Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen. Voorwoord

Maat: px
Weergave met pagina beginnen:

Download "Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen. Voorwoord"

Transcriptie

1

2 Voorwoord Het is het bestuur van de NOREA - de beroepsorganisatie van IT-auditors - en het bestuur van het Platform voor Informatiebeveiliging (PvIB) een genoegen u hierbij het studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen aan te bieden. Dit studierapport is het resultaat van een gezamenlijk initiatief van NOREA en PvIB. Beide organisaties streven naar verdieping van het vakgebied en één van de middelen daartoe is het stimuleren en faciliteren van werkgroepen die vanuit de samengebrachte ervaring studies verrichten en daarover rapporteren in uiteenlopende vormen, waaronder studierapporten. In het onderhavige geval is een werkgroep Standaard Normenkader Beheersing en Beveiliging (SNBB) actief geweest, die was samengesteld uit leden van NOREA en PvIB, en soms waren deelnemers zelfs van beide organisaties lid. Dit studierapport bevat een normenstelsel dat is te hanteren door de diverse partijen die betrokken zijn bij de beheersing van en verantwoording over ICT-dienstverlening, namelijk: Klantorganisaties (i.e. de opdrachtgever van de serviceorganisatie), bij het vaststellen van hun rapportagebehoeften voor de beheersing van te ontvangen ICT-diensten; Serviceorganisaties, bij het vaststellen van de interne beheersmaatregelen en de rapportagestructuur voor de verantwoording over geleverde ICT-diensten; IT-auditors, zowel in hun attestfunctie bij het rapporteren over uitbestede ICTdiensten, als in hun adviesfunctie als adviseur van klant- of serviceorganisatie. Het initiatief voor de ontwikkeling van dit normenstelsel komt voort uit de behoefte, die breed werd ervaren, aan een gemeenschappelijk normenstelsel dat goed hanteerbaar is bij situaties van uitbestede ICT-beheersprocessen. Het voorliggende studierapport is dan ook primair gericht op deze situaties en is hierin, naar de mening van de werkgroep, vernieuwend ten opzichte van de meest bekende normenstelsels en best-practices (waarop overigens door de werkgroep is voortgebouwd). Om te komen tot een zo groot mogelijk draagvlak voor het normenstelsel is een klankbordgroep samengesteld met een vertegenwoordiging vanuit een groot aantal organisaties. Zo zijn enige tussentijdse producten aan de klankbordgroep voorgelegd en heeft zij ook op het conceptstudierapport kunnen reageren. Het conceptstudierapport is verder besproken in de Commissie Vaktechniek en het Bestuur van NOREA. De diverse reacties zijn vervolgens verwerkt in het nu voorliggende studierapport. Het is nadrukkelijk de bedoeling om dit studierapport als studiemateriaal, zo men wil als een exposure draft te hanteren: om er ervaring mee op te doen, om de bruikbaarheid te toetsen èn om suggesties ter verbetering te doen. Daartoe staat de besturen een periode van 6 maanden voor ogen. De besturen van NOREA en PvIB doen het

3 verzoek aan hun leden en aan andere geïnteresseerde gebruikers om gedurende die periode commentaar op dit product te leveren via de websites van NOREA en/of PvIB, via mail aan de respectievelijke secretariaten of anderszins. Medio 2008 zal worden bezien of naar aanleiding van het ontvangen commentaar een bijstelling van dit rapport wenselijk is, waarbij een statuswijziging van Studierapport naar Handreiking ook in overweging kan worden genomen. Tevens zal dan worden besloten of daadwerkelijk vervolgfasen van deze studie (zie I.2 Opdracht) ter hand zullen worden genomen. De besturen van NOREA en PvIB bedanken de leden van de werkgroep voor de grote inzet en vastberadenheid die zij hebben getoond bij het realiseren van dit studierapport. Een bijzonder woord van dank is verschuldigd aan Tjakko de Boer, die, naast zijn inbreng als werkgroeplid, als Technical Writer veel heeft bijgedragen aan de inhoud, structuur en uniformiteit van de verschillende normen. De werkgroep Standaard Normenkader Beheersing en Beveiliging 1 : Deelnemers Organisatie ir. A.G. Los RE (Bert) Sociale Verzekeringsbank ir. T. de Boer RE CISA CISSP (Tjakko) ITegrity / Deloitte B. Bokhorst RE RA (Bart) Ministerie van Financiën M.M. Buijs RE RI (Maarten) Ministerie van Defensie J.M.A. Conquet RE (Jessica) Getronics PinkRoccade drs. M.M.H. van Ernst RE (Martin) BDO CampsObers W.A.J. Franken RE CISA (Will) Atos Consulting / KPN H.J. Hopman RE (Hans) Getronics PinkRoccade ir. P. Kornelisse RE CISA (Peter) KPMG drs. C.N.M. Maas (Christel) NOREA drs. W.J.A. Olthof (Wilfried) NOREA drs. M.T.J.M. Piels RE (Marc) Postkantoren B.V. E. Pothast RE (Erik) EDP Audit Pool mr. drs. J. Roodnat RE RA (Jan) EDP Audit Pool drs. B.J. van Staveren RE (Bart) UWV drs.ing. N.B. Tewarie RE (Wiedjai) Ministerie van Defensie drs. S.P.W. Verweij RE RA CISA (Stefan) / PriceWaterhouseCoopers ing. L. de Wit RE CISA (Leon) 1 Wanneer één organisatie gedurende de looptijd opeenvolgende vertegenwoording heeft gekend, is dit aangegeven door een schuine streep ( / ) tussen die successievelijke deelnemers; de meest recente deelnemer staat vooraan. Indien een deelnemer gedurende de looptijd meerdere organisaties heeft vertegenwoordigd, is bij de organisaties een analoge notatiewijze gevolgd.

4 Inhoud I Inleiding 5 I.1 De behoefte aan een uniform normenstelsel 5 I.2 Opdracht 6 I.3 Opbouw van het studierapport 6 II Verkenning van het onderzoeksgebied 7 II.1 Aanduiding van de ICT-dienstverlening 7 II.2 Knelpunten tijdens de levenscyclus van een uitbestede dienst 0 II.3 Waarom is geen uniformiteit in de markt ontstaan? III Eigenschappen van het normenstelsel 14 III.1 Eisen aan het normenstelsel1 4 III.2 Kwaliteitscriteria1 4 III.3 Afbakening van het normenstelsel1 4 IV Handleiding voor gebruik van het normenstelsel 16 IV.1 Structuur van het normenstelsel1 6 IV.2 Gebruik van het normenstelsel1 9 V Het normenstelsel voor uitbestede ICT-beheerprocessen 21 1 Generieke beheersaspecten (GEN) 21 2 Service Level Management (SLM) 26 3 Supplier Management (SUP) 30 4 Security Management (SEC) 34 5 Infrastructure Management (INF) 38 6 Access Management (ACC) 42 7 Capacity Management (CAP) 46 8 Availability Management (AVA) 49 9 Continuity Management (CTY) Configuration Management (CON) Change Management (CHA) 60

5 12 Incident Management (INC) Problem Management (PRO) Operations Management (OPS) 70 I Bijlagen 75 Bijlage A: Begrippen 75 Bijlage B: Literatuur 78 Bijlage C: Referenties naar andere normenstelsels 79 4

6 I Inleiding I.1 De behoefte aan een uniform normenstelsel De behoefte aan verantwoording over ICT-beheerprocessen doet zich in principe altijd gelden, zowel bij interne als bij externe ICT-dienstverlening. Bij uitbesteding van ICT-dienstverlening is de diversiteit aan partijen echter groter en is deze behoefte, en de daaruit voortvloeiende behoefte aan een gemeenschappelijk normenstelsel, daardoor sterker. De volgende factoren spelen hierbij een rol: Een klantorganisatie heeft te maken met meerdere leveranciers. Toelichting: Een klantorganisatie kan de ICT-dienstverlening in meerdere percelen opsplitsen, die uiteindelijk aan verschillende leveranciers worden gegund (waaronder eventueel ook interne afdelingen). De klantorganisatie heeft doorgaans bij het opstellen van de eigen verantwoording de behoefte om de verantwoordingen van verschillende leveranciers ook weer bij elkaar te kunnen optellen. De klantorganisatie hecht dus aan uniformiteit van de gebruikte normenstelsels. Een leverancier levert aan meerdere klantorganisaties. Toelichting: Een leverancier heeft doorgaans meerdere klantorganisaties, maar zal in principe proberen om offerten, contracten, audits, service level reports, verantwoordingen en Third Party Mededelingen (TPM) zoveel mogelijk uniform te houden. Immers, het bedrijfsmodel van gespecialiseerde leveranciers is grotendeels gebaseerd op schaalvoordeel door uniforme bedrijfsprocessen. De leverancier heeft dus eveneens een groot belang bij uniformiteit van de gebruikte normenstelsels. Meerdere organisaties werken samen in een keten. Toelichting: Als meerdere organisaties in een keten samenwerken, is voor een totaaloordeel over die keten noodzakelijk dat de verantwoordingen van de individuele organisaties over hun deelbijdrage samenvoegbaar zijn. Ook hier is uniformiteit gewenst. In de praktijk worden de problemen die door hantering van ongelijke normenstelsels ontstaan, ondervangen door onderlinge relaties ( cross-references of mapping ) te leggen van het ene normenstelsel naar het andere. Dit is veelal een handmatig proces, dat ook subjectieve beslissingen vergt en dus in principe aanleiding kan geven tot discussie. Daarnaast is het handmatige proces tijdrovend en inefficiënt. 5

7 I.2 Opdracht De opdrachtgevers voor de ontwikkeling van het normenstelsel, NOREA en het Platform voor Informatiebeveiliging (PvIB), hebben de volgende opdracht voor het normenstelsel vastgesteld: Ontwikkel een normenstelsel voor de algemene ICT-beheersmaatregelen van (uiteindelijk) alle elementen van ICT-dienstverlening, dat toepasbaar moet zijn in situaties van uitbesteding van ICT-dienstverlening. Ontwikkel dit normenstelsel in samenspraak met en maak het bruikbaar voor: Klantorganisaties van zowel de overheid als het bedrijfsleven; ICT-dienstverleners (intern en extern); IT-auditors (intern en extern). De opdrachtgevers doen de suggestie om de uitwerking gefaseerd ter hand te nemen en te beginnen met de verwerkingsorganisatie. Daarna zou in ieder geval de ontwikkelorganisatie aan de orde moeten komen. Er dient rekening te worden gehouden met reeds bestaande standaarden, zoals CobiT, ITIL en de Code voor Informatiebeveiliging. De oordeelsvorming over de werking valt buiten de opdracht van de werkgroep. De werkgroep dient verder geen onderverdeling te maken in normen voor verschillende risicoklassen 2. Dit zou de complexiteit te zeer vergroten. I.3 Opbouw van het studierapport Het studierapport is, naast deze Inleiding, opgebouwd uit vier delen, die elk uit een aantal hoofdstukken bestaan, en de bijlagen. Deel II is een verkenning van het onderzoeksgebied, waarin relevante begrippen worden toegelicht en waarin achtergronden van de problematiek worden geanalyseerd. Deel III behandelt de eigenschappen die het normenstelsel kenmerken. Deel IV geeft een handleiding voor het gebruik van deze normen. Het normenstelsel zelf wordt uitgewerkt in Deel V. Tenslotte zijn bijlagen opgenomen voor een begrippenlijst, lijst van geraadpleegde literatuur en verwijzingen naar andere bekende normenstelsels. 2 De werkgroep heeft zich gebaseerd op gangbare best practices. Afhankelijk van de risico s die van toepassing zijn voor de serviceorganisatie, dienen (meer of minder) beheersmaatregelen te worden geselecteerd door de serviceorganisatie. 6

8 II Verkenning van het onderzoeksgebied II.1 Aanduiding van de ICT-dienstverlening Klantorganisatie en serviceorganisatie; demand en supply De eisen ( demand ) waaraan de ICT-dienstverlening moet voldoen, zijn primair afkomstig van de gebruikersorganisatie en het management, die deze eisen weer ontlenen aan de eisen van klanten in de buitenwereld. De ontvangende organisatie van ICT-diensten wordt aangeduid met klantorganisatie, opdrachtgever of business. De organisatie, intern of extern, die verantwoordelijk is voor de levering ( supply ) van ICT-diensten aan de klantorganisatie, wordt aangeduid met ICT-serviceorganisatie of kortweg serviceorganisatie. Doorgaans wordt in een Service Level Agreement (SLA), een overeenkomst tussen klantorganisatie en serviceorganisatie, de afstemming geregeld tussen vraag en aanbod van de te leveren diensten (demand en supply). Om aan de Service Level Agreement te kunnen voldoen en deze systematisch te bewaken is binnen de serviceorganisatie een proces Service Level Management ingericht. In organisaties komen verschillende vormen van ICT-dienstverlening voor, die hierna kort worden belicht. ICT-dienstverlening volledig in eigen beheer De meest eenvoudige vorm van ICT-dienstverlening treft men aan, wanneer in de eigen organisatie een serviceorganisatie is ingericht die alles in eigen beheer regelt. Het proces Service Level Management sluit intern, dus binnen de eigen serviceorganisatie zogenaamde Operational Level Agreements (OLA s) af met diverse subprocessen (soms georganiseerd in subafdelingen). Een en ander is geïllustreerd in de navolgende figuur. 7

9 ICT-dienstverlening met (gedeeltelijke) uitbesteding Met de toenemende complexiteit komt het steeds meer voor, dat de serviceorganisatie niet alles meer in eigen beheer regelt, maar bepaalde diensten uitbesteedt aan een externe ICT-dienstverlener (ook wel: externe- of sub-serviceorganisatie of leverancier). Nu formuleert de serviceorganisatie op haar beurt eisen (demands) en sluit een overeenkomst met de leverancier. Deze overeenkomst noemt men ook wel een Underpinning Contract: het is een contract dat ondersteunend is aan de SLA tussen de serviceorganisatie en de klantorganisatie. Om de leverancier en de uitbestede diensten te beheren wordt in de serviceorganisatie het proces Supplier Management ingericht. Men kan zich voorstellen dat de omvang van uitbesteding kan variëren van minimaal (geen Supplier Management) tot maximaal, waarbij de serviceorganisatie zich vrijwel alleen bezighoudt met Supplier Management. In een organisatie zal altijd sprake zijn van een eigen, interne serviceorganisatie, al kan dat in een zeer rudimentaire vorm zijn. ICT-dienstverlening met (gedeeltelijke) uitbesteding is weergegeven in de hierna volgende figuur. 8

10 ICT-dienstverlening door een keten van leveranciers: een recursief model Het is belangrijk om te onderkennen dat het voorgaande schema recursief is: omdat een leverancier zèlf ook een organisatie vormt en omdat een leverancier zelf ook weer diensten kan uitbesteden, komt het schema, en dus ook de begrippen klantorganisatie en (ICT) serviceorganisatie, op verschillende niveaus terug, zoals weergegeven in de volgende figuur. Als gevolg van de recursiviteit worden de underpinning contracts, gezien vanuit het perspectief van de leverancier, vaak ook aangeduid als Service Level Agreement, hetgeen tot spraakverwarring kan leiden. Vanwege de recursiviteit is het normenstelsel in dit studierapport evenzeer van toepassing op elk niveau van recursiviteit. De serviceorganisatie van de leverancier heeft te maken met een complexe klantorganisatie: enerzijds dienen hun diensten te voldoen aan de afspraken vanuit de eigen business, de eigen, interne klant, anderzijds dienen die diensten natuurlijk ook te voldoen aan hetgeen met de externe opdrachtgevers in underpinning contracts is overeengekomen: de externe klant. 9

11 Als gevolg van de recursiviteit worden de underpinning contracts, gezien vanuit het perspectief van de leverancier, vaak ook aangeduid als Service Level Agreement, hetgeen tot spraakverwarring kan leiden. Studierapport Vanwege Normen voor de recursiviteit de beheersing is van het uitbestede normenstelsel ICT-beheerprocessen in deze handreiking evenzeer van toepassing op elk niveau van recursiviteit. II.2 De Service organisatie van de leverancier heeft te maken met een complexe klantorganisatie: enerzijds dienen hun diensten te voldoen aan de afspraken vanuit de eigen business, de eigen, interne klant, anderzijds dienen die diensten natuurlijk ook te voldoen aan hetgeen met de externe opdrachtgevers in underpinning contracts is Knelpunten tijdens de levenscyclus van een uitbestede dienst In de hierna overeengekomen: volgende (beknopte) de externe klant. analyse baseren wij ons op de situatie van een uitbestede dienst en de daarin doorlopen fasen (levenscyclus)

12 Gunning Operatie Fase: Vorm: Vanuit: Aan: / Met: Onderkende knelpunten Request For Information - Request For Proposal Bestek voor ICTdienstverlening Offerte Contract, inclusief Service Level Agreement ICT service management Globale beschrijving Klantorganisatie Meerdere Beheereisen niet van de gevraagde dienstverlening Leveranciers altijd op agenda Het Wat Klantorganisatie Meerdere Mate van detail gedetailleerd, met Leveranciers varieert, service specificatie van levels niet altijd gewenste afdoende concreet ServiceLevels Met enig detail Meerdere Klantorganisatie Mate van detail aangegeven Hoe Leveranciers varieert, service het gevraagde Wat levels niet afdoende conform de concreet gewenste ServiceLevels geleverd kan worden. Kan inclusief de Klantorganisatie Uitverkoren Eisen, rapportages bijlagen zeer Leverancier en providerdossier omvangrijk zijn niet opgenomen in formele afspraken Serviceverzoeken en Klantorganisatie Klantorganisatie Aspecten in service service level en Leveranciers en Leveranciers level-rapportages rapportages ontbreken 11

13 Audit en Assurance Fase: Vorm: Vanuit: Aan: / Met: Onderkende knelpunten Bespreking over Objecten, Auditor van Auditor van Verscheidenheid auditplanning gehanteerde klantorganisatie leverancier aan geselecteerde normenstelsels; objecten en Auditfrequentie gestelde eisen Opstellen Volgens een vaste Leverancier Klantorganisatie Leveranciers en periodieke vorm verschillende Service Level- klantorganisaties Rapportages wensen verschillende rapportages Opstellen Providerdossier Service- en/of Klantorganisatie Provider dient voor verantwoording klantorganisatie meerdere met TPM (en diens klantorganisaties auditor) een dossier op te bouwen Review van TPM Volgens Auditor van Auditor van Verscheidenheid reviewrichtlijnen, klantorganisatie leverancier aan geselecteerde discussie over objecten, control normenstelsels en objectives en weging van wegingen afwijkingen II.3 Waarom is geen uniformiteit in de markt ontstaan? De kernvraag, die moet worden beantwoord om de oplossingsrichting te kunnen bepalen, is waarom de tot nu toe beschikbare normenstelsels niet hebben voorzien in de behoefte van een uniform toegepast normenstelsel. Er kunnen meerdere redenen worden genoemd: De bestaande stelsels worden soms ervaren als te omvangrijk; de stelsels schrijven teveel detailmaatregelen voor en zijn (mede daardoor) minder geschikt voor kleinere organisaties; De bestaande stelsels worden soms ervaren als onoverzichtelijk, hebben een ongeschikte structuur of ongeschikte formuleringen van beheersdoelstellingen en beheersmaatregelen; De bestaande stelsels zijn teveel geschreven vanuit één visie: die van de auditor, die van de informatiebeveiliger of die van de beheerder van een serviceorganisatie; Sommige organisaties hadden al een eigen benadering voordat bruikbare andere stelsels voorhanden waren en zijn daaraan vast blijven houden; Sommige organisaties geven sowieso de voorkeur aan een eigen benadering, omdat daar meer vertrouwen in bestaat en/of daar meer (intern) draagvlak voor aanwezig wordt geacht. Kijkende naar de thans meest bekende normenstelsels, waaronder CobiT, ISO/IEC 17799:2005 en ISO/IEC 20000, lijkt de belangrijkste reden te zijn, dat deze normen- 12

14 stelsels niet primair zijn opgesteld vanuit een demand-supply benadering: vanuit de behoefte van beheersing c.q. om verantwoording af te leggen tussen een klantorganisatie en een serviceorganisatie. De meeste normenstelsels zijn opgesteld vanuit een interne benadering: vanuit de behoefte van beheersing c.q. om verantwoording af te leggen tussen het management en de eigen ICT-organisatie. 13

15 III Eigenschappen van het normenstelsel III.1 Eisen aan het normenstelsel Er lijkt in de markt duidelijk een behoefte te zijn aan een nieuw uniform normenstelsel voor de onderlinge communicatie tussen klant- en serviceorganisatie, in aanvulling op de reeds bestaande en meer gedetailleerde normenstelsels en best-practices. De eisen voor een dergelijk normenstelsel dienen te zijn: Een overzichtelijke structuur; Vooral beschrijvend wat bereikt moet worden; niet hoe dat bereikt moet worden. (Het hoe is reeds elders in de reeds bestaande normenstelsels uitgebreid beschreven. Volstaan kan worden met een inzichtelijke verwijzing naar deze bronnen); Een wijze van beschrijven die voor organisaties van diverse grootte hanteerbaar is; Eenvoudig te relateren aan thans gebruikte internationale standaarden; Een, bij voorkeur vooraf gegarandeerd, breed draagvlak. III.2 Kwaliteitscriteria Het normenstelsel zal op de volgende kwaliteitscriteria gericht zijn: Beschikbaarheid. De mate waarin het object beschikbaar is en de informatieverwerking ongestoord voortgang kan hebben; Integriteit. De mate waarin het object (d.w.z. in deze situatie: ICT-dienst of ICTmiddel) in overeenstemming is met de afgebeelde werkelijkheid; Vertrouwelijkheid. De mate waarin uitsluitend geautoriseerde gebruikers of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van ICT-processen; Controleerbaarheid. De mate waarin het mogelijk is kennis te krijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming is uitgevoerd met de eisen ten aanzien van de overige kwaliteitsaspecten. III.3 Afbakening van het normenstelsel Het normenstelsel richt zich uitsluitend op procesnormen voor de geselecteerde ICTbeheerprocessen, die onderdeel uitmaken van zogenaamde general IT controls. Normen voor producten, zoals technische voorschriften en parametrisering van specifieke ICT-middelen, worden niet beschreven. Deze keuze wil echter niet zeggen, dat dergelijke normen niet van belang zijn bij de beheersing en verantwoording van de ICT-dienstverlening tussen klant- en serviceorganisatie. Integendeel: in de meeste gevallen van ICT-dienstverlening zal dit normenstelsel moeten worden gebruikt naast component-specifieke normen. 14

16 De keuze voor de te beschouwen beheerprocessen is bepaald op basis van een inschatting van die processen van verwerkingsorganisaties (ICT-exploitatie) waarvoor in de markt de grootste behoefte bestaat. De volgende beheerprocessen zijn aldus als relevant bestempeld: Procesacroniem GEN SLM SUP SEC INF ACC CAP AVA CTY CON CHA INC PRO OPS Procestitel Generieke beheersaspecten Service Level Management Supplier Management Security Management Infrastructure Management Access Management Capacity Management Availability Management Continuity Management Configuration Management Change Management Incident Management Problem Management Operations Management Voor een definitie en afbakening van de verschillende processen wordt verwezen naar de hoofdstukken waarin de respectievelijke processen worden behandeld. De keuze behelst, dat niet ieder beheerproces dat in andere normenstelsels en best-practices voorkomt, in de onderhavige normenset is opgenomen. In bijlage C, de referentie naar andere normenstelsels, is aangeduid welke processen niet in deze normenset terugkomen. 15

17 IV Handleiding voor gebruik van het normenstelsel IV.1 Structuur van het normenstelsel Relatie met andere normenstelsels De normen beschrijven zaken op hoofdlijnen. Andere normenstelsels, zoals CobiT, ISO/IEC 17799:2005 en ISO/IEC (met daaronder ITIL), kunnen worden geraadpleegd voor eventueel bij gebruikers gewenste verdere verdieping. De bestaande normenstelsels worden ontsloten door in Bijlage C per proces per beheersdoelstelling te verwijzen naar die bestaande normenstelsels. Iedere organisatie kan naar eigen behoefte de normen verder aanvullen dan wel detailleren op basis van die normenstelsels. Ten aanzien van de kruisverwijzingen tussen de normenstelsels in de bijlagen wordt opgemerkt, dat een verwijzing niet per se inhoudt dat de normen volledig gelijkwaardig zijn of elkaar volledig afdekken. Een opgenomen verwijzing betekent slechts dat de normen gedeeltelijk overlappen of sterk aan elkaar gerelateerd zijn. Generieke beheersaspecten Om redundantie te voorkomen worden bepaalde, algemeen geldende maatregelen, die in principe bij ieder specifiek beheerproces genoemd zouden kunnen worden, niet telkens compleet herhaald. In plaats daarvan is een afzonderlijk deel ( Beheerproces GENeriek) met Generieke normen opgenomen. In de specifieke beheerprocessen is steeds een figuur opgenomen, waardoor de lezer er aan wordt herinnerd, dat bij het specifieke beheerproces twee process flows te onderscheiden zijn: 1. Een buitenste proces bestaande uit een Demming circle (Plan-Do-Check-Act) dat vooral gericht is op voorwaardelijke aspecten van het proces. De cirkel is hier steeds geconcretiseerd door Beleidsplanning (Plan), Uitvoering (Do), Bewaking (Check), Onderhoud (Act), terwijl de activiteit Rapportage is toegevoegd aan de Demming circle. Rapportage vindt feitelijk plaats vanuit Plan-, Do-, Check- èn Actactiviteiten, volgens navolgende figuur. 2. Een binnenste proces dat gericht is op de activiteiten binnen de procesuitvoering zelf. Het binnenste proces is veelal ook een Demming circle voor continue, cyclische processen; soms is het proces een gebeurtenisgeoriënteerd proces. 16

18 rmen voor de beheersing_b.doc Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Indeling van de normen De De indeling van de normen is is grotendeels gebaseerd gebaseerd op het op NOREA het NOREA Studierapport Studierapport 3: Raamwerk 3: voor voor ontwikkeling normenstelsels standaarden, waarbij waarbij de werk-dgroep de volgende zich volgende afwijking afwijking heeft heeft gepermitteerd. Er is per norm niet niet expliciet expliciet benoemd werkgroep zich benoemd op welk kwaliteitsaspect de norm zich richt. Er is gemeend dat de op welk kwaliteitsaspect de norm zich richt. Er is gemeend dat de meeste beheersdoelstellingen zich richten op meerdere van de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid, waardoor een expliciete vermelding per beheersdoelstellingen zich richten op meerdere van de kwaliteitsaspecten beschikbaarheid, norm volgens de werkgroep integriteit weinig en vertrouwelijkheid, toevoegde. waardoor een expliciete vermelding per norm volgens de werkgroep weinig toevoegde. Voor ieder proces wordt dezelfde structuur gehanteerd die bestaat uit: Voor ieder proces wordt dezelfde structuur gehanteerd die bestaat uit: 1. Een definitie van het IT-object, hier steeds een ICT-beheerproces; 1. Een definitie van het IT-object, hier steeds een ICT-beheerproces; 2. Een rubriek Toelichting en afbakening; 2. Een rubriek Toelichting en afbakening; Deze rubriek bevat, behalve de toelichting en een afbakening, doorgaans ook een processchema, waarin de volgordelijke activiteiten zijn gegroepeerd. Deze volgorde komt later bij de indeling van de beheersmaatregelen weer terug. Deze rubriek bevat, behalve de toelichting en een afbakening, doorgaans ook een processchema, waarin de volgordelijke activiteiten zijn gegroepeerd. (Deze In volgorde figuur komt wordt later een onderscheid bij indeling gemaakt van tussen de beheersmaatregelen voor een proces specifieke weer terug). beheersmaatregelen (die invulling geven aan voor het proces specifieke beheersdoelstellingen) In de figuur enerzijds wordt een en generieke onderscheid beheersmaatregelen gemaakt tussen anderzijds. voor een proces specifieke Deze beheersmaatregelen generieke beheersmaatregelen (die invulling beschrijven geven maatregelen aan voor het die bij proces ieder specifieke proces beheersdoelstellingen) enerzijds en generieke beheersmaatregelen anderzijds. Deze generieke beheersmaatregelen beschrijven maatregelen die bij ieder proces 17 steeds weer terugkomen. Een voorbeeld hiervan is de training van medewerkers: voor ieder proces moeten de medewerkers geïnstrueerd en/of getraind worden. Het zou tot te veel redundantie leiden om die generieke maatregelen voor ieder

19 steeds weer terugkomen. Een voorbeeld hiervan is de training van medewerkers: voor ieder proces moeten de medewerkers geïnstrueerd en/of getraind worden. Het zou tot te veel redundantie leiden om die generieke maatregelen voor ieder proces opnieuw te behandelen. Daarom is als eerste een generiek proces opgenomen, waarin de generieke beheersdoelstellingen en -maatregelen de revue passeren. 3. Een beschrijving en toelichting van de beheersdoelstellingen, die met een hoofdletter worden aangeduid; 4. Een tabel met de Beheersmaatregelen die invulling moeten geven aan de beheersdoelstellingen. De tabel is ingedeeld volgens de volgordelijke processtappen uit het processchema; De beheersmaatregelen zijn per proces doorlopend genummerd in de kolom Nr. In de kolom Key is met een X aangegeven of de desbetreffende maatregel al dan niet een key-control is. In dit normenstelsel wordt onder een key-control verstaan, dat deze maatregel in iedere organisatie, groot of klein, aanwezig mag worden geacht. Het ontbreken van de maatregel is ongebruikelijk en dient daarom te worden onderbouwd. Hier geldt dus het bekende Comply, or explain! principe. Benadrukt wordt, dat de key-controls niet in iedere situatie afdoende hoeven te zijn om de risico s volledig af te dekken. Elke organisatie dient te evalueren of overige maatregelen nodig zijn in de eigen situatie. In de kolom Doel is door middel van een letter aangegeven op welke beheersdoelstelling de beheersmaatregel betrekking heeft. Tenslotte is in de kolom Vastleggingen een niet-uitputtende suggestie opgenomen voor vormen van vastleggingen waaruit het bestaan en/of de werking van de maatregel zou kunnen blijken. 5. Onder de kop Prestatie-indicatoren wordt een niet-uitputtende suggestie gedaan voor prestatie-indicatoren voor de kwaliteit van het beschouwde proces. Hierbij hebben we ons beperkt tot de prestatie-indicatoren die kunnen worden gebruikt in het afspreken van dienstenniveaus (service levels) tussen klant- en serviceorganisatie. De prestatie-indicatoren zijn onderverdeeld in: Indicatoren die kunnen worden gemeten door de klantorganisatie; over deze indicatoren heeft een klantorganisatie geen onafhankelijke auditrapportage (Third Party Mededeling of TPM) nodig, want de meting gebeurt in eigen beheer; Indicatoren die alleen door de serviceorganisatie kunnen worden gemeten; over deze indicatoren heeft een klantorganisatie wel een TPM nodig. Daarnaast wordt het onderscheid aangegeven of het een Prestatie-indicator is die een inspanningsverplichting (aangegeven door (I) achter de prestatie-indicator) 18

20 verwoordt of dat het een Prestatie-indicator is die een resultaatverplichting (aangegeven door (R) achter de prestatie-indicator) verwoordt. Een uitgebalanceerd overeengekomen Service Levels Agreement bestaat uit beide type Prestatieindicatoren. Andere statistieken over processen zijn buiten beschouwing gelaten. IV.2 Gebruik van het normenstelsel Hoewel de aanleiding voor het ontwikkelde normenstelsel oorspronkelijk was gericht op situaties van uitbesteding, is het normenstelsel eveneens van toepassing in situaties met een interne serviceorganisatie. De normen kunnen door de volgende doelgroepen en op de volgende manieren worden gebruikt: Klantorganisaties Klantorganisaties kunnen de normen gebruiken in de communicatie met serviceorganisaties, om tot heldere afspraken te komen over de dienstverlening, de te realiseren beheersdoelstellingen en dienstenniveaus, en over de scope van een onafhankelijke auditrapportage. Hiertoe dient de klantorganisatie de volgende stappen te doorlopen: Selecteer de relevante uitbestede processen die van toepassing zijn op de uitbestede ICT-diensten; Selecteer de relevante beheersdoelstellingen. (De beheersmaatregelen worden door de serviceorganisatie geselecteerd op basis van de organisatiespecifieke kenmerken en de risico s die van toepassing zijn op de serviceorganisatie); Bepaal de relevante prestatie-indicatoren en bepaal de wenselijke dienstenniveaus; In de overeenkomst met de serviceorganisatie worden de relevante beheersdoelstellingen, prestatie-indicatoren en dienstenniveaus vastgelegd. Serviceorganisaties Serviceorganisaties kunnen de normen op vergelijkbare wijze gebruiken in de communicatie met klantorganisaties. De serviceorganisatie doorloopt de volgende stappen: In de overeenkomst met de klantorganisatie worden de relevante beheersdoelstellingen, prestatie-indicatoren en dienstenniveaus vastgelegd; Voer een risico-analyse uit en selecteer / kies de relevante beheersmaatregelen die nodig zijn om de beheersdoelstellingen te bereiken. IT-auditors IT-auditors kunnen de normen gebruiken bij het uitvoeren van audits voor het afgeven van Third Party Memoranda of mededelingen (TPM s) en interne auditrapportages. De IT-auditor en de klant bepalen gezamenlijk de scope van de audit door het selecteren van: 19

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Studierapport. Algemene beheersing van IT-diensten

Studierapport. Algemene beheersing van IT-diensten Studierapport Algemene beheersing van IT-diensten Voorwoord Met genoegen bieden het bestuur van de NOREA de beroepsorganisatie van IT-auditors en het bestuur van het Platform voor Informatiebeveiliging

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Energiemanagementplan Carbon Footprint

Energiemanagementplan Carbon Footprint Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Bijdragenr. 32. Verkeerskundig beheer van verkeerslichten en andere verkeerssystemen

Bijdragenr. 32. Verkeerskundig beheer van verkeerslichten en andere verkeerssystemen Bijdragenr. 32 Verkeerskundig beheer van verkeerslichten en andere verkeerssystemen ****** Erna Schol (Rijkswaterstaat Dienst Verkeer en Scheepvaart, Groene Golf Team) Emile Oostenbrink (CROW) Samenvatting

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

Business Service Management Eén ERP-oplossing voor al uw beheer

Business Service Management Eén ERP-oplossing voor al uw beheer WHITEPaPER: BUSINESS SERVICE MANAGEMENT Business Service Management Eén ERP-oplossing voor al uw beheer IT SERVIcE PRoVIDER auteur: Herman Rensink WHITEPAPER: BUSINESS SERVICE MANAGEMENT 2 Met GENSYS levert

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

4. Bij voorkeur zal de raad van toezicht van Stichting P60 bij de werving van nieuwe toezichthouders buiten het eigen netwerk zoeken.

4. Bij voorkeur zal de raad van toezicht van Stichting P60 bij de werving van nieuwe toezichthouders buiten het eigen netwerk zoeken. REGLEMENT RAAD VAN TOEZICHT Opgesteld door de voorzitter op 25.03.2013 Vastgesteld door de raad van toezicht op: 27.05.2013 te Amstelveen HOOFDSTUK I. ALGEMEEN Artikel 1. Begrippen en terminologie Dit

Nadere informatie

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering COLLEGE VAN DIJKGRAAF EN HOOGHEEMRADEN COMMISSIE BMZ ALGEMEEN BESTUUR Agendapunt 9A Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438 In D&H: 22-01-2013 Steller: Drs. J.L.P.A. Dankaart

Nadere informatie

SAS 70 maakt plaats voor ISAE 3402

SAS 70 maakt plaats voor ISAE 3402 SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

Inleiding en uitgangspunten

Inleiding en uitgangspunten Inleiding en uitgangspunten Deze DVO (Dienstverleningsovereenkomst) moet zorgen voor een goede afstemming tussen de betrokken partijen over het niveau van de dienstverlening en de hierbij te leveren prestaties.

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Controleprotocol Jaarrekening Gemeente De Bilt 2014

Controleprotocol Jaarrekening Gemeente De Bilt 2014 Behoort bij raadsbesluit d.d. 29 januari 2015 tot vaststelling van het 'Controleprotocol 2014'. Controleprotocol Jaarrekening 2014 Inhoudsopgave 1. Samenvatting... 3 2. Inleiding... 3 2.1 Doelstelling...

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Contractmanagement en contractbeheer

Contractmanagement en contractbeheer Ir. ing. D. Mostert, DME Advies If you are not in control of your contracts, you are not in control of your business (Gartner) Uitbesteding op diverse gebieden neemt een grote vlucht. Steeds vaker wordt

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Functionaliteitenbeheer

Functionaliteitenbeheer Organisatie Functionaliteit 1 Richtinggevend Sturend Uitvoerend Het gaat hier om het initiëren van en zorgdragen voor de uitwerking en verandering van de gewenste wijzigingen aan de informatievoorziening.

Nadere informatie

Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken

Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken Beoordelingskader Dashboardmodule Betalingsachterstanden hypotheken Hieronder treft u per onderwerp het beoordelingskader aan van de module Betalingsachterstanden hypotheken 2014-2015. Ieder onderdeel

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

Energie Kwailteitsmanagement systeem

Energie Kwailteitsmanagement systeem Energie Kwailteitsmanagement systeem (4.A.2) Colofon: Opgesteld : drs. M.J.C.H. de Ruijter paraaf: Gecontroleerd : W. van Houten paraaf: Vrijgegeven : W. van Houten paraaf: Datum : 1 april 2012 Energie

Nadere informatie

Dit reglement is opgesteld en vastgesteld ingevolge artikel 5.5. van de statuten van Stichting Vocallis.

Dit reglement is opgesteld en vastgesteld ingevolge artikel 5.5. van de statuten van Stichting Vocallis. BESTUURSREGLEMENT Vastgesteld door het bestuur op 6 mei 2015. Hoofdstuk I. Algemeen. Artikel 1. Begrippen en terminologie. Dit reglement is opgesteld en vastgesteld ingevolge artikel 5.5. van de statuten

Nadere informatie

Functieprofiel: Teamleider Functiecode: 0203

Functieprofiel: Teamleider Functiecode: 0203 Functieprofiel: Teamleider Functiecode: 0203 Doel Plannen en organiseren van de werkzaamheden en aansturen van de medewerkers binnen een team, binnen het vastgestelde beleid van een overkoepelende eenheid

Nadere informatie

Voorbeeld SLA

Voorbeeld SLA <applicatie> Naam Best Practice Voorbeeld SLA IDnr 067_BP_N Datum aangepast 01/01/2011 Omschrijving van de inhoud Een voorbeelddocument van (SLA) Soort document Voorbeeld ASL Processen Servicelevel management

Nadere informatie

Samen werken aan betere zorg. Handreiking voor begeleiding van cliëntenraden betrokken bij verbetertrajecten

Samen werken aan betere zorg. Handreiking voor begeleiding van cliëntenraden betrokken bij verbetertrajecten Samen werken aan betere zorg van cliëntenraden betrokken bij verbetertrajecten INHOUDSOPGAVE Inleiding... 3 Participatie van cliënten... 4 De rol van de cliëntenraad in verbetertrajecten... 6 Het stappenplan:

Nadere informatie

Raad voor Accreditatie (RvA) Accreditatie van monsterneming

Raad voor Accreditatie (RvA) Accreditatie van monsterneming Raad voor Accreditatie (RvA) Accreditatie van monsterneming Documentcode: RvA-T021-NL Versie 3, 27-2-2015 Een RvA-Toelichting beschrijft het beleid en/of de werkwijze van de RvA met betrekking tot een

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Handleiding Kwaliteitszorg Medische Vervolgopleidingen

Handleiding Kwaliteitszorg Medische Vervolgopleidingen Handleiding Kwaliteitszorg Medische Vervolgopleidingen Martini Ziekenhuis Groningen/Van Swieten Instituut Ziekenhuisgroep Twente locatie Almelo en Hengelo/ZGT Academie 2013 1 Inleiding Ter bewaking van

Nadere informatie

Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015

Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Doel en intentie Als onderdeel van de transformatie Beschermd Wonen en Opvang 2015 wordt in dit document beschreven op welke

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

Opstapcertificatie fase I en II > VV&T Onderdeel Kraamzorg

Opstapcertificatie fase I en II > VV&T Onderdeel Kraamzorg Opstapcertificatie fase I en II > VV&T Onderdeel Kraamzorg Versie 2012 Inleiding 201 Nederlands Normalisatie Instituut. Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel

Nadere informatie

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM Pagina 1 van 6 Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM In het onderstaande is een leidraad opgenomen voor een Plan van aanpak certificeerbaar kwaliteitsmanagementsysteem.

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

Newway Service Level Agreement Structure

Newway Service Level Agreement Structure Newway Service Level Agreement Structure Ondanks alle aan de samenstelling van de tekst bestede zorg, kan Newway Retail Solutions bv (Newway) géén enkele aansprakelijkheid aanvaarden voor eventuele directe

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Service Level Management SLA Template

Service Level Management SLA Template Service Level Management SLA Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : SLA template Pagina : I Colofon Titel

Nadere informatie

Klachten en Meldingen. Managementdashboard

Klachten en Meldingen. Managementdashboard Welkom bij de demonstratie van het Welkom bij de systeem demonstratie van Welkom bij de systeem demonstratie van het Management Klachten en Meldingen System Managementdashboard Systemen van Inception Borgen

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Prince2 audit. Kwaliteitsmaatregel met rendement

Prince2 audit. Kwaliteitsmaatregel met rendement Prince2 audit Kwaliteitsmaatregel met rendement Niek Pluijmert Dga INQA (samen met Hans) Project- en kwaliteitmanagement Sedert 1979 in ICT Bestuurslid Spider Bestuurslid KvK Midden Nederland TU Delft

Nadere informatie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

Oplossingsvrij specificeren

Oplossingsvrij specificeren Oplossingsvrij specificeren ir. J.P. Eelants, projectmanager Infrabouwproces CROW Samenvatting De methodiek van oplossingsvrij specificeren richt zich niet alleen op het formuleren van functionele eisen.

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Amsterdam, 3 juli 2015. Betreft: Reactie VV&A aan MinFin inzake MiFiD II. Geachte heer, mevrouw,

Amsterdam, 3 juli 2015. Betreft: Reactie VV&A aan MinFin inzake MiFiD II. Geachte heer, mevrouw, Amsterdam, 3 juli 2015 Betreft: Reactie VV&A aan MinFin inzake MiFiD II Geachte heer, mevrouw, Namens de Vereniging van Vermogensbeheerders & Adviseurs (hierna: VV&A ) willen wij graag van de gelegenheid

Nadere informatie

Evaluatie en verbetering kwaliteitsysteem

Evaluatie en verbetering kwaliteitsysteem Evaluatie en verbetering kwaliteitsysteem Versie : 00-00-00 Vervangt versie : 00-00-00 Geldig m.i.v. : Opsteller : ------------------- Pag. 1 van 5 Goedkeuringen : Datum: Paraaf: teamleider OK/CSA : DSMH

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

SERVICE LEVEL AGREEMENT 2008

SERVICE LEVEL AGREEMENT 2008 SERVICE LEVEL AGREEMENT 2008 TEN BEHOEVE VAN PREFERRED SUPPLIERS 1 HOOFSTUK 1 ALGEMEEN Preferred Supplier Ter aanvulling op het technische contract met bijbehorende Algemene Voorwaarden Weller komen ondergetekenden

Nadere informatie

Stop met procesgericht ICT-beheer. Betere resultaten door eigen verantwoordelijkheid

Stop met procesgericht ICT-beheer. Betere resultaten door eigen verantwoordelijkheid Stop met procesgericht ICT-beheer Betere resultaten door eigen verantwoordelijkheid Wie is Leo Ruijs? Leo Ruijs, Service 8-2 - Ontwikkelingen vakgebied 1950-1970 Beheer als specialisatie 1970-1990 ICT

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Kennismiddag: Demand Management

Kennismiddag: Demand Management Kennismiddag: Demand Management Agenda Agenda Even voorstellen Inleiding FM FM en uitbesteden Een praktijkvoorbeeld Pauze Wat is Demand management? Borrel 9-10-2014 Kennismiddag: Demand Management Even

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

TRAINING AUDIT. Doelen van deze training is: Leden van de auditteams trainen in het uitvoeren van een audit. Voorbereiden van de audit.

TRAINING AUDIT. Doelen van deze training is: Leden van de auditteams trainen in het uitvoeren van een audit. Voorbereiden van de audit. TRAINING Doelen van deze training is: Leden van de auditteams trainen in het uitvoeren van een audit. Voorbereiden van de audit. DAGAGENDA 09.00 09.15 uur: Inloop en koffie 09.15 09.30 uur: Kennismaking

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Herstelkostenregeling output verzekeraars

Herstelkostenregeling output verzekeraars Herstelkostenregeling output verzekeraars STANDAARDPROCEDURE Overwegende dat: De Minister van Financiën aan het Verbond van Verzekeraars heeft gevraagd een standaardprocedure te introduceren waarmee de

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Object van controle is de jaarrekening 2013. Tevens geeft de accountant aan of het jaarverslag met de jaarrekening verenigbaar is.

Object van controle is de jaarrekening 2013. Tevens geeft de accountant aan of het jaarverslag met de jaarrekening verenigbaar is. CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OP DE JAARREKENING 2013 VAN DE GEMEENTE KRIMPEN AAN DEN IJSSEL 1. Inleiding Bij besluit van 06 november 2003 heeft de gemeenteraad Deloitte Accountants aangewezen

Nadere informatie

Service Support - Service Desk

Service Support - Service Desk Service Support - Service Desk INLEIDING ASSESSMENT; HOE VRAGEN IN TE VULLEN/TE WERK TE GAAN. TOEVOEGEN INLEIDING? ZIE DOC ASSESSMENT SERVICE SUPPORT VRAGEN BELEID EN LEIDERSCHAP OPNEMEN (INK-MODEL) Aandachtsgebied:

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Herziening van de huidige definitie van de Maatregeltoets

Herziening van de huidige definitie van de Maatregeltoets Herziening van de huidige definitie van de Maatregeltoets ing. E.H.L. van Wissen Grontmij Nederland B.V. R. Gravesteijn Grontmij Nederland B.V. ir. L. van Hoogevest Grontmij Nederland B.V. Samenvatting

Nadere informatie

Bijeenkomst PROEVEN AAN contractmanagement

Bijeenkomst PROEVEN AAN contractmanagement Bijeenkomst PROEVEN AAN contractmanagement Thor Mesman Inleiding Doelstelling Het geven van een beknopt ervaringsoverzicht over contractmanagement, zodat de deelnemers van deze bijeenkomst hier eventueel

Nadere informatie

De doelstelling is om met deze Richtlijn de Richtlijn in het kader van de attestfunctie / Dossiervorming in te trekken.

De doelstelling is om met deze Richtlijn de Richtlijn in het kader van de attestfunctie / Dossiervorming in te trekken. Voorstel concept NOREA Richtlijn Documentatie Achtergrond Uitgangspunt is om een Richtlijn Documentatie op te stellen die geldend is voor de in paragraaf 1 aangeduide professionele diensten van een IT-auditor.

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie