben van drie beheermodellen, ITIL, ASL en BiSL, is niet handig; één beheermodel zou beter zijn.
Elk beheerdomein heeft zijn eigen verantwoordelijkheden. Tussen de processen van de partijen die bij de invulling van een informatiebehoefte betrokken zijn, zitten veel koppelvlakken. Maar elke partij heeft ook zijn eigen interne processen. Applicaties beheren en onderhouden is een wezenlijk ander vak en heeft dus andere processen en een andere invulling van overeenkomstige processen nodig dan het beheren en exploiteren van de technische infrastructuur. Beide zijn weer wezenlijk anders dan het namens de gebruikersorganisatie beheren van de informatievoorziening. Daarom is het ook logisch dat er aparte beheermodellen voor zijn. Zou u in de keten ‘graanleverancier, meelfabriek, bakker, winkel, ontbijtservice’ ook met één procesmodel willen werken? Waarschijnlijk niet. Maar het definiëren van de koppelvlakken tussen de processen is wel erg belangrijk.
In een wereld waarin business en IT steeds verder verweven raken, is integraal beheer het sleutelwoord. Echter, IT-beheer is te dynamisch, veelzijdig en complex om simpelweg ‘op één hoop te gooien’, oftewel alle processen over alle organisatieonderdelen heen integraal in te richten. Daarom zijn wij groot voorstander van het principe: samenwerken waar dat nodig is en zelfstandig opereren waar dat kan. Door het scheiden van de verschillende vormen van beheer, het goed laten aansluiten van de relevante processen tussen de beheervormen én het toepassen van het meest geschikte framework krijgt men een uitermate flexibele en stuurbare dienstverlening. Ik hoef niet te weten hoe het proces is binnen de werkplaats van mijn garage. Wel moet ik afspraken maken op de interface: hoe laat brengen, hoe laat afhalen, wat verwacht ik, wat moet ik betalen, et cetera.
Misvatting: ASL en BiSL stellen het belang van de processen boven het belang van resultaten. Bovendien zou je van de beheermodellen mogen verwachten dat beschreven is hoe je een proces dient in te richten en uit te voeren.
ASL en BiSL (en trouwens ook ITIL) zijn beheermodellen die beschrijven welke processen je kunt onderkennen en uit zou moeten voeren op het gebied van IT en IV (informatievoorziening). Niet voor niets is bij de procesbeschrijvingen veel aandacht gegeven aan de beschrijving van de te verwachten resultaten. Een goed proces kan in principe geen ongewenste producten opleveren. Dan zijn de uitgangspunten, afspraken en de sturing daarop niet goed ingericht. Maar toch zie je dat vaak gebeuren. Een proces dat geen goed product oplevert, heeft geen waarde, maar voor het opleveren van een product is het doorgaans handig om een proces te definiëren (en beschrijven) en in te richten, hoewel dit niet per se een voorwaarde is. Houd hierbij altijd in de gaten: ‘Structures do not get the work done’.
Een bekend verwijt aan ASL en BiSL is dat ze niet helpen bij hóe je de opgesomde activiteiten moet doen. Dat mag je echter ook niet verwachten. Er staat slechts in wát je moet doen omdat de daadwerkelijke invulling van organisatie tot organisatie en van product tot product moet verschillen. Hoe je het doet is sterk situatie- en organisatie-afhankelijk. Bij een grote organisatie lopen de processen anders dan bij een kleine, bij een formele anders dan bij een informele, bij een organisatie op één locatie anders dan bij één met vele vestigingen, bij een sterk veranderende anders dan bij een stabiele, bij één met directe contacten met de eindgebruikers anders dan bij één die alleen toeleverancier is en zo kunnen we nog wel even door gaan. Dat is ook de reden waarom in ASL en BiSL zoveel nadruk ligt op het onderkennen, beschikbaar stellen en gebruikmaken van best practices. ASL en BiSL zijn ondergebracht in de ASL BiSL Foundation en daar zijn werkgroepen actief met het verzamelen, verbeteren en verspreiden van best practices, die via de website beschikbaar worden gesteld. Zo’n best practice kun je oppakken, beoordelen en in een aantal gevallen vervolgens aanpassen aan je eigen situatie. Soms kan dat laatste niet, want wat voor de één een best practice is, kan voor de ander de worst practice ever zijn.
Vraag: Waarom heten de drie niveaus van ASL en BiSL niet operationeel, tactisch en strategisch?
Figuur 1. Het ASL 2-framework
In de theorie van ASL (figuur 1) en BiSL (figuur 2) wordt gesproken over drie niveaus: uitvoerend, sturend en richtinggevend. Voor deze termen is bewust gekozen. De niveaus zijn als volgt ingedeeld:
• Uitvoerend niveau: de min of meer dagelijks uit te voeren primaire taken van applicatiemanagement en businessinformatiemanagement.
• Sturend niveau: de sturing van zowel de uitvoerende processen, als van de richtinggevende processen, als van de sturende processen zelf. Scope: maand, kwartaal, jaar.
• Richtinggevend niveau: het vormgeven van de toekomst van de applicaties en de eigen applicatiemanagementorganisatie (ASL) of van de businessinformatiemanagementorganisatie of de informatievoorziening (BiSL). Scope: waar gaan we naartoe de komende twee tot vijf jaar.
Toch wordt door heel veel mensen altijd gesproken over operationeel, tactisch en strategisch. Deze termen zijn echter niet dekkend. ‘Specificeren’ of ‘Behoeftemanagement’ kunnen bijvoorbeeld voor de ene organisatie heel strategisch zijn en voor de andere veel minder. Een proces als ‘Continuïteitsbeheer’ en de activiteiten daarbinnen zijn voor een groot deel niet operationeel, maar eerder tactisch of strategisch van karakter. ‘Wijzigingenbeheer’ heeft ook veel tactische
elementen in zich. De huidige termen dekken de lading beter. ‘Richtinggevend’ heet zo omdat je tegenwoordig moeilijk kunt voorspellen en beter een richting kunt definiëren in plaats van een vaste strategie.
Figuur 2. Het BiSL-framework
 
Vraag: Waarom heet ‘Behoeftemanagement’ binnen BiSL niet ‘Kwaliteitsmanagement’?
‘Behoeftemanagement’ binnen BiSL gaat over de vraag of binnen een organisatie de informatievoorziening en de beheerorganisatie van de juiste kwaliteit zijn. Het heet geen ‘Kwaliteitsmanagement’ omdat dat een nogal intern gerichte term is. Het gaat er vooral om dat je de kwaliteitseisen aan producten, processen en diensten bepaalt op basis van de behoeften van de organisatie, het bedrijfsproces.
Ook komen op dit niveau de meer tactische behoeften van de organisatie binnen. Op dit niveau worden bijvoorbeeld innovatieprojecten en de projecten als gevolg van wetswijzigingen geïnitieerd. Het was de beste naam die we voor het proces konden bedenken.
In ASL wordt ‘Kwaliteitsmanagement’ vooral intern gepositioneerd: gericht op de interne sturing, samen met ‘Planning en control.’ Het geeft wel input aan ‘Leveranciersmanagement’ in de vorm van eisen ten aanzien van de extern in te kopen kwaliteit.
In het Engelstalige BiSL-framework is ‘Behoeftemanagement’ vertaald in ‘Demand management’. Dit komt niet overeen met het ITIL-proces ‘Demand management’. De ITIL-benadering van dit proces is dat het een risico voor de IT-dienstverlener vormt als de vraag naar IT-diensten niet goed wordt gemanaged. Daarom moet de vraag naar IT-diensten zo goed mogelijk worden voorspeld. Het wordt gezien als een strategisch/ tactisch proces dat dient als input voor ‘Capacity management’. Het draait erom te kunnen voorspellen hoeveel vraag er komt naar een bepaalde dienst (kwantiteit). Het heeft daarmee een beperktere scope dan ‘Behoeftemanagement’ van BiSL en komt meer overeen met een onderdeel van ‘Operationele IT-aansturing’. ‘Behoeftemanagement’ concentreert zich op het, op basis van de behoeften van de business, bepalen van de benodigde IV en van de kwaliteit daarvan. Het bepaalt de totale vraag en is dus breder.
Misvatting: De grenzen van het taakgebied ‘functioneel beheer’ dienen gelijk te zijn aan de grenzen van een afdeling functioneel beheer.
