Omgaan met het ICT risico Kenniskring ICT risico

Maat: px
Weergave met pagina beginnen:

Download "Omgaan met het ICT risico Kenniskring ICT risico"

Transcriptie

1 Omgaan met het ICT risico Kenniskring ICT risico Omgaan met het ICT risico 1

2 Omgaan met het ICT risico Kenniskring ICT risico Lectoraat ICT governance, Fontys Hogeschool ICT, 27 september Deze uitgave is het derde boekje in reeks van publicaties van het Fontys lectoraat ICT governance. Het copyright van deze reeks berust bij het lectoraat ICT governance van Fontys Hogeschool ICT. Elke publicatie is het product van het werk van een kenniskring van het lectoraat. Voor deze kenniskring wordt onderzoek gedaan door de leden van het lectoraat en door studenten van de Fontys Hogeschool ICT. De publicaties worden eenmalig in boekvorm uitgegeven. Als de boekjes op zijn, is de publicatie tegen betaling te bestellen als paperback op en kan men de publicaties downloaden vanaf 2 Omgaan met het ICT risco

3 De acht publicaties handelen over de volgende onderwerpen: 1. De menukaart van ICT: de catalogus Managen van de verwachtingswaarde en zorgen voor standaards. Product van de kenniskring producten en diensten, verschenen in december De organisatie van ICT Verhogen van de kwaliteit van ICT door gebruik van methoden als BiSL, ITIL en ASL. Product van de kenniskring methoden, prognose maart Omgaan met het ICT risico Product van de kenniskring ICT risico, verschenen in december Het groene rekencentrum van morgen Product van de kenniskring duurzaamheid bij rekencentra, verschenen juni Portfoliomanagement ter ondersteuning van IT governance Product van de kenniskring portfolio management, prognose juni Architectuur bij de vormgeving van ICT Product van de kenniskring architectuur, prognose december Eerst transparant, dan gealigned! Product van de kenniskring standaardisatie en consolidatie, verschijningsdatum nog onbekend. 8. Sturing van ICT in organisaties, ketens en communities Product van de kenniskring poortwachter, verschijningsdatum nog onbekend De kenniskring ICT risico bestaat uit: Theo Thiadens Guido Coenders Sander van Laar Jacqueline van den Broek Rien Hamers lector ICT management Fontys Simac Fontys Fontys Fontys Het praktisch deel van het onderzoek wordt uitgevoerd door studenten van Fontys hogeschool ICT, te weten: Derksen, R.H.P.; Huyzen, T.A.; Koningstein, H.B.; Martens, N.; Mollen, P.P.J.J.; Nouwens, S.; Ouden, K.J.P.H. den; Verbeeten, J.P.; Vissering, R.; Vos, E.H.W.; Wilbrink, M.J.G.. Omgaan met het ICT risico 3

4 Samenvatting. In dit onderzoek wordt eerst de theorie op het terrein van risicomanagement bij inzet van ICT op een rij gezet. Hierbij komt naar voren, dat de diverse benaderingen van risico management bij inzet van ICT verschillen. Dit verschil kan eruit voorkomen, dat de benadering van risico een andere is. Het kan ook zijn, dat de benadering zich vooral richt op het verminderen van risico in een bepaald deel van de organisatie. Vervolgens wordt de benadering gekozen, die bij het empirisch onderzoek is gehanteerd. De keuze is hierbij gevallen op de benadering van risico bij inzet van ICT van Westerman c.s.. De keuze is hiervoor gemaakt, omdat uit onderzoek blijkt, dat directies van organisaties stellen, dat het te lopen en gelopen risico niet voldoende wordt meegenomen in hun besluitvorming dat er een gebrek aan afstemming is tussen de bedrijfsstrategie en het risico, en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Accenture Global Survey 2009, Westerman (2007)). De gekozen benadering richt zich op het management van organisaties. Aan de gebruikerskant gaat deze benadering methodisch na, hoe de leiding de diverse aspecten van het risico bij inzet van ICT waardeert. Het betreft de aspecten beschikbaarheid van ICT, bescherming van de gegevens, nauwkeurigheid en betrouwbaarheid van de gegevens en wendbaarheid van de ICT. Aan de ICT kant wordt geïnventariseerd, wat inhoudt welke maatregelen organisaties hebben genomen om de kans dat een bepaald risico optreedt zo klein mogelijk te maken. Als risico wordt door Westerman c.s. (2007) gedefinieerd: de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden. Uit het empirisch deel van dit onderzoek komt bij de managers aan gebruikerskant naar voren, dat anno 2009 beschikbaarheid van ICT door hen niet als probleem gezien wordt. Het omgaan met de bescherming van gegevens is vaak een groter punt van zorg. Niet immer zijn profielen ingericht, als men medewerkers toegang geeft tot ICT voorzieningen. Ook laat de logging van werkzaamheden door medewerkers op de ICT voorzieningen in het algemeen te wensen over. Op het terrein van de kwaliteit van de gegevens lijkt er voorts bij een aantal van de onderzochte organisaties qua kwaliteit van management informatie nog het nodige te winnen. 4 Omgaan met het ICT risco

5 Wat betreft agility wordt duidelijk, dat een manager nieuwe ICT pas invoert, als deze ICT goed functioneert. De plaatsvervangend directeur van Fontys Hogeschool voor ICT merkt voorts op, dat iedere organisatie een ander accent kan leggen wat betreft omgaan met het risico, dat men loopt bij inzet van ICT. Fontys eist als hogeschool in eerste instantie beschikbaarheid van haar ICT, maar ziet ook dat een betere kwaliteit van gegevens haar werk ten goed zou komen. Op de wensenlijst van de meeste organisaties heeft duidelijk de wens naar een grotere wendbaarheid van ICT prioriteit. De leidinggevenden van de ICT werden vervolgens ondervraagd over de maatregelen, die hun organisatie neemt om de risico s bij inzet van ICT te verkleinen. Hierbij werd duidelijk, dat de onderzochte organisaties in hoge mate streven naar werken onder architectuur en dat hierbij in sterke mate wordt gestandaardiseerd. Helder werd voorts, dat exploitatie van ICT vaak als een facilitaire dienst wordt gezien. Deze dienst wordt beter gewaardeerd dan het leveren van ontwikkelings- en onderhoudsdiensten. Begrip kweken bij de klant voor deze laatste diensten lijkt niet zonder uitdaging. Het hebben van een aparte organisatie voor risicomanagement, welke rapporteert aan de hoogste leiding van een organisatie, werd alleen bij de verzekeraar aangetroffen. Bewustzijn van de bij inzet van ICT gelopen risico s lijkt bij alle onderzochte organisaties, waar nodig, aanwezig. De slotconclusie van het onderzoek luidt, dat, naarmate ICT belangrijker wordt, de aandacht van de klanten van ICT steeds meer wordt gericht op wendbaarheid van de inzet van ICT. De organisaties nemen maatregelen als grotere standaardisatie van ICT en werken onder architectuur. Zij staan aan het begin wat betreft inrichten van een aparte organisatie voor risicomanagement, die rapporteert aan de hoogste leiding van een organisatie. En zij moeten vaak extra inspanningen leveren om awareness van het risico, dat inzet van ICT met zich meebrengt, levend te houden. Omgaan met het ICT risico 5

6 Inhoudsopgave. 1. Risico bij ICT De theorie en voorbeelden van toepassing van de theorie Een overzicht van de theorie De zes benaderingen van risico Vooral bescherming (Thiadens(2008), Overbeek c.s.(2008)) Inrichten van de organisatie en risico (Starreveld c.s. (2002)) Organiseren van het verminderen van risico in een ontwikkel- en beheerorganisatie (Meijer, 2007) Omgaan met risico in de exploitatie van ICT (de Wijs, 1995) Omgaan met risico bij projecten (Applegate c.s. (2009)) Een totaalaanpak: ICT risico vanuit de gebruiker en de maatregelen binnen en buiten de ICT afdeling (Westerman c.s., 2007) De keuze van de methode, die gekozen is als basis van het praktijkonderzoek Enige voorbeelden van toepassing van de theorie Standaardisatie met een service catalogus Rapportage van geleverde ICT diensten Contracten met externe leveranciers Architecturen en continuïteitsplannen Omgaan met het ICT risco

