Raamwerk voor ontwikkeling normenstelsels en standaarden

Transcriptie

1 3Studierapport 3 Raamwerk voor ontwikkeling normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening de beroepsorganisatie van IT-auditors

2 Ter nagedachtenis aan Joop Bautz: een bevlogen IT-auditor 2 NOREA STUDIERAPPORT 3

3 Raamwerk voor ontwikkeling normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening December 2002

4 Raamwerk voor ontwikkeling Normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening Een rapport van de NOREA-commissie Normen en Standaarden H. de Zwart RE RA RO (voorzitter) L. Annokkée RE Drs. B.H. Brekhof RE RA Ir. J.W. de Heer RE Drs. W.J.A. Olthof (secretaris) Drs. A.R. Spath RE RA ISBN-nr Copyright NOREA de beroepsorganisatie van IT-auditors Behoudens uitzonderingen door de wet gesteld mag zonder schriftelijke toestemming van de rechthebbende(n) op het auteursrecht, c.q. de uitgeefster van deze uitgave, door rechthebbende(n) gemachtigd namens hem (hen) op te treden, niets uit deze uitgaven worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of anderszins, hetgeen ook van toepassing is op de gehele of gedeeltelijke bewerking. De uitgeefster is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor kopiëren, als bedoeld in artikel 17 lid 2, Auteurswet 1912 en het KB van 20 juni 1974 (Stb. 351) ex artikel 16b, Auteurswet 1912, te innen en/of daartoe in en buiten rechte op te treden. All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of the publicer. 4 NOREA STUDIERAPPORT 3

5 Inhoudsopgave Voorwoord DEEL I: Inleiding en samenvatting I.1 Inleiding I.2 Taakopdracht CNS en werkwijze I.3 Begrippen I.4 Doelstellingen NOREA-normenstelsels I.5 Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels I.6 Opbouw studierapport DEEL II: Model en voorbeelden II.1 Model NOREA-normenstelsel met toelichting II.2 Voorbeelden NOREA-normenstelsels II.2.1 Informatiebeleid II.2.2 E-business-to-business DEEL III: Achtergronden III.1 Indeling vakgebied, kwaliteit en kwaliteitsaspecten III.1.1 Indeling vakgebied III.1.2 Kwaliteit III.1.3 Kwaliteitsaspecten III.2 Scope NOREA-normenstelsel III.2.1 Terreinafbakening en begrippenkader III.2.2 Uitgangspunten III.2.3 Metanormen III.3.1 Keuze te normeren objecten III.3.2 Formuleren normenstelsel III.3.3 Kwaliteitsniveau normenstelsels III.4 Gebruik van de NOREA-normenstelsels III.4.1 Plaats van het NOREA-normenstelsel in het auditproces III.4.2 Functie van de NOREA-normenstelsels III.4.3 Ontwikkeling van een auditspecifiek normenstelsel III.5 Beginselen behoorlijk IT-gebruik III.5.1 Juridisch perpectief III.5.2 Audit perspectief DEEL IV: Ontwikkeling normen IV.1 Instructie ontwikkeling toetsingnormen IV.1.1 Interpretatie taakopdracht IV.1.2 Verkenning en literatuurstudie IV.1.3 Review- en goedkeuringsprocedure IV.1.4 Permanente educatie IV.2 Mogelijke onderwerpen voor normen BIJLAGE B.1 Geraadpleegde literatuur 5 NOREA STUDIERAPPORT 3

6 6 NOREA STUDIERAPPORT 3

7 Voorwoord Het is het bestuur van NOREA de beroepsorganisatie van IT-auditors een genoegen u hierbij het Studierapport Raamwerk voor de ontwikkeling van normenstelsels en standaarden een facilitair instrument bij de beroepsuitoefening van de Commissie Normen en Standaarden te kunnen aanbieden. Dit rapport bevat een raamwerk waarmee op een gestructureerde wijze NOREA-normenstelsels kunnen worden ontwikkeld. In dit rapport zijn bij wijze van voorbeeld voor twee objecten normenstelsels uitgewerkt. Normen vormen een essentieel element in de gereedschapskist van de IT-auditor. In uitingen zal de IT-auditor zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. De objecten waar de IT-auditor zich op richt, zijn al jaren onderhevig aan veel innovatieve ontwikkelingen en aanpassingen van bestaande technologieën, methoden en technieken. Deze ontwikkelingen zijn van invloed op aanwezige en/of nieuwe IT-toepassingen door organisaties. Het management moet daarbij keuzes maken over de inhoud van deze toepassingen en de kwaliteitseisen waaraan ze moeten voldoen. De hiervoor geschetste complexiteit in combinatie met de rol die organisaties willen spelen, leiden ertoe dat voor veel objecten (nog) geen algemeen toepasbare normenstelsels kunnen worden ontwikkeld. Daarom volstaat de NOREA met het definiëren van normen die onder gangbare omstandigheden voldoen aan het beginsel van behoorlijk IT-gebruik. Het toesnijden van de NOREAnormen op het object van onderzoek moet door de IT-auditor in het veld plaatsvinden en worden gemotiveerd in het auditdossier. Bij de ontwikkeling van de NOREA-normenstelsels wordt als kanttekening geplaatst dat het, in relatie tot het in de vorige alinea s gestelde, een illusie is te veronderstellen dat een, alle objecten omvattende, actuele set NOREA-normenstelsels kan worden ontwikkeld. Ook de NOREA moet keuzes maken! Voor die keuzes, het reageren op de inhoud van dit studierapport en de ontwikkeling van NOREAnormenstelsels doet het bestuur een beroep op de leden. Ook lezers buiten deze kring worden daarvoor van harte uitgenodigd. Transparantie over de bij IT-audits gehanteerde uitgangspunten is een terechte eis van de opdrachtgever en lezer van de uiting. Deze transparantie, in combinatie met de hiervoor geschetste problematiek rondom de objecten, hebben het bestuur doen besluiten de NOREA-normenstelsels na een interne green paper procedure als white paper op het vrij toegankelijke deel van de NOREA-website te plaatsen en van toepassing te verklaren op uit te voeren IT-audits. Ten slotte wil het bestuur de leden van de Commissie Normen en Standaarden danken voor de grote inzet die zij hebben getoond bij het opstellen van dit rapport. Bestuur NOREA December NOREA STUDIERAPPORT 3

8 8 NOREA STUDIERAPPORT 3

9 Deel I : Inleiding en samenvatting I.1 Inleiding Het Bestuur van NOREA, de beroepsorganisatie van IT-auditors, is voorstander van het inzichtelijk maken van de normen en standaarden die bij IT-audits worden gebruikt. Als eerste stap daartoe is in 1999 de Commissie Normen en Standaarden (CNS) ingesteld. Na een fundamentele bezinning op de taakopdracht heeft de commissie, in overleg met het NOREA-bestuur, besloten om een raamwerk te schetsen voor het consistent opstellen van IT-object 1 georiënteerde NOREA-normenstelsels. Deze NOREA-normenstelsels zijn voor de leden faciliterend bij de beroepsuitoefening en vormen voor het management van de opdrachtgevers een handreiking die gebruikt kan worden bij de invulling van IT-governance. I.2 Taakopdracht CNS en werkwijze De CNS heeft een conceptueel model opgesteld dat voor in te stellen werkgroepen als leidraad dient voor de ontwikkeling van NOREA-normenstelsels. Een belangrijk uitgangspunt waaraan het model voldoet is dat bestaande en in brede kring in de praktijk gebruikte normeringen in het model kunnen worden ingepast. Dit uitgangspunt is gekozen omdat de NOREA in principe afziet van het ontwikkelen van eigen normen en standaarden en in plaats daarvan heeft gekozen voor het ontsluiten van in de literatuur beschikbare normen en standaarden via een model. Op basis van het door de CNS ontwikkelde model kunnen werkgroepen de feitelijke toetsingsnormen voor diverse IT-objecten concipiëren. De CNS benadrukt, gezien het gekozen uitgangspunt, dat met behulp van het gepresenteerde model door de werkgroepen bij het opstellen van normenstelsels zoveel mogelijk de relatie moet worden gelegd met in de praktijk gebruikte referentiekaders, zoals o.a.: NOREA-geschrift No 1: IT-auditing aangeduid; de Code voor Informatiebeveiliging: 2000 (ISO 17799); de Control Objectives for Information and Related Technology (CobiT); de IT Infrastructure Library (ITIL); de Common Criteria voor evaluatie van beveiliging van informatietechnologie (CC); de ISO 9000-familie. I.3 Begrippen In dit rapport worden onder meer de volgende begrippen gehanteerd: Norm: een richtpunt waaraan een specifiek onderdeel van het auditobject moet voldoen. In die zin is een norm te beschouwen als de meest gepreciseerde eenheid van toetsing. Daarbij moet worden bedacht dat op een auditobject doorgaans meerdere normen van toepassing zijn. Normenstelsel: het objectspecifieke samenstel van normen. Metanorm: een norm waaraan het normenstelsel zelf moet voldoen. Standaard: een door gezaghebbende instanties geadopteerd normenstelsel. Kwaliteitsaspect: een invalshoek of eigenschap waarover met betrekking tot een object een oordeel wordt uitgesproken. 1 Waar in dit raamwerk sprake is van informatie technologie (IT) wordt daaronder mede begrepen de informatie communicatie technologie (ICT) 9 NOREA STUDIERAPPORT 3

10 Beheersingsmaatregel: een handeling die beoogt de realisering van een of meer kwaliteitsaspecten te waarborgen. Object: elk in de dagelijkse praktijk voorkomend proces dat of voorkomende procesuitkomst die op zichzelf of in combinatie met één of meer andere processen en/of procesuitkomsten onderwerp van een auditopdracht kan zijn. Op dit moment is nauwelijks sprake van breed gedragen normenstelsels. Daarom wordt in dit raamwerk gesproken over NOREA-normen(stelsels). I.4 Doelstellingen NOREA-normenstelsels De NOREA beoogt met het ontwikkelen van NOREA-normenstelsels het volgende te bereiken: Het leveren van een bijdrage aan het management bij het concretiseren van IT-governance. Het bijdragen aan een beter inzicht bij de opdrachtgevers en andere belanghebbenden in de wezenlijke betekenis van de bij de audit te hanteren toetsingsnormen. Het bevorderen van een goede communicatie tussen de opdrachtgevers, andere belanghebbenden en de IT-auditor. Het verhogen van het objectieve gehalte van de IT-audit, hetgeen zowel voor de opdrachtgevers en andere belanghebbenden, als voor de IT-auditor van belang is. Het ondersteunen van de IT-auditor bij de onafhankelijke uitoefening van zijn/haar taak. I.5 Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels Tijdens het opstellen van het raamwerk zijn door de CNS de volgende uitgangspunten onderkend: Het ontwikkelen van opdrachtgerichte normenstelsels is om redenen van diversiteit in mogelijke IT-auditopdrachten en omgevingsfactoren niet haalbaar. Het ontwikkelen van algemeen toepasbare normenstelsels voor de toetsing van IT-objecten is dan ook een onrealistische doelstelling. Daarom is gekozen voor een objectgerichte benadering. Een IT-object behoort duidelijk en ondubbelzinnig te worden afgebakend en gedefinieerd. Het voor het IT-object op te stellen normenstelsel met toetsingsnormen moet een handzame ondersteuning bieden bij de beroepsuitoefening, zowel gericht op de attest- als adviesfunctie. De afbakening en definiëring van het object moeten daarom bij de gangbare praktijk aansluiten. Voorbeelden van objecten waarvoor NOREA-normenstelsels kunnen worden ontwikkeld zijn opgenomen in paragraaf IV.2 De IT-auditor moet op basis van de specifieke eigenschappen van een IT-object een concreet normenstelsel met toetsingsnormen formuleren. Daarbij moet rekening worden gehouden met: basisnormen zoals normatieve maatschappelijke verwachtingen, branchespecifieke wetgeving, voorschriften en aanwijzingen, contractuele verplichtingen (zie III.4.3). Dit raamwerk is gericht op het ontwikkelen van deze basisnormen; het invullen van de basisnormen op het niveau van de metanorm behoorlijk IT-gebruik (Franken, 1997 zie III.5). Het begrip behoorlijk IT-gebruik wordt voor het niveau van NOREA-normenstelsels als uitgangspunt gehanteerd; aanvullende normen die zijn gerelateerd aan specifieke, aan de (bedrijfs)huishouding of (IT-) technologieën ten grondslag liggende bedreigingen- en kosten-/batenanalyses. Het specifieke karakter van deze aanvullende normen maakt een eenduidige invulling per definitie onmogelijk en valt daarmee buiten de scope van dit raamwerk. De NOREA-normenstelsels worden daarom gedefinieerd op het niveau van behoorlijk IT-gebruik. Dit niveau ligt boven het wettelijk minimumniveau, het niveau dat op grond van wettelijke bepalingen ten minste is vereist. De gebruikelijke arbitraire driedeling (bijvoorbeeld laag, middel, hoog) wordt daarom niet toegepast. Het onderscheid tussen kwaliteitsaspecten voor processen en product (procesuitkomsten) en de 10 NOREA STUDIERAPPORT 3

11 daaraan gerelateerde ingezette dan wel in te zetten middelen wordt uit het oogpunt van eenvoud niet aangebracht. Zoveel mogelijk moet aansluiting worden gezocht bij in de praktijk in brede kring gebruikte referentiekaders (zie I.2). Het ontsluiten van de toetsingsnormen vereist inzicht in een aantal onderdelen dat het IT-object definieert. Het NOREA-normenstelsel volgens het CNS-model onderkent de volgende onderdelen (zie II.1): 1. de definiëring van het object; 3. de afbakening van het object; 4. de NOREA-definitie van het object; 5. de in gebruik zijnde alternatieve definities van het object; 6. de relatie met de in NOREA-geschrift No 1 aangeduide objecten; 7. de doelstelling/functie van het object 8. de omgevingsfactoren die op het object van toepassing kunnen zijn; 9. de relatie met mogelijke IT-auditopdrachten; 10. de basisnormen waaraan het object in elk geval moet voldoen; 11. de kwaliteitsaspecten die op het object van toepassing zijn; 12. de inherente bedreigingen waaraan het object onderhevig kan zijn; 13. het feitelijke normenstelsel in de vorm van een matrix waarin per norm de relatie met de kwaliteitsaspecten wordt gelegd; 14. een opgave van de gebruikte referentiekaders (bronnen). Het model maakt het voor de NOREA-organisatie mogelijk toetsingsnormen voor IT-objecten op te bouwen en te onderhouden. Daarvoor wordt een beroep op leden en aspirant-leden gedaan die mits goed ingewerkt binnen het object relatief snel een invulling kunnen geven aan het NOREA-normenstelsel voor het betreffende object of de aanpassing daarvan. De NOREA-website vervult een functie bij de ontwikkeling van de NOREA-normenstelsels volgens het te presenteren model. I.6 Opbouw studierapport De doelstelling van dit raamwerk is werkgroepen een leidraad te verschaffen voor het ontsluiten van bestaande normen. Dit raamwerk is daartoe, na deze inleiding en samenvatting (deel I), onderverdeeld in vier delen: Deel II: Model en voorbeelden een praktische handreiking. Deze handreiking bestaat uit de volgende onderdelen: II.1 Model NOREA-normenstelsel met toelichting II.2 Voorbeelden NOREA-normenstelsels: Deel III: Achtergrond een theoretische onderbouwing. Deze onderbouwing bestaat uit de volgende onderdelen: III.1 Indeling objecten, kwaliteit en kwaliteitsaspecten III.2 Scope NOREA-normenstelsel: terreinafbakening en begrippenkader, het definiëren van uitgangspunten en eisen die voortvloeien uit de metanormen. III.3 Ontwikkeling NOREA-normenstelsels: keuze van de te normeren objecten, het formuleren van het normenstelsel, de wijze waarop die kunnen worden samengesteld, het kwaliteitsniveau van uitwerking gerelateerd aan het begrip behoorlijk IT-gebruik. III.4 Gebruik NOREA-normenstelsels: de relatie met het auditproces, de functie van normen en de ontwikkeling van een auditspecifiek normenstelsel van uit het juridische- en auditperspectief. III.5 Beginselen behoorlijk IT-gebruik: een nadere uitwerking. III.6 Geraadpleegde literatuur. 11 NOREA STUDIERAPPORT 3

12 Deel IV: Ontwikkeling normen de wijze waarop normen worden ontwikkeld. In deel bestaat uit de volgende onderdelen: IV.1 Instructie werkgroepen. IV.2 Mogelijke onderwerpen voor normen. Bijlage B.1 Geraadpleegde literatuur. 12 NOREA STUDIERAPPORT 3

13 DEEL II: Model en voorbeelden II.1 Model NOREA-normenstelsel met toelichting Om een uniforme uitwerking van de NOREA-normenstelsels te bevorderen heeft de commissie een vaste indeling bepaald. Het is de bedoeling dat de werkgroepen uiteindelijk het resultaat van hun inspanningen in overeenstemming met deze indeling vastleggen: Onderdelen normenmodel Toelichting 1 IT-object Een in de dagelijkse praktijk herkenbaar onderdeel van het werkterrein. 2 Afbakening De praktijk leert dat afhankelijk van de afbakening, scope en reikwijdte van een object niet alle aspecten even relevant zijn. Daarom moet per object worden aangegeven welk aspect of welke aspecten primair op een object van toepassing zijn en wat de relatie met andere objecten is. 3 NOREA-definitie Voorkeurdefinitie aangeven. 4 Alternatieve definities Meerdere definities (evenals bronvermeldingen) worden vermeld, waarmee wordt beoogd dat de IT-auditor een definitie kan hanteren die aansluit bij het begrippenkader van de opdrachtgever/belanghebbende. 5 Relatie relevante referentiekaders De relatie met ten minste de volgende referenties moet worden gelegd: NOREA-geschrift No 1: de benoemde objecten; CobiT Code Informatiebeveiliging; SDM; ITIL; Common Criteria; ISO 9000-familie. 6 Doelstelling(en) object De doelstellingen van het object worden gedefinieerd uitgaande van de meest gebruikte omstandigheden. 7 Omgevingsfactoren Aangeven van welke relevante omgevingsfactoren is uitgegaan bij het bepalen van het niveau van behoorlijk IT-gebruik. 8 Relatie IT-auditopdracht Het schetsen van de meest voorkomende opdracht waarbinnen het normenkader wordt toegepast. 9 Basisnormen Randvoorwaardelijke normen, d.w.z. normen waaraan zonder meer moet worden voldaan om een beoordeling van het object mogelijk te maken. 10 Kwaliteitsaspecten Keuze van relevante aspecten III.1.3. Specifieke aspecten moeten worden gerelateerd aan de opgesomde. Het weglaten van aspecten moet worden gemotiveerd. 11 Bedreigingen Te relateren aan de kwaliteitsaspecten III Normenstelsel Het normenkader moet worden ingevuld op het niveau van behoorlijk IT-gebruik. Met dit begrip wordt bedoeld dat de normen zich bevinden op het meest gangbare niveau zoals dat in de praktijk wordt toegepast. Het feitelijk toe te passen normenstelsel wordt bepaald uit de mix van het IT-domein, het bedrijfsdomein en de te hanteren kwaliteitsaspecten in relatie tot de bedreigingen. 13 Referentiekaders (bronnen) Opsomming relevante literatuur en artikelen met vermelding van vindplaats. 13 NOREA STUDIERAPPORT 3

14 II.2 Voorbeelden NOREA-normenstelsels II.2.1 Informatiebeleid Dit NOREA-normenstelsel is een facilitair instrument voor het definiëren van kwaliteitsaspecten en beheersingsmaatregelen op het niveau van behoorlijk IT-gebruik. Deze norm is gebaseerd op literatuur over dit onderwerp. De feitelijk bij een onderzoek te hanteren normering moet worden toegesneden op het object van onderzoek, de omgeving waarbinnen het object operationeel is en het geldende kwaliteitsniveau voor het IT-gebruik. II IT-object Eisen in de zin van verplichte onderwerpen - informatiebeleid II Afbakening Informatiebeleid is de basis voor het nemen van beslissingen op IT-gebied en dus op te vatten als een sturingsinstrument. Informatiebeleid omvat in theorie ook de niet-geautomatiseerde informatievoorziening. De informatievoorziening is de wijze waarop het vastleggen, verwerken en voorzien van informatie in een organisatie is ingericht. In de context van deze NOREA-norm wordt het begrip informatiebeleid echter enkel bezien vanuit de geautomatiseerde informatievoorziening. Informatiebeleid is te beschouwen als een onderdeel van het automatiseringsbeleid, waartoe bijvoorbeeld ook processystemen of onderdelen daarvan behoren. Tot het informatiebeleid wordt in de context van deze NOREA-norm ook het informatiebeveiligingsbeleid gerekend. Dit neemt niet weg dat in de praktijk het informatiebeveiligingsbeleid vaak als een afzonderlijk beleidsveld wordt behandeld. Informatiebeveiligingsbeleid is beleid dat zich specifiek richt op de kwaliteitsaspecten integriteit, exclusiviteit en beschikbaarheid van de informatie, en laat voor zover er geen verband met beveiliging is, de kwaliteitsaspecten effectiviteit en efficiency buiten beschouwing. II NOREA-definitie Informatiebeleid is het geheel van doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan met informatie binnen een organisatie en voor de organisatie van de informatievoorziening zelf (NOREA, 1998). II Alternatieve definities Informatiebeleid is het geheel van doelstellingen, randvoorwaarden en uitgangspunten voor de inzet van informatietechnologie in een organisatie, in het bijzonder voor (bestuurlijke) informatiesystemen (Bemelmans, 1991). Informatiebeleid omvat de doelen, middelen, wegen en prioriteiten om de informatievoorziening te ontwikkelen en te beheren (Van der Molen, 1998). Een concrete en consistente visie van het management van een organisatie ten aanzien van de hoofdlijnen die bij de inrichting van de gewenste informatiehuishouding in de overzienbare toekomst in acht moet worden genomen. (Hopstaken & Kranendonk, 1991). Een informatiebeleid geeft de uitgangspunten en randvoorwaarden voor een toekomstige informatievoorziening (Theeuwes, 1990). 14 NOREA STUDIERAPPORT 3

15 II Relatie relevante referentiekaders NOREA-geschrift No 1: Informatiebeleid is de uitkomst van het proces informatiebeleidsvorming welk proces als afzonderlijk object, vallend binnen het domein informatiestrategie is benoemd. Bij het object informatiebeleidsvorming is in NOREA-geschrift No. 1 (1998) de volgende toelichting opgenomen: Het product van dit proces is het informatiebeleid. Dit bevat: uitgangspunten; randvoorwaarden (waaronder beschikbare middelen); te vervullen functies door informatietechnologie (IT); inrichting van de IT-organisatie; globale aanduiding technische infrastructuur; beleid ten aanzien van maatwerk en standaardpakketten. Het vaststellen van het informatiebeleid is de bevoegdheid van het algemeen management. Een goed informatiebeleid laat de geformuleerde doelstellingen aansluiten bij de doelstellingen van de organisatie en maakt optimaal gebruik van de mogelijkheden die de informatietechnologie biedt. CobiT: Het informatiebeveiligingsbeleid maakt onderdeel uit van de actie Define a Strategic Information Technology Plan in het domein Planning and Organisation. Daarbij wordt aandacht geschonken aan: enterprise business strategy, definition of how IT supports the business objectives, inventory of technological solutions and current infrastructure, monitoring the technology market, timely feasability studies and reality checks, existing system assessments, enterprise position on risk, time-to-market, quality, need for senior management buy-in, support and critical review. Code Informatiebeveiliging: Het informatiebeveiligingsbeleid is te beschouwen als een subset van het informatiebeleid. Dit beleid moet aandacht schenken aan: definitie, doelstellingen, reikwijdte en belang van informatiebeveiliging, intenties van management ter ondersteuning van de doelstellingen en principes van informatiebeveiliging, toelichting op de beleidsmaatregelen, principes, normen en nalevingseisen, omschrijving van verantwoordelijkheden voor management, verwijzingen naar documentatie die het beleid ondersteunt. SDM: SDM behandelt de gehele levenscyclus van een informatiesysteem. SDM is een hulpmiddel voor management, gebruikers en informatici ten behoeve van: het plannen, ontwikkelen en beheren van informatiesystemen; het besturen en organiseren van daarmee samenhangende projecten door systeemontwikkeling op te splitsen in hanteerbare, overzichtelijke delen; het inrichten van project- en systeemdocumentatie. Het realiseren van deze doelstellingen van SDM moet zijn gebaseerd op het gedefinieerde informatiebeleid. Expliciete eisen voor dat beleid zijn in SDM niet geformuleerd. 15 NOREA STUDIERAPPORT 3

16 ITIL: De doelstelling van ITIL is het op basis van best practices definiëren van een efficiënte en economische inzet van IT-middelen, gerelateerd aan 12 processen. Het beleid waarop deze processen zijn geënt is niet uitgewerkt in ITIL. Het informatiebeleid komt op operationeel niveau het meest naar voren in het proces security management. Common Aspecten: De Common Aspecten behandelen onderwerpen die specifiek betrekking hebben op beveiligingsaspecten. De inhoud van en de wijze waarop het generieke niveau wordt bepaald waaraan deze beveiligingsaspecten moeten voldoen, is niet beschreven in deze aspecten ISO-9000 kwaliteitssysteem: De organisatie moet in overeenstemming met de eisen van de internationale ISO-9000 norm, het kwaliteitssysteem opzetten, documenteren, invoeren en onderhouden en ook de doeltreffendheid ervan continue verbeteren. Het ISO-9000 kwaliteitssysteem formuleert geen expliciete eisen voor het te definiëren informatiebeleid. II Doelstellingen informatiebeleid Doelstellingen van het informatiebeleid zijn: afstemming van de informatievoorziening met de eisen die vanuit de bedrijfsstrategie worden gesteld; verbetering van de effectiviteit en efficiency van de informatievoorziening, bijdragend tot verbetering van de effectiviteit van de bedrijfsvoering in het algemeen; optimale benutting van nieuwe informatietechnologie; doelmatige organisatiestructuur voor de informatievoorziening; afstemming met het personeelsbeleid om tijdig personeel ter beschikking te krijgen die de kennis en kunde heeft om de informatietechnologische mogelijkheden te benutten; afstemming met het financiële beleid om tijdig eventuele beperkingen te onderkennen en te bezien in hoeverre het aanvankelijk uitgestippelde informatiebeleid aanpassing behoeft. II Omgevingsfactoren Ontwikkelingen betreffende de eveneens tot het domein van de informatiestrategie (NOREA, 1998) behorende objecten: informatie-architectuur, interne en externe afstemming en research kunnen redenen zijn om het informatiebeleid te evalueren en zo nodig bij te stellen, dan wel om het informatiebeleidsvormingsproces opnieuw te doorlopen. Het object informatieplanning, dat ook deel uitmaakt van het domein informatiestrategie, is een meer operationeel gerichte uitwerking van het informatiebeleid. Aanleidingen voor een heroriëntatie op het informatiebeleid kunnen zijn (met inbegrip van de in de vorige alinea aangeduide ontwikkelingen): technische ontwikkelingen (het verbeteren van de strategische positie en/of het realiseren van kostenbesparingen); stringentere eisen die leveranciers en afnemers aan de informatiebeveiliging stellen (bijvoorbeeld implementatie van de Code voor informatiebeveiliging en zelfs certificering op basis van de Code); wijzigingen in de wet- en regelgeving (privacywetgeving, Wet computercriminaliteit, Voorschrift informatiebeveiliging rijksdienst, Auteurswet, ARBO-wet e.d.); stringentere milieueisen (verboden gebruik van bepaalde materialen en brandblusmiddelen); toenemende of afnemende beschikbaarheid van personele en financiële middelen; uitkomsten van evaluaties en risicoanalyses; wijzigingen in het maatschappelijk normbesef. 16 NOREA STUDIERAPPORT 3

17 Het relatieve belang van het informatiebeleid is groter naarmate zich de volgende situaties (gaan) voordoen: de informatietechnologie is ingebed in de uitvoering van de primaire processen; de toepassing van informatietechnologie slokt een belangrijk deel van de middelen op; de organisatie beheert gevoelige gegevens (bedrijfsgeheimen, persoonsgegevens e.d.); het lager management heeft geen affiniteit met informatietechnologie; het over en weer koppelen van de eigen processen met de processen bij klanten en/of leveranciers (EDI-toepassingen). Het relatieve belang van het informatiebeleid behoort tot uitdrukking te komen in de betrokkenheid van de leiding van de organisatie, de inrichting van het proces en de beheersing daarvan, en in de concreetheid van de beleidsregels. II Relatie met IT-auditopdrachten Bij het object informatiebeleid kan worden gedacht aan opdrachten als: het beoordelen van de toereikendheid van het informatiebeleid; het beoordelen van de opzet en de implementatie van de planningsprocessen, resulterend in het informatiebeleid; het beoordelen van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur, waarbij het informatiebeleid een afgeleide is van het bedrijfsbeleid, maar richtinggevend is voor de informatieplanning en de informatiearchitectuur. Vanuit het perspectief van de attestfunctie zal bij dergelijke opdrachten het accent op de formele aspecten liggen. Als de opdracht een meer materiële benadering vereist, tendeert de uitvoering van de opdracht naar de uitoefening van de adviesfunctie. Voorts is het informatiebeleid het vertrekpunt bij andere IT-audits vanwege het kaderstellende (normerende) karakter van het informatiebeleid. II Basisnormering Voor de uitvoering van een IT-auditopdracht betreffende het beoordelen van de toereikendheid van het informatiebeleid, is de enige voorwaarde te kunnen beschikken over de laatste versie van het informatiebeleid. Het informatiebeleid hoeft geen door het algemeen management ondertekend document te zijn. Het is denkbaar dat het algemeen management voor de eventuele ondertekening van het informatiebeleid eerst het oordeel van een IT-auditor wil vernemen. Het normenstelsel (zie hierna) is in feite een opsomming van de onderwerpen die in het informatiebeleid behoren voor te komen. Bij de beoordeling van de opzet en de implementatie van de planningsprocessen geeft het normenstelsel aan wat de uitkomst van deze processen behoort te zijn. De in en rondom de processen getroffen beheersingsmaatregelen dienen redelijk zeker te stellen dat de beoogde uitkomst wordt gerealiseerd. Voor de uitvoering van een dergelijke opdracht is een beschrijving van de administratieve organisatie (organisatiestructuur, verdeling van taken, verantwoordelijkheden en bevoegdheden, processen, procedures, werkinstructies e.d.) een vereiste. Voor de beoordeling van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur is de beschikbaarheid van de genoemde documenten noodzakelijk. 17 NOREA STUDIERAPPORT 3

18 II Kwaliteitsaspecten Informatiebeleid raakt alle onderscheiden kwaliteitsaspecten. Voor de kwaliteitsaspecten effectiviteit en efficiency van de ingezette en in te zetten informatietechnologie heeft het management doorgaans een open oog. De kwaliteitsaspecten beschikbaarheid, integriteit en exclusiviteit, of onder één noemer gebracht de beveiligingsaspecten, spreken doorgaans minder tot de verbeelding van het management. Daardoor dreigt voortdurend het gevaar van onvoldoende aandacht voor de beveiligingsaspecten. Van de beveiligingsaspecten is doorgaans het kwaliteitsaspect beschikbaarheid voor het management nog het meest tastbaar. De ongestoorde voortgang van de (primaire) bedrijfsprocessen is direct afhankelijk van de beschikbaarheid van IT-voorzieningen. II Bedreigingen Op een hoog abstractieniveau zijn, toegespitst op de onderscheiden kwaliteitsaspecten, onder meer de volgende bedreigingen te onderkennen: Effectiviteit: - onvoldoende benutting van de mogelijkheden die de informatietechnologie biedt; - ontoereikende proces-, management- en verantwoordingsinformatie; Efficiency: - verspilling bij verwerving van ICT-componenten; - inefficiënte toepassing van informatietechnologie; Exclusiviteit: - manipulatie van gegevens al dan niet met frauduleuze bedoelingen; - verlies van gegevens door kwaadaardige virussen; - misbruik van IT-faciliteiten; Integriteit: - onjuiste besluitvorming; - onjuiste externe verantwoording; Controleerbaarheid: - onzekerheid over de integriteit van de proces-, management- en verantwoordingsinformatie; - hogere accountantskosten dan nodig; Continuïteit: - extra kosten door herstel van de bedrijfsprocessen; - verlies van omzet, winst en imago; Beheersbaarheid: - onvoldoende mogelijkheden om tijdig verbeteringen in de procesinrichting door te voeren; - onvoldoende mogelijkheden om tijdig de benodigde proces-, management- en verantwoordingsinformatie aan veranderde behoeften aan te passen; - onvoldoende mogelijkheden tot integratie (connectiviteit). 18 NOREA STUDIERAPPORT 3

19 II NOREA-normenstelsel In de onderstaande tabel zijn de aandachtspunten opgenomen waarover in een document informatiebeleid uitspraken terug te vinden behoren te zijn. Bij elk aandachtspunt is met de aanduiding de relatie met de onderkende relevante kwaliteitsaspecten weergegeven. NOREA-normenstelsel informatiebeleid Effectiviteit Efficiency Exclusiviteit Integriteit Controleerbaarheid Continuïteit Beheersbaarheid Consistent en coherent met de missie, de primaire doelstellingen van de organisatie en de beleidsvorming op andere terreinen. Vertrekpunt voor de opstelling van de informatieplanning (prioriteitsstelling, afstemming met de middelen, migratiepaden e.d.). Het hoogste management van de organisatie dient het informatiebeleid vast te stellen en het lagere management van het belang van dat beleid te doordringen. In het beleidsdocument dienen voor de hierna genoemde onderwerpen de doelstellingen, uitgangspunten en randvoorwaarden aan de orde te komen: - Apparatuur: - De keuze voor één of meer leveranciers op grond van overwegingen als gewenste concurrentie en spreiding van afhankelijkheid; - standaardisatierichtlijnen. - Programmatuur: - De keuze voor aanschaf van gemakkelijk aanpasbare programmatuur of zelf op maat ontwikkelen; - standaardisatierichtlijnen - Organisatie: - Centralisatie/decentralisatie: de keuze voor één centraal opererende organisatie of voor zelfstandig opererende organisatie-onder-delen die elk een eigen beleid kunnen hebben; - concentratie/deconcentratie: de keuze tussen het opstellen van computersystemen op één of enkele plaatsen (concentratie) of gespreide opstelling (deconcentratie); - organisatiestructuur, inclusief eventuele uitbesteding; - taken, verantwoordelijkheden, bevoegdheden, eigenaarschap informatiesystemen/ gegevens, rapportage(lijnen), inbedding planning- & controlcyclus, service level agreements. - Financiën: - het plafond van de investeringen en kosten van apparatuur, programmatuur en personeel; - de wijze waarop investeringsbeslissingen tot stand moeten komen; - kostenberekenings-/doorberekeningssystematiek. - Personeel: - de benodigde kwaliteit en aantallen; - richtlijnen voor het al dan niet inhuren van extern personeel; - human resource management. vervolg naar pag NOREA STUDIERAPPORT 3

20 NOREA-normenstelsel informatiebeleid (vervolg van pagina 19) Effectiviteit Efficiency Exclusiviteit Integriteit Controleerbaarheid Continuïteit Beheersbaarheid - Systeemontwikkeling en -onderhoud: - innovatie: verbetering van ontwikkelingsmethoden gericht op een verhoging van de productiviteit van ontwerpers en programmeurs; - participatie: inbreng van de gebruikers bij de aanschaf en/of ontwikkeling van applicatiesystemen; - prioriteiten: aspecten voor de prioriteitsstelling van ontwikkel- en veranderingsprojecten; - systeemontwikkelingsmethode: de keuze voor bepaalde methoden en technieken; - projectorganisatie en beheersing: de projectstructuur en het stelsel van beheersingsmaatregelen. - Informatiebeveiliging: - de wijze van risicomanagement (A&K-analyse, Code voor informatiebeveiliging, baseline-benadering); - omgaan met (vermeende) beveiligingsincidenten; - bevordering beveiligingsbewustzijn. - Evaluatie van het beleid en de beleidsimplementatie: - aard van de periodiek uit te voeren IT-audits (informatiestrategie, IM/IT-management, informatiesystemen, technische systemen, operationele ondersteuning); - uitvoering audits door internen en/of externen. II Bronnen Bemelmans, T.M.A. (1991), Bestuurlijke informatiesystemen en automatisering, Kluwer Bedrijfswetenschappen, Deventer/Stenfert Kroese B.V., Leiden. Hopstaken, B. & Kranendonk, A. (1991), Informatie-/automatiseringsplan: vier vensters op een complex fenomeen, Handboek EDP-auditing, B.4.1.2, Kluwer Bedrijfswetenschappen, Deventer Looijen, M. (1995), Beheer van informatiesystemen, Kluwer Bedrijfswetenschappen, Deventer. Molen, van der H-J. (1998), Orde ontstaat nooit spontaan, Computable NOREA (1998), NOREA-geschrift No 1 IT-auditing aangeduid, NOREA-Amsterdam. Roos Lindgreen, E.E.O., (1998), Corporate Information Security, Compact 1998/5, KPMG EDP Auditors, ten Hagen & Stam Uitgevers. Theewes, J.A.M. (1990), Informatieplanning, Kluwer Bedrijfswetenschappen, Deventer. 20 NOREA STUDIERAPPORT 3