Functioneel beheer is de benaming voor het taakgebied van één der drie beheerdomeinen zoals Looijen ze al meer dan tien jaar geleden heeft bepaald. In BiSL is het gehele taakgebied beschreven, van uitvoerend tot en met richtinggevend, onder de naam businessinformatiemanagement. In de praktijk zie je vaak dat de verantwoordelijkheid voor de processen op het richtinggevende niveau bij een afdeling informatiemanagement ligt en voor die op het uitvoerende niveau bij één of meerdere afdelingen of teams van functioneel beheer. Het sturende niveau is doorgaans wat minder eenduidig belegd: bij een afdeling informatiemanagement, bij een afdeling functioneel beheer (FB) of bij een teammanager-FB of een businessinformatiemanager. Dat wil echter niet zeggen dat daarmee precies de uitvoerende en sturende processen uit het BiSL-model ook bij die informatiemanagementafdeling of dat FB-team belegd zijn of zouden moeten zijn. Regelmatig zie je bijvoorbeeld dat een aantal van de activiteiten op het gebied van ‘Opstellen informatiestrategie’ belegd zijn bij een aparte architectuurclub, en dat ‘Gebruikersondersteuning’ belegd is bij kerngebruikers in de gebruikersorganisatie of, deels, bij een helpdesk. Regelmatig zie je ook dat de afdeling functioneel beheer het functioneel ontwerp onderhoudt. Op dat moment voert ze een taak uit op het gebied van applicatiemanagement. Is dat erg? Dat hoeft niet per se, hoewel het doorgaans wel is aan te bevelen om de taken van opdrachtgever en opdrachtnemer goed te scheiden. BiSL en ASL schrijven niet voor hoe je je processen moet uitvoeren of waar je de taken moet beleggen; de frameworks reiken slechts een overzicht aan van de beide domeinen en geven daarmee inzicht in welke dingen je zou moeten of kunnen regelen. De taakverdeling bij softwarepakketten, of bij ASP (Application Service Providing) en SaaS (Software as a Service), is nog meer gesplitst. Een deel van de functioneel beheertaken ligt bij de leveranciers en een deel van de taken bij de afnemers.
Vraag: Waarom is er geen afzonderlijk ‘Incidentmanagement’ proces?
Binnen ASL is het afhandelen van incidenten een onderdeel van het proces ‘Gebruiksondersteuning’, binnen BiSL maakt het deel uit van ‘Gebruikersondersteuning’. Hierbij beperken ASL en BiSL zich niet tot echte incidenten (verstoringen) maar worden in de genoemde processen ook vragen, wensen, klachten et cetera behandeld. Dus ook de afhandeling van ‘Service requests’ valt hieronder. Dit in tegenstelling tot ITIL dat hier een afzonderlijk proces voor kent. ‘Incidentmanagement’ is in een aantal frameworks en standaarden beschreven, maar heel vaak lag daarbij de nadruk op het afhandelen van incidenten (reactief). Er zou meer nadruk moeten liggen op proactieve communicatie om incidenten te voorkómen. Door goed te communiceren met gebruikers, gebruikersorganisaties en de infrastructuurbeheerders kunnen veel incidenten worden voorkomen. Bijvoorbeeld door aan te geven hoe de applicatie correct gebruikt moet worden, door snel en effectief de lessen die worden geleerd uit opgetreden incidenten te vertalen in proactieve communicatie.
Binnen ‘Gebruiksondersteuning’ en ‘Gebruikersondersteuning’ zijn daarom twee subprocessen gedefinieerd die een natuurlijk verband hebben: ‘Melding-afhandeling’ en ‘Proactieve communicatie’ binnen ASL en ‘Call-afhandeling’ en ‘Gebruikerscommunicatie’ binnen BiSL. Hiermee wordt incidentmanagement afgedekt en ook nog wat extra’s geboden.
Misverstand: In ASL en BiSL ontbreekt het proces ‘Probleembeheer’ (problem management) .
In ASL en BiSL is er bewust voor gekozen om ‘Probleembeheer’ niet als apart proces te definiëren, maar als deelproces van ‘Kwaliteits-’, respectievelijk ‘Behoeftemanagement’. Structurele verbeteractiviteiten die dienen om de dienstverlening te verbeteren en verstoringen in de dienstverlening te voorkomen, komen niet alleen voort uit incidenten maar uit alle processen. Er kunnen bijvoorbeeld meerdere oorzaken zijn voor het vinden van veel fouten in de gebruikersacceptatietest. Was de acceptatietest wel grondig genoeg? Hebben de applicatiebeheerders in de unit-test en in de functionele en technische systeemtest hun werk niet goed gedaan? Of heeft de gebruiker toch andere verwachtingen en waren de specificaties en het daarop gebaseerde functioneel ontwerp toch niet in orde? Structurele maatregelen binnen applicatiemanagement kunnen zijn: testopleiding, ontwerpopleiding, cursus ‘klantgericht werken’, enzovoort. Binnen businessinformatiemanagement kan men denken aan het aanwijzen van betere gebruikersvertegenwoordigers voor het specificeren of testen. Verbeterloops, verbeteractiviteiten zijn een primair onderwerp van de processen ‘Kwaliteitsmanagement’ en ‘Behoeftemanagement’. Vandaar dat ‘Probleembeheer’ daar is ondergebracht als subproces.