7 3. Onderzoek van de praktijk op basis van de theorie van Westerman c.s Het onderzoek Omgaan met het risico van ICT Beschikbaarheid van ICT Bescherming van ICT Nauwkeurigheid, tijdigheid en betrouwbaarheid van gegevens Wendbaarheid van de inzet van ICT Typen van maatregelen Maatregelen op het terrein van ICT Organiseren om risico te beperken Awareness voor te lopen risico s Conclusies. 47 Bijlagen 51 Bijlage 1: Organisaties, die meewerkten aan het onderzoek. 51 Bijlage 2: Interviewvragen. 52 Geraadpleegde literatuur. 61 Omgaan met het ICT risico 7

8 8 Omgaan met het ICT risco

9 1. Risico bij ICT De global risk management survey van 2009 van Accenture geeft aan dat 85% van de directies van bedrijven denken dat hun organisatie zijn aanpak om met risico om te gaan moet heroverwegen. Deze leden van de directie stellen dat het te lopen en gelopen risico niet voldoende wordt meegenomen in de besluitvorming; dat er een gebrek is aan afstemming tussen de bedrijfsstrategie en het risico, dat realisatie hiervan met zich meebrengt en dat zij vaak niet beschikken over actuele en betrouwbare gegevens om risico in hun besluitvorming mee te nemen. (Daily stat, Harvard Business Publishing, 16 juli 2009). Denken over risico is in. En zeker over het risico dat organisaties lopen bij hun inzet van ICT. Anno 2009 is inzet van ICT in vele organisaties namelijk niet meer weg te denken. De informatie verwerkt, getransporteerd en opgeslagen met de mogelijkheden die ICT ons biedt maakt een betere sturing van het werk mogelijk, leidt tot nieuwe producten en diensten, laat de organisatie doelmatiger werken en helpt haar dag in dag uit zijn taken effectief te doen. De grote afhankelijkheid van ICT brengt risico s met zich mee.dat geldt niet alleen voor operationele werkzaamheden. Het geldt ook voor de projecten, die organisaties realiseren en waarbij gebruik van ICT een conditio sine qua non is. Dit boekje gaat over die risico s, die organisaties lopen bij de inzet van ICT. Het geeft een overzicht weer van de theorie. Het kiest op basis van deze theorie een aanpak om in de praktijk te toetsen, hoe organisaties met risico omgaan en welke maatregelen zij nemen om de risico s te verkleinen. Het geeft ook voorbeelden van deze aanpak. En tenslotte wordt de theorie in de praktijk toegepast. Van de negen onderzochte organisaties en de resultaten daarvan, wordt in dit rapport verslag gedaan. Als ICT risico wordt gedefinieerd: de mogelijkheid van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT, waardoor een of meer doelen van de organisatie niet gehaald worden. Omgaan met het ICT risico 9

10 10 Omgaan met het ICT risco

11 2. De theorie en voorbeelden van toepassing van de theorie Beveiligen van de IV en ICT voorzieningen Organiseren om met risico om te gaan in een ICT ontwikkel- en onderhoudsorganisatie Inregelen en controleren van de administratieve organisatie Een holistische benadering: 1. Kijken naar risico 2. Typen maatregelen en hun combinatie Leven met IV en ICT risico s Omgaan met operationeel risico Omgaan met het risico van IV en ICT projecten. Figuur 2.1 : Benaderingen van risico bij inzet van ICT 2.1. Een overzicht van de theorie Figuur 2.1 zet een aantal invalshoeken op risico op een rij, zoals deze uit de literatuur naar voren komen. Denkend over het omgaan met risico s kan men uitgaan van: 1. De noodzaak tot beveiliging van de organisatie. In dit geval bepaalt men tegen welke risico s een organisatie zich wil indekken; op welke tijdstip men zijn maatregelen neemt en welk type maatregelen dit zijn. De kern van deze invalshoek is de bescherming tegen risico s op het terrein van de vertrouwelijkheid, betrouwbaarheid en continuïteit van de informatievoorziening en de daarvoor nodige ICT. 2. De zorg voor een optimale administratieve organisatie (Starreveld c.s.,2002). De leer van de administratieve organisatie geeft aan, welke maatregelen een organisatie ex ante kan nemen om ervoor te zorgen, dat de organisatie met betrouwbare informatie werkt, de nodige vertrouwelijkheid Omgaan met het ICT risico 11

12 in acht neemt en zo min mogelijk te maken heeft met inbreuken op de continuïteit van de informatievoorziening. De leer geeft ook aan, hoe men ex post nagaat, of de regels ten aanzien van bevoegdheden op het terrein van de informatievoorziening en de regels om te zorgen voor betrouwbare informatie zijn nagekomen. 3. De noodzaak om aandacht te vragen voor risico s bij het ontwikkelen en onderhouden van ICT applicaties. Hierbij wordt ingegaan op de organisatorische maatregelen, die een organisatie neemt. (Meijer, 2007). Dit leidt tot aanbevelingen t.a.v. de wijze waarop de diverse taken op dit terrein in de organisatie dienen te worden belegd en hoe men moet zorgen, dat de gewenste organisatie wordt gerealiseerd. 4. Aandacht voor operationeel risico (de Wijs,1995.) De Wijs (1995) onderzocht hoe organisaties omgaan met de operationele risico s bij het werken ondersteund door ICT. Op basis hiervan stelde hij regels op, welke leiden tot economisch onderbouwd gedrag om met deze risico s om te gaan. Hij constateerde dat organisaties sommige risico s accepteren en in andere gevallen maatregelen nemen om risico s zoveel mogelijk te minimaliseren. 5. Verkleinen van het risico, dat projecten meer of minder falen (Applegate c.s., 2009.). Applegate c.s. stellen dat het doen van IT projecten risico s met zich mee brengt. Zij stellen, dat deze risico s afhangen van de omvang van het project, van de mate waarin de eisen aan het project duidelijk zijn, en het feit, of de organisatie beschikt over de technische kennis nodig om het project te voltooien. Op basis van een classificatie van projecten geven Applegate c.s. aan, welke maatregelen een organisatie kan nemen om een bepaald project tot een optimaal einde te brengen. 6. Een holistische aanpak om om te gaan met risico. Westerman c.s. (2007) kijken naar de wijze van denken van organisaties over risico en inventariseren hierna welke combinatie van maatregelen deze organisaties nemen om het optreden van een ongeplande gebeurtenis als gevolg van het falen of het verkeerd gebruik van ICT te voorkomen. In het volgende zal op elk van deze zes benaderingen van risico bij inzet van ICT worden ingegaan. Hierna wordt aangegeven om welke methode is gekozen als basis van het praktijkonderzoek en waarom deze methode gekozen is. 12 Omgaan met het ICT risco

13 2.2. De zes benaderingen van risico Vooral bescherming (Thiadens (2008), Overbeekc.s.(2008)) Een model dat nadruk legt op bescherming van de informatie- en ICT voorzieningen tegen risico s is de kubus van Bautz (zie figuur 2.2). De kubus van Bautz geeft drie invalshoeken weer op de beveiliging van de informatie bij inzet van ICT. Deze invalshoeken zijn: de reden van maatregelen, de soort maatregel en het tijdstip waarop men de maatregel treft. De kubus van Bautz: Soort maatregel : Fysiek Organisatie Logisch Reden : vertrouwelijkheid, betrouwbaarheid, continuïteit Tijdstip: detectie preventie repressie (uitwijk) correctie Figuur 2.2 : De kubus van Bautz op het terrein van IV en ICT beveiliging Laten we beginnen met de redenen voor maatregelen. In principe neemt een organisatie maat-regelen om de continuïteit en de beschikbaarheid van de inzet van ICT te verzekeren; om de fouten in de in/uitvoer, opslag, verwerking en transport van gegevens tot een minimum te beperken en om de vertrouwelijkheid van het gebruik van gegevens te waarborgen. Deze maatregelen kunnen fysiek, logisch en organisatorisch van aard zijn. Fysieke maatre-gelen zijn bijvoorbeeld het maken van extra voorzieningen bij de koeling van de ICT voorzieningen en het plaatsen van computers in betonnen ruimten. Organisatorische maatregelen zijn ondermeer het opdelen van de rekencentrumruimte in een deel om te kunnen printen, een deel om de ICT voorzieningen te bedienen en een deel waar de ICT apparatuur staat opgesteld. Omgaan met het ICT risico 13

14 Door dit opdelen van een rekencentrum in verschillende ruimten ontstaat de mogelijkheid om functiescheiding toe te passen. Iedere medewerker krijgt dan alleen toegang tot die ruimten, tot welke hij in het kader van zijn functie toegang toe nodig heeft. Logische maatregelen zijn het verstrekken van passwords (wachtwoorden), het werken met chipcards met wisselende wachtwoorden en de realisatie van identiteitsmanagement. Deze maatregelen kunnen preventief van aard zijn, correctief, detectief en ook kunnen een mogelijke inbreuk mitigeren, in welk geval zij repressief zijn. Van dit laatste is het werken met een dubbel rekencentrum een voorbeeld. Als men de beschikking heeft over een dergelijk centrum kan een organisatie bij falen van het ene rekencentrum ongemerkt overschakelen naar het tweede. De klanten merken niet, dat er een inbreuk plaatsvindt. Om te komen tot een optimaal inregelen van maatregelen kan men gebruik maken van best practices, zoals deze zijn neergelegd in de ISO27000 serie normen. Deze ISO normen ondersteunen managers en werknemers bij het verantwoord opzetten, implementeren en onderhouden van maatregelen op de genoemde drie terreinen. Deze set aan normen is één op één overgenomen door het Nederlands Normalisatie Instituut (NNI). De norm geeft de basisprincipes weer en een raamwerk (inclusief meetmethode). Zij geeft aan, hoe men als management de gestelde eisen moet implementeren en hoe men zijn organisatie hiervoor kan laten certificeren. De normen beogen eraan bij te dragen, dat organisaties een evenwichtig pakket aan preventieve, correctieve, detectieve en repressieve maatregelen implementeren op dit terrein. ISO : 11 aandachtsgebieden : (elk heeft doel, basisset en activiteiten) 1. Beveiligingsbeleid: doel, na te streven situatie in termen van organisatiebelangen 2. Organisatie beveiliging: beveiligingsfuncties, taken en verantwoordelijkheden, coördinatie samenhang, richtlijnen, wie maakt afspraken met derden. 3. Classificatie en beheer bedrijfsmiddelen: objecten en hun eigenaar, classificatie van informatie 4. Personeel: training, beveiligingsbewustzijn, gedrag op werkvloer, aannamebeleid en beoordeling, reageren op meldingen incidenten 5. Fysieke beveiliging en omgeving: beveiliging van en in infrastructuur, toegangscontrole bij poort fysieke beveiliging en decentrale computers, clean desk policy, stroomvoorziening, datacommmunicatielijnen, koeling, bescherming diskettes, tapes, docum. 6. Computer- en netwerkbeheer: bedieningsprocedures, beheer technische beveiliging en verantwoordelijkheden, antivirusmaatregelen,incidentafhandeling en rapportage; beveiliging ,edi,data 7. Toegangsbeveiliging: toegangsbeheersing en autorisatie voor applicaties 8. Ontwikkeling en onderhoud van applicaties en infra: aandacht voor beveiligingsfunctionaliteit en veilige ontwikkel en onderhoudsmethoden leiden tot veilig (blijvende) applicaties 9. Continuïteitsplanning: calamiteitenopvang, rampenplannen, uitwijk 10. Toezicht: naleving van wettelijke en contractuele voorschriften, beveiligingscontrole op ICT systemen,ict audit, interne controle 11. Informatieveiligheidsmanagement: omgaan met de beveiliging en classificatie van informatie Figuur 2.3 : De elf delen van de ISO norm 14 Omgaan met het ICT risco

15 In figuur 2.3 staan de elf belangrijkste aandachtgebieden op het terrein van het beschermen van de vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. vertrouwelijkheid, betrouwbaarheid en continuïteit van gegevens conform de reeks van ISO27000 normen. De eerste vier aandachtsgebieden betreffen: 1. Het zorgen voor een informatie- en ICT beveiligingsbeleid. Hieronder valt het hebben van een document, waarin dit beleid is geformuleerd, en het inrichten van een proces, waardoor dit document periodiek wordt herzien. 2. Het organiseren van de uitvoering van dit beleid. Hieronder vallen onderwerpen als - het zorgen voor commitment van het management; - het duidelijk aanwezig zijn van een coördinatiepunt; - het belegd hebben van de verantwoordelijkheden - het duidelijk hebben, wie bevoegd is tot autorisatie van ICT voorzieningen en wie welke autorisaties krijgt. En zo is ondermeer helder welke persoon tekent bij het in productie nemen van nieuwe versies en releases op het terrein van ICT; - het zorgen voor de aanwezigheid van confidentialiteitsovereenkomsten. In de aanstelling van medewerkers moeten bepalingen opgenomen zijn over het omgaan met bedrijfsgegevens en de auteursrechten van ontwikkelde programmatuur; - het helder hebben wie over welk onderwerp communiceert met het burgerlijk gezag en met special interest groups - de zorg voor een onafhankelijke evaluatie van de beveiliging. 3. Het regelen van de omgang met externe partijen. Hieronder valt de identificatie van risico s van het werken met externen; van risico s bij de interactie met de klanten en bij het werken met andere, derde partijen. Voorts valt het treffen van maatregelen om deze risico s te beperken en het handhaven van deze maatregelen. 4. Het aanwezig zijn van regelingen met de medewerkers. Hierbij geldt dat bij indiensttreding de rol en de verantwoordelijkheden van de medewerkers en zijn arbeidsvoor-waarden helder moeten zijn. Tevens moet aandacht gegeven zijn aan het screenen van de medewerker. Tijdens het dienstverband moeten de verantwoordelijkheden van het management helder zijn. Deze moet zorgen voor awareness, opleiding en training van de medewerker op dit terrein. Het moet voorts duidelijk zijn, dat overtreding van de regels tot disciplinaire maatregelen kan leiden. Bij beëindiging van een dienstverband moet bepaald worden, hoe met het einde van de verantwoordelijkheid van een medewerker wordt omgegaan. Op dit moment worden de in gebruik gegeven goederen ingeleverd en wordt ervoor zorg gedragen dat eventuele toegangsrechten worden verwijderd. Omgaan met het ICT risico 15

16 Administratieve organisatie (Starreveld c.s. (2003)) Bij het inrichten van een organisatie is het van belang rekening te houden met de risico s die men loopt ten aanzien van de betrouwbaarheid van de informatie. Starreveld c.s. (2003) merken op, dat een betrouwbare informatievoorziening in organisaties eisen stelt aan de inrichting van de organisatie. Daarnaast stelt Starreveld c.s. dat een organisatie zijn informatievoorziening periodiek moet nagaan op haar inhoudelijke juistheid. Hiermee wordt voorkomen, dat organisaties te laat ontdekken, dat de gewenste informatie niet aanwezig is en/of dat de wel aanwezige informatie inhoudelijk niet optimaal is. Starreveld c.s. (2003) stellen dat (zie figuur 2.4): Ex ante: Ex post: Preventieve maatregelen: - functiescheiding - richtlijnen en procedures - fysieke en logische toegangsbeveiliging - backup, recovery en uitwijk. Preventieve maatregelen: - beperking bevoegdheden - bevorderen zelf- en sociale controle - ramingen, begrotingen en normen - kwijting - verbijzonderen interne controle - wisselen van personeel - quasi goederen beweging Organisatie en zijn interne betrouwbaarheidssysteem Controles: - op bevoegdheid: binnen bevoegdheden gehandeld? - informatiecontrole: is de informatie betrouwbaar? - bewaringscontrole: zijn de waarden, voorzover niet rechtmatig afgegeven, nog aanwezig Repressieve maatregelen: - afdwingen naleving voorschriften, richtlijnen en procedures - eisen dat de materiële werkelijkheid (inventarisatie) overeenkomst met de informatie - eisen dat primaire verantwoordingsgegevens: verbandscontrole, toetsing opgaven aan ex ante data de juiste uitkomst geven; - zorgen voor juiste gegevensverwerking Figuur 2.4: Een overzicht van de ex ante en ex post maatregelen om risico s met de betrouwbaarheid van informatie te verminderen 16 Omgaan met het ICT risco

17 1. de inrichting van organisaties zodanig moet zijn, dat betrouwbaarheid van informatie ingebakken zit in de wijze van gegevens verzamelen. Organisaties moeten nadenken welke gegevens zij nodig hebben. Vervolgens moeten zij intern verantwoordelijkheden toewijzen voor het verzamelen van deze gegevens rekening houdende met de noodzakelijke functiescheiding. Bepalen, welke gegevens nodig zijn; het bewaren ervan; het uitvoeren van het verzamelen van deze gegevens en het controleren van de verzamelde gegevens moeten bij voorkeur door individuen met tegengestelde belangen worden uitgevoerd. 2. organisaties periodiek de juistheid van de door hen gebruikte informatie controleren. Bij deze controles loopt men na of: een verstrekker de door hem verstrekte gegevens ook mocht verstrekken. Men checkt of een gebruiker wel bevoegd is over de gegeven te beschikken enz. De betreffende controle wordt een autorisatie controle genoemd. Men kijkt naar de bevoegdheid van de gegevensverzamelaar, van de gegevensgebruiker en van de gegevensverstrekker; de verstrekte gegevens wel kloppen met de fysieke werkelijkheid. Staat wat er op de pakbon staat ook werkelijk op de computerzaal? de gegevens wel betrouwbaar zijn. Hierbij vraagt men zich ondermeer af, of de definities van de gegevens overeenkomen? Of de tijdstippen van verzamelen wel de conclusies rechtvaardigen? Of de gelegde relatie tussen de gegevens wel mogelijk is? Of men op tijd over de gegevens kan beschikken en of deze voldoende nauwkeurig zijn? Daarnaast loopt men de het verzamelen en bewerken van gegevens na op meetfouten. In figuur 2.4 is een overzicht van deze maatregelen gegeven. Zij zijn erop gericht om de risico s om te werken met minder betrouwbare informatie te voorkomen. Omgaan met het ICT risico 17

18 Organiseren van het verkleinen van risico in een ontwikkel- en onderhouds-organisatie (Meijer, 2007) Meijer (2007) onderzocht welke taken op het terrein van risicomanagement in ICT ontwikkel- en onderhoudsorganisaties moeten worden gedaan en hoe organisaties deze taken in hun structuur kunnen inbedden. Hij constateerde dat actief werken aan risicomanagement betekent, dat medewerkers, die zich bezighouden met risico s: 1. Participeren in de strategische planvorming; 2. Ondersteunen de organisatie bij een risicoanalyse en deze zo nodig uitvoeren; 3. Stellen een risicobeheersplan op; 4. Controleren, toetsen en bijsturen op basis van dit risicobeheersplan; 5. Informeren de medewerkers en de leiding over het onderwerp risicomanagement; 6. Ontwikkelen en onderhouden kennis over mogelijke maatregelen; 7. Ontwikkelen en onderhouden methoden, hulpmiddelen en technieken op dit terrein; 8. Verzorgen opleidingen en trainingen. Organisatievormen: 1. afzonderlijke centrale risicomanagementafdeling 2. volledige lijnverantwoordelijkheid van de risicomanagementfunctie 3. zowel een lijn als een centrale verantwoordelijkheid 4. een projectorganisatie 5. een multidisciplinair team als onderdeel van een audit. Wat doet men? Alle taken 2 t/m 8 1 is niet van toepassing Centrale functie doet 1,5,6,7,8; lijn doet 2,3,4. taken afh. doel project. Belast met taak 2. Risicomanagementtaken: 1. participeren in strategische planvorming 2. begeleiden en uitvoeren risicoanalyse 3. opstellen van een risicobeheersplan 4. controleren, toetsen en bijsturen naar aanleiding van het risicobeheersplan 5. informeren over risicomanagement 6. ontwikkelen en onderhouden van kennis over mogelijke maatregelen 7. ontwikkelen en onderhouden van methoden, hulpmiddelen en technieken. 8. Verzorgen van opleidingen en trainingen. Figuur 2.5 : Taken en organisatorische inbedding bij risicomanagement (Meijer, 2007) 18 Omgaan met het ICT risco

19 Vervolgens geeft hij aan, hoe organisaties bij de inrichting van een ICT ontwikkel- en onderhoudsorganisatie rekening houden met het risico van ICT de te lopen risico s in deze organisatie kunnen verkleinen. Hij constateerde, dat hiervoor een aantal mogelijkheden zijn. Hij onderscheidt vervolgens de volgende vormen/manieren om in een ontwikkel- en onderhoudsorganisatie ICT risicomanagement te beleggen: 1. Organisaties richten een afzonderlijke, centrale risicomanagement afdeling op. Nu is het hen mogelijk om alle acht taken van figuur 2.5 een plaats te geven. 2. Organisaties leggen het omgaan met risico s volledig in de lijn neer. Nu is het mogelijk alle taken met uitzondering van het vanuit risicomanagement perspectief kijken naar strategische planvorming een plaats te geven. 3. Onderkennen van risico s is zowel een lijn- als een centrale verantwoordelijkheid. Hierbij: 3.a. begeleidt de lijn en laat zij risicoanalyses uitvoeren; 3.b. stelt de lijn een risicobeheersplan op; 3.c. controleert, toetst en stuurt de lijn bij naar aanleiding van het risicobeheersplan De overige taken worden centraal gedaan. 4. Men organiseert de risicomanagement functie als een projectorganisatie. In een dergelijke organisatie zijn de taken afhankelijk van het doel van het project. En tenslotte 5. Men richt een multidisciplinair team in als onderdeel van een audit op het te lopen risico. Dit team ondersteunt de organisatie bij het doen van risicoanalyses en voert deze zo nodig uit. Meijer (2007) constateert dat er sprake moet zijn van een centrale functie, die vanuit het perspectief risico naar de huidige en nieuwe ICT projecten van een organisatie kijkt. Hierbij richt deze centrale functie zich op operationele risico s en op projectrisico s. We zullen deze twee soorten risico s in het volgende bespreken. In figuur 2.5 zijn de taken en de daarbij mogelijke belegging van deze taken in een ontwikkel- en onderhoudsorganisatie weergegeven. Omgaan met het ICT risico 19

20 Omgaan met risico in de exploitatie van ICT (de Wijs, 1995) Een organisatie kent operationele risico s. Dat is het risico dat de ICT uitvalt tijdens het dagelijks werk. De Wijs (1995) onderzocht dit operationele risico. Hij geeft aan, wanneer het opportuun is om maatregelen te nemen om dit risico te beperken. Zijn methode om met operationeel risico om te gaan, kent de volgende drie stappen. 1. het bepalen van de taken, die een ICT voorziening ondersteunt. Hierbij gaat men na, welke taken worden ondersteund en stelt men vast, of de ondersteuning door ICT sterk geïntegreerd is of dat men gebruik maakt van diverse met elkaar gekoppelde voorzieningen. Op basis van de bevindingen wordt het operationele risico vastgesteld. Hierbij houdt men rekening met - de ernst van de optredende calamiteit; - de mate waarin de gevolgen hiervan direct worden ervaren; - de onomkeerbaarheid van deze gevolgen op de lange termijn; - de beheersbaarheid van de calamiteit gegeven de genomen maatregelen; - de mate,waarin het optreden van de calamiteit door een ieder wordt gevreesd; - de relatieve nieuwswaarde van de calamiteit voor de media; - de bekendheid van de experts met de calamiteit en haar gevolgen - en de bereidheid van gebruikersmanagement om het mogelijk optreden ervan te accepteren. 2. de mogelijkheden die men heeft om het optreden van de calamiteit te voorkomen. Hierbij kan men denken aan extra voorzieningen om beschikbaarheid te verhogen, een uitwijkrekencentrum om bij calamiteiten als brand toch door te kunnen werken en een extra, aparte kabelverbinding om bij het kapot trekken van één kabel toch verbinding te houden. In het algemeen loopt men zijn ICT voorzieningen na om dit risico te bepalen en kijkt men, wat de zwakste schakel is bij deze ICT voorziening. 3. de noodzaak om maatregelen te treffen gegeven de betrouwbaarheid van de voorziening en de specifieke eisen van de situatie. De Wijs (1995) bepaalt zo na grondige analyse de mogelijke voorzieningen. Om ze te realiseren eist hij, dat het risico, dat men loopt door inzet van ICT, kwantificeerbaar is en direct de gestelde prestatie eisen kan beïnvloeden. Hierdoor kunnen de te nemen maatregelen bedrijfseconomisch te rechtvaardigen zijn. 20 Omgaan met het ICT risco

21 Omgaan met risico bij projecten (Applegate c.s. (2009)) Omgaan met risico bij projecten wordt projectrisico benoemd. ICT projecten kennen dit risico zowel aan de kant van de organisatie, die het resultaat van het ICT project gaat gebruiken, als aan de kant van de ICT organisatie. Project risico wordt gedefinieerd (Applegate c.s., 2009) als het risico, dat vernieuwingen van ICT voorzieningen niet op de tevoren afgesproken tijd en binnen het afgesproken budget geïmplementeerd worden. Het is een risico, dat blijft bestaan, ook al gebruikt een organisatie de beste instrumenten en heeft een organisatie alle middelen tot zijn beschikking, die tevoren voor het project werden gebudgetteerd. Het gevolg van het optreden van projectrisico, is, dat: - geplande voordelen niet of niet volledig worden gehaald; - er uitloop is van het project, waardoor het project duurder wordt; - het project functioneel of technisch bezien minder goed uitvalt of - dat een ICT applicatie bij nader inzien toch minder optimaal op of niet met de bestaande ICT infrastructuur werkt. Dit kan blijken uit een matige respons, een gebrekkiger beveiliging of een slechtere beschikbaarheid dan de organisatie vooraf had verwacht. Er zijn 3 redenen om projectrisico te introduceren. De eerste is, dat de omvang van het project relatief groot is ten opzichte van andere projecten in de organisatie. Het project raakt meer afdelingen dan normaal. Er is een groter budget mee gemoeid enz. De tweede reden is, dat de organisatie de gebruikte technologie niet of niet voldoende onder de knie heeft. Men komt voor verrassingen te staan, welke niet verwacht zijn en weet daar niet goed mee om te gaan. De derde reden is, dat men niet exact weet, wat men wil. Men wijzigt gaande het project steeds weer de project scope en de eisen aan het eindresultaat. Het projectteam wordt wat radeloos en raakt steeds meer zijn motivatie kwijt. Men kan het projectrisico bepalen door middel van interviews of door het houden van Delphi meetings. Bij interviews vraagt men op diverse niveaus aan de gebruikersen de ICT kant naar de mening over het verloop van een project en/of programma s van projecten, naar de inmiddels bereikte resultaten, naar de verwachtingen van het project en naar ideeën over mogelijke maatregelen voor bijsturing. Als het risico te groot wordt geacht, kan men besluiten deze maatregelen te nemen. Hieronder kunnen vallen het versterken van het team, het veranderen van de scope van het project of/en het volgen van een bijgesteld implementatie traject. Omgaan met het ICT risico 21

22 niet weten je wil weten wat je wil Techniek bekend Techniek onbekend omvang groot laag risico laag risico omvang klein zeer laag risico zeer laag risico omvang groot zeer hoog risico middelgroot risico omvang klein hoog risico middelgroot risico Figuur 2.6 : Positionering van een project en bepaling van haar risico In figuur 2.6 is aangegeven hoe men het risico van projecten aan de hand van drie eigenschappen kan bepalen. Ook bij het lopen van een groot risico zullen organisaties, zeker als inzet van ICT van groot belang voor de organisatie is, niet altijd onder het mijden van een risicovolle project uitkomen. Redenen voor een organisatie om projecten door te zetten kunnen liggen in het feit dat men aan de kant van de gebruiker van ICT een reputatie heeft opgebouwd, wat betreft het aantal succesvolle projecten, die de laatste jaren zijn uitgevoerd of dat men goede projectleiders en ervaren gebruikers kan leveren of dat men financieel gezond is. Aan de ICT kant helpen de volgende factoren mee om te besluiten een wat risicovoller project toch door te laten gaan: - de ICT organisatie heeft een goede reputatie wat betreft de exploitatie van ICT voorzieningen; - de ICT organisatie kent een voortdurende kwaliteitsverbetering en innovatie van diensten; - de door de ICT organisatie gegeven planningen komen uit; - de teststraten voor applicaties werken goed; - en de ICT organisatie komt zijn afspraken na. Afhankelijk van het soort risico kan een organisatie maatregelen nemen om het risico in te perken. Als de organisatie te maken heeft met het risico dat men niet exact weet wat men wil, dan zijn maatregelen op het terrein van integratie van belang. Dit betekent dat men zorgt voor een optimaal draagvlak van het project in de organisatie en daartoe maatregelen neemt. Als men te maken heeft men grote projecten, waarbij de techniek minder bekend is, dan zal een goede planning en inzet van ervaren ICT medewerkers aandacht moeten krijgen. In figuur 2.7 is een overzicht gegeven van mogelijke maatregelen. Veelal vormen projecten onderdeel van programma s van projecten. Ieder project wordt dan resultaat gericht geïmplementeerd en binnen een bepaalde tijd uitgevoerd. 22 Omgaan met het ICT risco

23 externe integratie interne integratie gebruiker projectleider ervaren ICT man leidt team maken van stuurgroep vele team meetings gebruikers sturen verandering notulen over sleutlebesluiten verspreid alle informatie verspreid regulier technische status opgenomen selectie van gebruikers als teamleden veel ervaren teamleden formeel geodkeurinsgproces bij gebruiker leden nemen deel aan doelstellingsbijeengebruiker verantwoordelijk voor opleiding en komsten enz. implementatie, enz. formele planning formele stuurmethoden formele planningsmethoden periodiek actual vs. budget keuze van mijlpalen formele wijzigingsprocedures standaards voor rapporten etc. reguliere mijlpalen presentaties project geodkeuringsproces afwijkingenvan plan gesignaleerd evaluaties per fase en van het totaal. Figuur 2.7 : Mogelijk maatregelen om risico bij ICT projecten te verkleinen Een totaal aanpak: ICT risico vanuit de gebruiker en de maatregelen binnen en buiten de ICT afdeling (Westerman c.s., 2007) De laatste benadering, die in dit boekje beschreven wordt, is een holistische. Het is de benadering van ICT risico van Westerman c.s.. Bij deze benadering kijkt men vanuit het management van de gebruiker naar de risico s die men loopt door inzet van ICT bij de informatievoorziening. Op basis van de wensen van een organisatie wordt vervolgens een combinatie van maatregelen genomen om de met ICT gelopen en te lopen risico s op een aanvaardbaar niveau te brengen. In de benadering van Westerman c.s. komen veel van de facetten van eerder genoemde benaderingen terug Bij inzet van ICT lopen organisaties volgens Westerman c.s. (2007) risico s op vier vlakken, de zogenaamde 4A s. Deze vier vlakken zijn: 1. Availability: het beschikbaar hebben van de nodige ICT en het snel kunnen herstellen van onderbrekingen; 2. Accessibility: het toegang krijgen tot gegevens en applicaties op een zodanige wijze, dat de juiste mensen de applicaties kunnen gebruiken en onbevoegden worden geweigerd; 3. Accuracy: het volledig en op tijd beschikbaar zijn van de verkregen gegevens, zodat aan de eisen van de leiding, de staf, de klanten, de leveranciers en de wetgevers kan worden voldaan; 4. Agility: het bieden van de mogelijkheid om de ICT op beheerste wijze te veranderen. Dit kan gebeuren bij een fusie, bij een nieuw procesontwerp of bij de lancering van een nieuw product. Omgaan met het ICT risico 23

24 Proces: geeft op organisatieniveau een overzicht van alle risico s, zodat de leiding voldoende kan investeren in risicomanagement. Fundament: de infrastructuren en de toepassingen (inclusief medewerkers en procedures), die duidelijk zijn beschreven, worden duidelijk bestuurd en zijn niet complexer dan nodig. Inrichting organisatie Cultuur: iedere betrokkene heeft voldoende kennis van de risico s en er wordt open en niet bedreigend gesproken over risico s. Figuur 2.8 : Types maatregelen om risico s te verkleinen (Westerman c.s., 2007) Organisaties nemen maatregelen om met de ICT risico s om te gaan. Deze maatregelen kan men indelen in drie soorten. Uit hun onderzoek bij 180 grote bedrijven komen deze drie soorten maatregelen naar voren. Dit zijn de zorg voor transparantie van ICT voorzieningen, het organiseren van aandacht voor risicomanagement en het zorgen voor een besef van gelopen en te lopen risico s bij medewerkers. Omgaan met ICT risico betekent dat organisaties kijken naar het totale risico en afwegingen maken ten aanzien van de te nemen maatregelen (zie figuur 2.8). Dit leidt in het algemeen tot: a. een meer transparante inrichting van de ICT voorziening van een organisatie. Dit betekent een transparante architectuur van producten en diensten geleverd door een goed beschreven ICT organisatie. Deze architectuur en deze organisatie zijn niet complexer dan nodig. b. de aanwezigheid van een organisatie voor risicomanagement, dat ervoor zorgt, dat op het niveau van de organisatie een overzicht aanwezig is van risico s,die de organisatie loopt. Hierdoor is de leiding in staat voldoende tijd en middelen te investeren in risicomanagement. In dit proces worden risico s geïdentificeerd, van een prioriteit voorzien en gevolgd. c. en een cultuur, die ervoor zorgt, dat iedere betrokkene voldoende kennis heeft van de risico s en ermee rekening houdt (risk awareness). In deze cultuur wordt open en niet bedreigend gesproken over mogelijk te lopen risico. 24 Omgaan met het ICT risco

25 De keuze van de methode, die gekozen is als basis van het praktijkonderzoek In dit hoofdstuk kwamen zes benaderingen om om te gaan met het risico van inzet van ICT aan de orde. De eerste vijf benaderingen benadrukken één of meerdere aspecten van risico of wijzen om met het risico bij de informatievoorziening en de daarvoor nodige inzet van ICT om te gaan. Duidelijk wordt dat het bij risico in een organisatie niet alleen gaat om het risico met de huidige ICT, maar ook met het risico, dat komende ICT niet biedt, wat een organisatie ervan verwacht. Onderzoek leert (Westerman, 2007), dat de reden, dat organisaties deze risico s lopen vaak voorkomt uit een gebrek aan overzicht bij de leiding over de impact van ICT en het ontbreken van echte sturing van die ICT op organisatieniveau. Om IT risico in een organisatie in de praktijk te onderzoeken is daarom gekozen voor een methode, die leidinggevenden aan de gebruikerskant en aan de ICT kant ondervraagt. Bij deze methoden worden risico s en de maatregelen om risico s te beperken geformuleerd in managementtermen. De methode maakt een onderscheid tussen het soort gelopen risico en de generieke maatregelen om risico te verkleinen. De leiding, die ICT inzet, wordt ondervraagd over de risico s,welke zijn organisatie ten aanzien van de inzet van de informatievoorziening en de daarbij nodige ICT loopt. Aan de orde komt in dit interview, welke risico s de organi-satie loopt, wat de gevolgen van deze risico s zijn en welke keuzen men bij het omgaan met de soorten risico maakt. De ICT kant wordt gevraagd om de maatregelen aan te geven, die de organisatie heeft genomen om de mogelijkheid van het optreden van de gevolgen van deze risico s te beperken Enige voorbeelden van toepassing van de theorie Alvorens systematisch in te gaan op de resultaten van het empirisch onderzoek worden eerst een aantal voorbeelden gegeven van mogelijkheden, waarop het risico van ICT door organisaties wordt beperkt. Deze voorbeelden sluiten aan bij de theorie van Westerman (2007). Zij werden door de organisaties aangereikt bij het empirisch onderzoek en bij seminars, die over dit onderwerp zijn gevolgd. Omgaan met het ICT risico 25

26 De voorbeelden betreffen: - de standaardisatie van ICT voorzieningen door gebruik te maken van een catalogus; - de rapportage van geleverde producten en diensten; - de wijze van contractering van externe producten en diensten; - en een voorbeeld, hoe organisaties, gedwongen door eisen vanuit de keten van organisaties, waar zij deel van uitmaken, maatregelen treffen om het risico, dat zij met inzet van ICT lopen, te verkleinen Standaardisatie met een service catalogus Standaardisatie van ICT voorzieningen komt naar voren, als een wijze om de levering van ICT producten en diensten beter beheersbaar en transparant te maken. (Lectoraat ICT governance, 2008). Standaardisatie van ICT producten en diensten gaat vaak gepaard met het aangeven van deze producten en diensten in een catalogus. De catalogus is als het ware de menukaart van een ICT organisatie. Plaats van de service catalogus Figuur 2.9: Ondernemingsarchitectuur van de IB-Groep en de plaats van de technische architectuur 26 Omgaan met het ICT risco

27 Een voorbeeld van een dergelijke catalogus is de service catalogus van de IB-Groep. In het voorwoord van deze catalogus wordt aangegeven, dat de catalogus helpt bij het maken van afspraken tussen klant en leverancier. De catalogus kwam tot stand in overleg tussen de gebruikers van centrale diensten en de leveranciers van deze diensten. De leveran-ciers zijn de directie ICT en de afdeling Centraal Proces Beheer (CPB). In de catalogus wordt aangegeven (zie figuur 2.9), dat de catalogus is gebaseerd op het onderdeel technische infrastructuur diensten van de IB-Groep ondernemingsarchitectuur. De catalogus legt een groot aantal van afspraken op het terrein van de organisatie en ten aanzien van de diensten van de centrale afdelingen ICT en CPB vast. De catalogus maakt hierbij een onderscheid tussen eindgebruikers- en business-services. De eindgebruikers- services betreffen diensten op het terrein van ICT werkplekken, telefonie en standaard software. De business services betreffen adviesdiensten, het maken en onderhouden van maatwerksoftware, informatievoorzieningsdiensten en diensten ten aanzien van de exploitatie van ICT. In figuur 2.10 is een voorbeeld gegeven van de diensten, die worden geleverd. Infrastructuurdiensten kanalen Telefoon Web ACD/VRS dienst Het bieden van alle functionaliteit voor het via de telefoon communiceren, zowel spraak als data en distribueren van oproepen over vestigingen Internet security diensten Het beveiligen van web diensten Web informatiediensten Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep Web portal diensten Het leveren van algemene en klantspecifieke diensten. het bieden van de mogelijkheid van mutaties en aanvragen. Web applicatie security diensten Het voorzien in een veilige connectie tussen de Web Portal en de Web applicaties Web applicatie diensten Alle diensten voor het uitvoeren van de feitelijke webapplicaties Balie Papier Document scanning diensten Identificatie en verificatie diensten Balie informatie diensten Balie transactie diensten Balie security diensten Document scanning diensten Deze dienst voorziet in het scannen van documenten Het vaststellen van identiteit en verificatie van identiteit van personen Het leveren van algemene informatie betreffende de dienstverlening van de IB-Groep Het leveren van algemene en klantspecifieke diensten. het bieden van de mogelijkheid van mutaties en aanvragen. Het voorzien in een veilige omgeving en toegang tot applicaties voor baliepersoneel Deze dienst voorziet in het scannen van documenten Figuur 2.10 : Voorbeeld van diensten van de ICT afdeling IB-groep Omgaan met het ICT risico 27

28 Rapportage van geleverde ICT diensten Het maken van periodieke rapportages is een wijze om zelf inzicht te krijgen in het eigen reilen en zeilen, doch ook om anderen toegang te geven tot het eigen functioneren. Het geven van goed inzicht in de prestaties op het terrein van het ICT wekt vertrouwen en maakt het mogelijk om op de juiste punten extra inspanning te plegen. Tijdens het onderzoek kwamen twee rapportages over ICT naar voren, welke in één oogopslag aangeven, welke de sterke en de zwakke punten van de leveranciers van ICT zijn. Hierbij is uitgegaan van de afspraken, die men heeft gemaakt met de gebruikers van hun diensten. De eerste rapportage is die van het Kadaster. Deze organisatie gebruikt voor haar maandelijkse rapportage de Balanced Score Card methodiek. Zelf krijgt de ICT exploitatie organisatie in één oogopslag inzicht in haar functioneren en in het gesprek met haar klanten kan men zich snel focussen op de zaken, die van belang zijn. De prestaties zijn met kleur en met een naar beneden wijzende pijl aangegeven. In figuur 2.11 is dit weergegeven. Uit de figuur wordt duidelijk, dat anno april 2009 vooral de financiën de nodige aandacht behoeven. Ook wordt duidelijk, dat in de balanced score card van het Kadaster het onderdeel groei&leer nog niet echt ontwikkeld is. Figuur 2.11 : De balanced score van de afdeling ICT services van het Kadaster 28 Omgaan met het ICT risco

29 Figuur 2.12 : Rapportage afdeling ICT services Fontys hogeschool. De tweede rapportage is die van de afdeling ICT services van Fontys hogeschool. In de maandelijkse management rapportage geeft zij met een kleursysteem aan, wat de status is van de prestatie. De geleverde prestatie wordt gerelateerd aan tevoren gestelde kritische prestatie indicatoren. In één oogopslag maakt de rapportage helder, op welke onderwerpen de aandacht zich moet richten. In dit geval heeft de beveiliging en de applicatie-ontwikkeling attentie nodig. In figuur 2.12 is een voorbeeld gegeven van het gebruik van kritische prestatie indicatoren bij de ICT services afdeling van Fontys Hogeschool Contracten met externe leveranciers Ter bescherming van de organisatie worden in contracten met derden vaak nadere voorwaarden gesteld. Deze voorwaarden hebben betrekking op het verhalen van eventuele schade, de intellectuele eigendom bij levering van diensten, het gebruik van hulpmiddelen en de geheimhouding van verkregen informatie. Omgaan met het ICT risico 29

30 Figuur 2.13 : Voorbeeld van een deel van een bepaling over intellectuele eigendoms-rechten (IB-groep, 2009) In figuur 2.13 is een voorbeeld gegeven van een bepaling op dit terrein. Het is een deel van de bepaling over intellectuele eigendom uit de algemene leveringsvoorwaarden bij inkoop van diensten van de IB-groep. Op de website van de IB-Groep (zie geraadpleegde bronnen) vindt men de verwijzing naar deze algemene inkoopvoorwaarden. Een set algemene voorwaarden heeft betrekking op leveringen. Een andere set algemene voorwaarden heeft betrekking op de inkoop van diensten Beleidsplannen, architecturen en continuïteitsplannen Naast het maken van beleidsplannen komt het maken en werken van architecturen op. Een visuele weergave van een beleidsplan wordt gegeven in figuur Deze figuur ontleend aan het plan Landscaping the Infrastructure uit van de afdeling ICT services van Fontys Hogeschool. Uit de figuur wordt duidelijk dat Fontys ICT services een groot aantal standaard diensten levert. Deze standaarddiensten kunnen aangevuld worden met eigen applicaties van de 38 Fontys hogescholen, die aan de voorwaarden voldoen om op deze infrastructuur te kunnen worden geplaatst. Fontys ICT services kent voorts paarse en gele werkplekken. De paarse werkplek bestaat uit een standaard desktop of laptop, welke voldoet aan de minimale eisen om er een Fontys applicatie op aan te kunnen bieden. De gele werkplek is een werkplek met een afwijkende inrichting of een compleet afwijkende hardware. De verwachting is dat de komende jaren het aantal gele werkplekken sterk zal toenemen, nu instituten adviseren aan hun studenten laptops aan te schaffen en deze studenten toegang moeten hebben tot de Fontys infrastructuur. 30 Omgaan met het ICT risco

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

ICT alignment en ICT governance: theorie en praktijk

ICT alignment en ICT governance: theorie en praktijk ICT alignment en ICT governance: theorie en praktijk lezing voor de MBO raad, dd. 21/1/2010. Dr.mr.ir. Th.J.G Thiadens, Lector ICT governance Fontys Hogeschool, Docent aan de UvA, Erasmus, UvT, RuG, OU

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Onderzoek naar de invulling van de IV- en ICT- vlakken van het negenvlak.

Onderzoek naar de invulling van de IV- en ICT- vlakken van het negenvlak. Onderzoek naar de invulling van de IV- en ICT- vlakken van het negenvlak. Programma: 1. Fontys, hogeschool ICT, en zijn lectoraten. 1.1. Focus punt voor onderzoek. 1.2. Hoe maakt het lectoraat IT governance

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Algemene gegevens. Mijn naam Adres, Postcode Woonplaats Studentnummer E-mailadres

Algemene gegevens. Mijn naam Adres, Postcode Woonplaats Studentnummer E-mailadres Algemene gegevens Mijn naam Adres, Postcode Woonplaats Studentnummer E-mailadres Organisatie waarin ik werkzaam ben Mijn positie binnen deze organisatie Het volgende invullen wanneer u werkzaam bent in

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

Business Continuity Planning Consultants

Business Continuity Planning Consultants Productnaam: Business Continuity Planning Consultants als het om continuïteit gaat Business Continuity Business Continuity Planning Consultants hanteert voor het opstellen van een calamiteiten- of continuïteitsplan

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Grip op uw bedrijfscontinuïteit

Grip op uw bedrijfscontinuïteit Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode!

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode! Dragon1 EA Tool Business case webbased EA tool Een webbased EA tool geschikt voor elke architectuurmethode! uw organisatie, datum, versie #.#, documentstatus eigenaar/budgetverantwoordelijke: Kies op deze

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Projectmanagementenquête 2007

Projectmanagementenquête 2007 Projectmanagementenquête 2007 Handvatten voor succesvolle projecten 21 maart 2007 Bisnez Management in samenwerking met het IT Trends Institute en de Vrije Universiteit van Amsterdam copyright by Bisnez

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Dé cloud bestaat niet. maakt cloud concreet

Dé cloud bestaat niet. maakt cloud concreet Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.

Nadere informatie

Betere dienstverlening door eigen verantwoordelijkheid. Stop met procesgericht ICT-beheer!

Betere dienstverlening door eigen verantwoordelijkheid. Stop met procesgericht ICT-beheer! Betere dienstverlening door eigen verantwoordelijkheid Stop met procesgericht ICT-beheer! Agenda 19.00 Welkom 19.05 Terugblik op presentatie Service managersdag 2011 19.30 Gelaagdheid in dienstverlening

Nadere informatie

Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige

Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige Test naam Marktgerichtheidsscan Datum 28-8-2012 Ingevuld door Guest Ingevuld voor Het team Team Guest-Team Context Overige Klantgerichtheid Selecteren van een klant Wanneer u hoog scoort op 'selecteren

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

DHM Security Management

DHM Security Management - 1 Introductie DHM Security Management DE HAAGSE METHODIEK INSPECTIE BODIES ADVISEUR/ CONSULTANT PART.RECH. BURO PAC ICT & INF SECURITY POLITIE GWT PBO FABRIKANT BOUWKUNDIG INSTALLATEUR ALARM INSTALLATEUR

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

Van idee tot ICT Oplossingen

Van idee tot ICT Oplossingen Van idee tot ICT Oplossingen Het A utomatiseren B eheren C ontroleren van Informatie Systemen Historie Parnassia Groep Parnassia: fusie organisatie 1999 2 Psychiatrische ziekenhuizen Verslavingszorg Zuid

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

Zero Based Begroten. De andere kant van de kaasschaafmethode

Zero Based Begroten. De andere kant van de kaasschaafmethode Zero Based Begroten De andere kant van de kaasschaafmethode Je moet de tijd nemen voor Zero Based Begroten, en je moet lef hebben Zero Based begroten legt een duidelijke relatie tussen de doelstellingen,

Nadere informatie

Portfoliomanagement. Management in Motion 7 maart 2016

Portfoliomanagement. Management in Motion 7 maart 2016 Portfoliomanagement Management in Motion 7 maart 2016 PMO Institute Julianalaan 55 3761 DC Soest I: www.pmoinstitute.com I: www.thinkingportfolio.nl E: info@pmoinstitute.com Tjalling Klaucke E: tj.klaucke@pmoinstitute.com

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

Service van begin tot eind. De kwaliteit en service van Business Volume Service (BVS)

Service van begin tot eind. De kwaliteit en service van Business Volume Service (BVS) Service van begin tot eind De kwaliteit en service van Business Volume Service (BVS) INHOUD 1 VOORWOORD 2 MISSIE BVS 3 KWALITEITSBELEID 4 ORGANISATIESTRUCTUUR 5 HET KWALITEITSSYSTEEM 5.1 NORMEN 5.2 ELEMENTEN

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Ons kenmerk C100/05.0016522. Aantal bijlagen 1

Ons kenmerk C100/05.0016522. Aantal bijlagen 1 Directie Bestuur & Organisatie Directie Algemeen Aan de Commissie AB Korte Nieuwstraat 6 65 PP Nijmegen Telefoon (024) 329 9 Telefax (024) 329 22 92 E-mail gemeente@nijmegen.nl Postadres Postbus 905 6500

Nadere informatie

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen Management van IT Han Verniers PrincipalConsultant Han.Verniers@Logica.com Logica 2008. All rights reserved Programma Management van IT Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

Inkopen van ICT. Inkopen Complexe Techniek? 20 april 2009

Inkopen van ICT. Inkopen Complexe Techniek? 20 april 2009 : Inkopen Complexe Techniek? 20 april 2009 Ir. Richard Heijne den Bak MTD Teamleider IT-inkoop/pakketselectie Mitopics Docent Nevi Inkoopacademie Inhoud Voorstellen Context IT-inkoop Omgaan met complexiteit

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Functiebeschrijving Teamleider Huisvesting (facilitair)

Functiebeschrijving Teamleider Huisvesting (facilitair) Functiebeschrijving Teamleider Huisvesting (facilitair) Groot Hoogwaak levert een professionele bijdrage aan het aanbod van woon-, zorg-, en welzijnsvoorzieningen voor ouderen in Noordwijk. Dit aanbod

Nadere informatie

> 2 INTRODUCTIES > HENK DUBBELMAN > ICT DIRECTEUR > GRAFISCH LYCEUM ROTTERDAM > JOHN ONION > PRINCIPAL ASSOCIATE > ARLANDE

> 2 INTRODUCTIES > HENK DUBBELMAN > ICT DIRECTEUR > GRAFISCH LYCEUM ROTTERDAM > JOHN ONION > PRINCIPAL ASSOCIATE > ARLANDE > 2 INTRODUCTIES 29 STE SAMBO-ICT CONFERENTIE - 16 JANUARI 2014 - DOETINCHEM > HENK DUBBELMAN > ICT DIRECTEUR > GRAFISCH LYCEUM ROTTERDAM > DUBBELMAN@GLR.NL > JOHN ONION > PRINCIPAL ASSOCIATE > ARLANDE

Nadere informatie

HANDBOEK ENERGIE- EN CO 2 - MANAGEMENTSYSTEEM EN16001 ISO 14064

HANDBOEK ENERGIE- EN CO 2 - MANAGEMENTSYSTEEM EN16001 ISO 14064 HANDBOEK ENERGIE- EN CO 2 - MANAGEMENTSYSTEEM EN16001 ISO 14064 VAN AANNEMINGSBEDRIJF GEBR. DE KONING B.V. Naam Functie Datum Paraaf Opstelling: A.P. Kleiberg KAM-coördinator 12-03-2010 Autorisatie: M.

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Project Portfolio Management Altijd en overal inzicht PMO

Project Portfolio Management Altijd en overal inzicht PMO Project Portfolio Management Altijd en overal inzicht PMO Een eenvoudige en toegankelijke oplossing Thinking Portfolio is een snel te implementeren software applicatie. Een krachtig web-based hulpmiddel

Nadere informatie

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken Leiderschap 1. De directie heeft vastgelegd en is eindverantwoordelijk voor het

Nadere informatie

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis > Retouradres Postbus 90700 2509 LS Den Haag Ziekenhuis St. Jansdal xxxx, Raad van Bestuur Postbus 138 3840 AC HARDERWIJK Werkgebied Zuidwest Wilh. van Pruisenweg 52 Den Haag Postbus 90700 2509 LS Den

Nadere informatie

Waarom kiest Agis Zorgverzekeringen voor projectmatig werken?

Waarom kiest Agis Zorgverzekeringen voor projectmatig werken? Waarom kiest Agis Zorgverzekeringen voor projectmatig werken? Monique te Velthuis Agis Zorgverzekeringen Ontstaan in 1999 na fusie tussen zorgverzekeraars Anova, Anoz en ZAO 1,8 miljoen ziekenfonds en

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Dashboard module Klachtenmanagement 2012

Dashboard module Klachtenmanagement 2012 Dashboard module Klachtenmanagement 0 Onderstaande beschrijving omvat een toelichting en de kenmerken die tot een hoge score leiden in de module Klachtenmanagement van het Klantbelang Dashboard. Dit is

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Een framework voor applicatiebeheer

Een framework voor applicatiebeheer Een framework voor applicatie Mark Smalley ASL-Foundation www.aslfoundation.org SPIder, Utrecht, 10 juni 2003 Agenda Positionering applicatie Wat is ASL Waarom ASL Hoe ziet ASL eruit Samenwerking domeinen

Nadere informatie

HORA als instrument voor (IT) governance bij Hogeschool Utrecht

HORA als instrument voor (IT) governance bij Hogeschool Utrecht HORA als instrument voor (IT) governance bij Hogeschool Utrecht Daniël van Winsum Enterprise Architect Hogeschool Utrecht NGI, 31 oktober 2013 IT Governance bij veranderingen PPM Security Architectuur

Nadere informatie

Beheersing van risico s en controls in ICT-ketens

Beheersing van risico s en controls in ICT-ketens Beheersing van risico s en controls in ICT-ketens Samenvatting Modellen voor beheersbaarheid en assurance zijn tot dusver intraorganisatorisch van aard. Doordat ICT zich niet beperkt tot de grenzen van

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Projectmanagement De rol van een stuurgroep

Projectmanagement De rol van een stuurgroep Projectmanagement De rol van een stuurgroep Inleiding Projecten worden veelal gekenmerkt door een relatief standaard projectstructuur van een stuurgroep, projectgroep en enkele werkgroepen. De stuurgroep

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

Geef handen en voeten aan performance management

Geef handen en voeten aan performance management Geef handen en voeten aan performance management De laatste jaren is het maken van concrete afspraken over de ICT-serviceverlening steeds belangrijker geworden. Belangrijke oorzaken hiervoor zijn onder

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Functieprofiel: Beleidsmedewerker Functiecode: 0301

Functieprofiel: Beleidsmedewerker Functiecode: 0301 Functieprofiel: Beleidsmedewerker Functiecode: 0301 Doel Ontwikkelen, implementeren, evalueren en bijstellen van beleid op één of meerdere aandachtsgebieden/beleidsterreinen ten behoeve van de instelling,

Nadere informatie

HP ITSM Assessment Services HP Services

HP ITSM Assessment Services HP Services HP ITSM Assessment Services HP Services Uit HP s ervaring met duizenden enterprise-klasse IT-omgevingen blijkt dat periodieke evaluaties essentieel zijn voor uw operationele succes. U dient de juiste serviceniveaus

Nadere informatie

Incore Solutions Learning By Doing

Incore Solutions Learning By Doing Incore Solutions Learning By Doing Incore Solutions Gestart in November 2007 Consultants zijn ervaren met bedrijfsprocessen en met Business Intelligence Alle expertise onder 1 dak voor een succesvolle

Nadere informatie

Stappenplan certificering van de MVO Prestatieladder en de CO 2 -Prestatieladder. Datum: 18-08-2011 Versie: 02

Stappenplan certificering van de MVO Prestatieladder en de CO 2 -Prestatieladder. Datum: 18-08-2011 Versie: 02 Stappenplan certificering van de MVO Prestatieladder en de CO 2 -Prestatieladder Datum: 18-08-2011 Versie: 02 Opgesteld door: ing. N.G. van Moerkerk Inhoudsopgave Opbouw niveaus van de MVO Prestatieladder

Nadere informatie