Misverstand: Functioneel beheerders dienen het functioneel ontwerp te maken en te onderhouden.
In BiSL treft men het proces ‘Specificeren’ aan en in ASL het proces ‘Ontwerp’. In de praktijk blijkt dat over het onderscheid tussen deze twee veel verwarring bestaat, omdat een functioneel ontwerp ook wel wordt aangeduid met de term functionele specificaties. Regelmatig zie je dan ook dat het maken van een functioneel ontwerp als een taak belegd is bij de functioneel beheerders. Toch is dat niet logisch.
Indien een applicatie moet worden gebouwd of aangepast is businessinformatiemanagement verantwoordelijk voor het aangeven wat de functionele eisen zijn (vaak requirements of gebruikersspecificaties genoemd). Aangeven hoe deze worden opgenomen in de applicatie is een taak van applicatiemanagement. Dit staat in een functioneel ontwerp. Om een functioneel ontwerp aan te kunnen passen, heb je dus kennis nodig van de opbouw van de applicatie. Voor de gebruikersorganisatie is het niet nodig die opbouw te kennen. Zij moeten kunnen aangeven wat ze nodig hebben en niet hoe dat wordt vormgegeven. Specificeren gaat over het probleem (de vraag) en hoort thuis bij de functioneel beheerders en ontwerpen gaat over de oplossing (het aanbod) en hoort dus bij applicatiemanagement thuis. Maken en onderhouden van een functioneel ontwerp hoort dus thuis bij applicatiemanagement.
Vraag: Waarom wordt een technisch ontwerp opgesteld in het proces ‘Realisatie’ van ASL en niet in het proces ‘Ontwerp’?
Het functioneel ontwerp is een document dat met de afnemer (lees: de functioneel beheerder) wordt afgestemd en veelal ook door de afnemer wordt geaccordeerd. Het is daarmee een onderdeel van het contract. Daardoor is een duidelijke overgang van ‘Ontwerp’ naar ‘Realisatie’ handig. In de praktijk ligt het technisch ontwerp vaak dicht tegen de programmatuur aan. Het zijn vaak dezelfde medewerkers die het opstellen. Vaak, zeker tegenwoordig, staan de technische afwegingen in de programmadocumentatie en niet in een afzonderlijk technisch ontwerp.
Misverstand: In ASL is het proces ‘Configuratiebeheer’ dubbel opgenomen en in BiSL is men het vergeten.
Binnen ASL is de uitvoerende laag opgebouwd uit drie clusters van processen: links de beheerprocessen, rechts de onderhoudsprocessen en daartussenin de verbindende processen. Twee van de processen houden zich inderdaad bezig met het onderwerp configuratiebeheer: ‘Configuratiebeheer’ binnen de beheerprocessen en ‘Programmabeheer en distributie’ binnen de verbindende processen (figuur 1).
‘Configuratiebeheer’
De processen in de ASL-procescluster ‘Beheer’ betreffen slechts de productiesituatie en niet de onderhoudssituatie. ‘Configuratiebeheer’ gaat dus alleen over die configuratie-items die in productie zijn. De software-items die in onderhoud zijn horen hier dus niet bij. ‘Configuratiebeheer’ gaat over welke versie van de programmatuur in welke productieomgeving draait. En ook over welke service-afspraken met welke afnemers gemaakt zijn. Bij maatwerk is er vaak maar één en zijn er soms meer productieomgevingen. Bij pakketten daarentegen is meestal sprake van meerdere productie-omgevingen en dan is ‘Configuratiebeheer’ dus een belangrijker en lastiger proces. In ‘Configuratiebeheer’ binnen applicatiemanagement is het vaak voldoende om te weten welke versie waar draait.
‘Programmabeheer en distributie’
‘Programmabeheer en distributie’ is gericht op het beheren en distribueren van software-items. Dit houdt de volgende vier zaken in:
1. Het opslaan van software-items.
2. Het registreren van informatie over software-items: welke versies bevinden zich waar, in welke fase van het onderhoudsproces, in welke technische omgeving?
3. Het overzetten (vrijgeven) van software-items
van de ene naar de andere omgeving. Dat wil dus zeggen: binnen de gehele OTAP-straat, vanaf het vrijgeven voor onderhoud via de verschillende ontwikkelomgevingen (O), testomgevingen (T), naar de acceptatietestomgevingen (A) en ten slotte naar de productieomgevingen (P).
4. Het verstrekken van informatie over voorgaande twee punten, bijvoorbeeld aan het proces ‘Impactanalyse’.
Hier zitten dus inderdaad activiteiten bij op het gebied van configuratiebeheer, maar dan gericht op de onderhoudssituatie, terwijl het proces ‘Configuratiebeheer’ gaat over de productiesituatie. Binnen ‘Programmabeheer en distributie’ is het belangrijk om te registreren welke versies er in welke release zitten.
‘Configuratiebeheer’ in BiSL
In BiSL komt het proces ‘Configuratiebeheer’ niet voor, hoewel ook binnen businessinformatiemanagement objecten worden beheerd, zoals contracten, gebruikershandleidingen en werkinstructies. Dit is gedaan vanuit de redenering dat het beheren van die objecten niet behoort tot de primaire activiteiten en het beheren ook binnen de processen kan plaatsvinden waar de objecten worden gemaakt. Gezien het belang van documentbeheer binnen organisaties, lijkt meer aandacht voor het beheren van documenten die van belang zijn voor de informatievoorziening, toch wel op zijn plaats. De meningen hierover blijven echter verschillen.
Vraag: Waar vindt besluitvorming plaats over wijzigingen, contracten et cetera?
Besluitvorming over wijzigingen in functionaliteit, contracten en dergelijke vindt plaats binnen businessinformatiemanagement. Applicatiemanagement adviseert en geeft haar eigen randvoorwaarden aan. Applicatiemanagement en infrastructuurmanagement gaan wel zelf over de contracten met hun toeleveranciers en over wijzigingen binnen hun eigen mandaatgebied.
Misverstand: De auteurs van BiSL zijn autorisatiebeheer als proces vergeten.
In het BiSL-boek moet je met een lichtje zoeken naar activiteiten die te maken hebben met het autorisatiebeheerproces. Toch kan een aantal taken duidelijk worden aangegeven:
1. Verstrekken, aanpassen en intrekken van autorisaties naar aanleiding van verzoeken/ opdrachten vanuit de gebruikersorganisatie.
2. Verstrekken, aanpassen en intrekken van autorisaties naar aanleiding van aanpassingen in de IV.
3. Vastleggen van en rapporteren over autorisa-ties.
4. Vertalen businessrollen naar autorisatie-profielen.
5. Specificeren autorisatie-eisen met betrekking tot geautomatiseerde en niet-geautomatiseerde IV.
6. Verstrekken opdrachten op het gebied van autorisaties aan IT.
7. Vastleggen autorisatieniveaus ten aanzien van bedrijfsgegevens.
Deze activiteiten horen bij verschillende processen: ‘Gebruikersondersteuning’ (1, 3, 4), ‘Beheer bedrijfsgegevens’ (3, 7), ‘Operationele IT-aansturing’ (6), ‘Specificeren’ (5) en ‘Transitie’ (2). Vanwege deze spreiding wordt autorisatiebeheer niet als apart proces onderkend in BiSL. De kern van de verantwoordelijkheid ligt overigens in het proces ‘Gebruikersondersteuning’. We zijn het eens met de criticasters dat het onderwerp autorisatiebeheer in het BiSL-boek enigszins onderbelicht is. Overigens geldt dat ook voor onderwerpen als licentiebeheer, beveiligingsbeheer (securitymanagement), conversie en wellicht nog andere.
Misverstand: De auteurs zijn het proces beveiligingsbeheer (securitymanagement) vergeten.
ASL beschrijft geen apart securitymanagement-proces. De redenen hiervoor zijn:
• Dit aspect wordt geadresseerd binnen ‘Continuïteitsbeheer’, waar de continuïteit en de kwetsbaarheid van informatiesystemen worden behandeld .
• Beveiliging is een belangrijk deel van de functionaliteit van een applicatie, dus wordt het meegenomen in de eisen aan de applicatie en gedefinieerd in het proces ‘Ontwerp’ en in de service levels die worden gespecificeerd binnen ‘Contractmanagement’ en ‘Leveranciersmanagement’.
Voor BiSL geldt dat het onderwerp aan de orde komt binnen het proces ‘Operationele IT-aansturing’ en tussen de regels door in ‘Behoeftemanagement’. Voor de herkenbaarheid zou meer expliciete aandacht voor het onderwerp wenselijk zijn.
Vraag: Welke gebruikelijke rollen maken deel uit van businessinformatiemanagement?
Onder andere functioneel beheerder, informatiemanager, kerngebruiker, business-analist, informatieanalist, acceptatietester, contractmanager, chief information officer, gegevensmanager, gegevensbeheerder, projectleider, programmamanager, AO-deskundige, business-architect, informatiearchitect, proceseigenaar, systeemeigenaar, producteigenaar, zijn rollen die deel uitmaken van businessinformatiemanagement en daarom activiteiten uit het BiSL-framework verrichten.
Misverstand: Projecten staan los van businessinformatiemanagement.
Een project heeft vaak een eigen tijdelijke organisatie, los van de lijn, om een klus te klaren. De opdrachtgever van een project waarin de informatievoorziening van een organisatie wordt veranderd komt (in de meeste gevallen en bij voorkeur) vanuit de business. De algemene projectleider van een multidisciplinair project zou daarom moeten optreden namens de gebruikersorganisatie. Hij moet verantwoording afleggen aan de stuurgroep (indien aanwezig) en de bevoegdheden hebben om ook projectmedewerkers die uit de gebruikersorganisatie komen aan te sturen. Indien er geen stuurgroep aanwezig is, moet de projectleider verantwoording afleggen aan de opdrachtgever (over het algemeen de systeem/bedrijfsproceseigenaar).
Een project maakt echter wel degelijk deel uit van het BIM-domein. Bijvoorbeeld ‘Planning en control’ heeft als doel alle activiteiten van de organisatie, die te maken hebben met het verzorgen van de informatievoorziening, te plannen en te bewaken, dus ook projecten. Ook maken projecten deel uit van de jaarplannen informatievoorziening die worden opgesteld binnen ‘Planning en control’. Er is een overdrachtsmoment om het project in beheer te nemen door de functioneel beheerders. Tevens kan kennis vanuit businessinformatiemanagement worden ingezet in een project.
In de praktijk worden de beheer- en onderhoudspartijen vaak te laat betrokken bij een project, terwijl het belangrijke acceptanten zijn. Een mogelijke oorzaak is dat Prince2 hen niet noemt bij de belangrijkste stakeholders. Door BiSL goed toe te passen en dus de projecten niet los te zien van de BIM-organisatie, zou dit in de toekomst beter moeten gaan.
 
Dr. Machteld Meijer is zelfstandig senior consultant en heeft veel gewerkt met en gepubliceerd over ASL en BiSL. Ze is chief examiner voor ASL en BiSL bij APMG.
Ir. René Sieders is principal consultant bij Lifecycle Company. Zijn specialisaties zijn het inrichten en professionaliseren van applicatiemanagement en businessinformatiemanagement. Hij is auteur van verschillende artikelen over ASL en BiSL.
Beiden zijn lid van de werkgroep standaardisatie van de ASL BiSL Foundation en van enkele ISO-werkgroepen. Opmerkingen en suggesties met betrekking tot dit onderwerp zijn van harte welkom bij machteld.meijer@maise.nl en rene.sieders@thelifecyclecompany.nl.
 
Literatuur
Looijen, Maarten, Beheer van Informatiesystemen, ten Hagen & Stam, 2004.
OGC, ITIL: Service Strategy; ITIL: Service Transition; ITIL: Service Operation; ITIL: Service Design; ITIL: Continual Service Improvement; TSO, 2007.
Meijer, Machteld en Jolanda Meijers, Effectief IT-beheer: samenwerken waar nodig en zelfstandig opereren waar mogelijk, IT Servicemanagement Best Practices 2002, Ten Hagen & Stam
Pols, Remko van der, ASL 2: een framework voor applicatie-management, Van Haren Publishing, 2009.
Pols, Remko van der, Ralph Donatz and Frank van Outvorst, BiSL, een framework voor business informatiemanagement, Van Haren Publishing, 2012 (second, revised edition).
Sieders, René, Misvattingen en misverstanden over ASL en BiSL, IT Service Magazine, oktober en november 2007.
Dit artikel is hier voor een substantieel deel op gebaseerd.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag