Raamwerk voor ontwikkeling normenstelsels en standaarden

Maat: px
Weergave met pagina beginnen:

Download "Raamwerk voor ontwikkeling normenstelsels en standaarden"

Transcriptie

1 3Studierapport 3 Raamwerk voor ontwikkeling normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening de beroepsorganisatie van IT-auditors

2 Ter nagedachtenis aan Joop Bautz: een bevlogen IT-auditor 2 NOREA STUDIERAPPORT 3

3 Raamwerk voor ontwikkeling normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening December 2002

4 Raamwerk voor ontwikkeling Normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening Een rapport van de NOREA-commissie Normen en Standaarden H. de Zwart RE RA RO (voorzitter) L. Annokkée RE Drs. B.H. Brekhof RE RA Ir. J.W. de Heer RE Drs. W.J.A. Olthof (secretaris) Drs. A.R. Spath RE RA ISBN-nr Copyright NOREA de beroepsorganisatie van IT-auditors Behoudens uitzonderingen door de wet gesteld mag zonder schriftelijke toestemming van de rechthebbende(n) op het auteursrecht, c.q. de uitgeefster van deze uitgave, door rechthebbende(n) gemachtigd namens hem (hen) op te treden, niets uit deze uitgaven worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of anderszins, hetgeen ook van toepassing is op de gehele of gedeeltelijke bewerking. De uitgeefster is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor kopiëren, als bedoeld in artikel 17 lid 2, Auteurswet 1912 en het KB van 20 juni 1974 (Stb. 351) ex artikel 16b, Auteurswet 1912, te innen en/of daartoe in en buiten rechte op te treden. All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of the publicer. 4 NOREA STUDIERAPPORT 3

5 Inhoudsopgave Voorwoord DEEL I: Inleiding en samenvatting I.1 Inleiding I.2 Taakopdracht CNS en werkwijze I.3 Begrippen I.4 Doelstellingen NOREA-normenstelsels I.5 Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels I.6 Opbouw studierapport DEEL II: Model en voorbeelden II.1 Model NOREA-normenstelsel met toelichting II.2 Voorbeelden NOREA-normenstelsels II.2.1 Informatiebeleid II.2.2 E-business-to-business DEEL III: Achtergronden III.1 Indeling vakgebied, kwaliteit en kwaliteitsaspecten III.1.1 Indeling vakgebied III.1.2 Kwaliteit III.1.3 Kwaliteitsaspecten III.2 Scope NOREA-normenstelsel III.2.1 Terreinafbakening en begrippenkader III.2.2 Uitgangspunten III.2.3 Metanormen III.3.1 Keuze te normeren objecten III.3.2 Formuleren normenstelsel III.3.3 Kwaliteitsniveau normenstelsels III.4 Gebruik van de NOREA-normenstelsels III.4.1 Plaats van het NOREA-normenstelsel in het auditproces III.4.2 Functie van de NOREA-normenstelsels III.4.3 Ontwikkeling van een auditspecifiek normenstelsel III.5 Beginselen behoorlijk IT-gebruik III.5.1 Juridisch perpectief III.5.2 Audit perspectief DEEL IV: Ontwikkeling normen IV.1 Instructie ontwikkeling toetsingnormen IV.1.1 Interpretatie taakopdracht IV.1.2 Verkenning en literatuurstudie IV.1.3 Review- en goedkeuringsprocedure IV.1.4 Permanente educatie IV.2 Mogelijke onderwerpen voor normen BIJLAGE B.1 Geraadpleegde literatuur 5 NOREA STUDIERAPPORT 3

6 6 NOREA STUDIERAPPORT 3

7 Voorwoord Het is het bestuur van NOREA de beroepsorganisatie van IT-auditors een genoegen u hierbij het Studierapport Raamwerk voor de ontwikkeling van normenstelsels en standaarden een facilitair instrument bij de beroepsuitoefening van de Commissie Normen en Standaarden te kunnen aanbieden. Dit rapport bevat een raamwerk waarmee op een gestructureerde wijze NOREA-normenstelsels kunnen worden ontwikkeld. In dit rapport zijn bij wijze van voorbeeld voor twee objecten normenstelsels uitgewerkt. Normen vormen een essentieel element in de gereedschapskist van de IT-auditor. In uitingen zal de IT-auditor zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. De objecten waar de IT-auditor zich op richt, zijn al jaren onderhevig aan veel innovatieve ontwikkelingen en aanpassingen van bestaande technologieën, methoden en technieken. Deze ontwikkelingen zijn van invloed op aanwezige en/of nieuwe IT-toepassingen door organisaties. Het management moet daarbij keuzes maken over de inhoud van deze toepassingen en de kwaliteitseisen waaraan ze moeten voldoen. De hiervoor geschetste complexiteit in combinatie met de rol die organisaties willen spelen, leiden ertoe dat voor veel objecten (nog) geen algemeen toepasbare normenstelsels kunnen worden ontwikkeld. Daarom volstaat de NOREA met het definiëren van normen die onder gangbare omstandigheden voldoen aan het beginsel van behoorlijk IT-gebruik. Het toesnijden van de NOREAnormen op het object van onderzoek moet door de IT-auditor in het veld plaatsvinden en worden gemotiveerd in het auditdossier. Bij de ontwikkeling van de NOREA-normenstelsels wordt als kanttekening geplaatst dat het, in relatie tot het in de vorige alinea s gestelde, een illusie is te veronderstellen dat een, alle objecten omvattende, actuele set NOREA-normenstelsels kan worden ontwikkeld. Ook de NOREA moet keuzes maken! Voor die keuzes, het reageren op de inhoud van dit studierapport en de ontwikkeling van NOREAnormenstelsels doet het bestuur een beroep op de leden. Ook lezers buiten deze kring worden daarvoor van harte uitgenodigd. Transparantie over de bij IT-audits gehanteerde uitgangspunten is een terechte eis van de opdrachtgever en lezer van de uiting. Deze transparantie, in combinatie met de hiervoor geschetste problematiek rondom de objecten, hebben het bestuur doen besluiten de NOREA-normenstelsels na een interne green paper procedure als white paper op het vrij toegankelijke deel van de NOREA-website te plaatsen en van toepassing te verklaren op uit te voeren IT-audits. Ten slotte wil het bestuur de leden van de Commissie Normen en Standaarden danken voor de grote inzet die zij hebben getoond bij het opstellen van dit rapport. Bestuur NOREA December NOREA STUDIERAPPORT 3

8 8 NOREA STUDIERAPPORT 3

9 Deel I : Inleiding en samenvatting I.1 Inleiding Het Bestuur van NOREA, de beroepsorganisatie van IT-auditors, is voorstander van het inzichtelijk maken van de normen en standaarden die bij IT-audits worden gebruikt. Als eerste stap daartoe is in 1999 de Commissie Normen en Standaarden (CNS) ingesteld. Na een fundamentele bezinning op de taakopdracht heeft de commissie, in overleg met het NOREA-bestuur, besloten om een raamwerk te schetsen voor het consistent opstellen van IT-object 1 georiënteerde NOREA-normenstelsels. Deze NOREA-normenstelsels zijn voor de leden faciliterend bij de beroepsuitoefening en vormen voor het management van de opdrachtgevers een handreiking die gebruikt kan worden bij de invulling van IT-governance. I.2 Taakopdracht CNS en werkwijze De CNS heeft een conceptueel model opgesteld dat voor in te stellen werkgroepen als leidraad dient voor de ontwikkeling van NOREA-normenstelsels. Een belangrijk uitgangspunt waaraan het model voldoet is dat bestaande en in brede kring in de praktijk gebruikte normeringen in het model kunnen worden ingepast. Dit uitgangspunt is gekozen omdat de NOREA in principe afziet van het ontwikkelen van eigen normen en standaarden en in plaats daarvan heeft gekozen voor het ontsluiten van in de literatuur beschikbare normen en standaarden via een model. Op basis van het door de CNS ontwikkelde model kunnen werkgroepen de feitelijke toetsingsnormen voor diverse IT-objecten concipiëren. De CNS benadrukt, gezien het gekozen uitgangspunt, dat met behulp van het gepresenteerde model door de werkgroepen bij het opstellen van normenstelsels zoveel mogelijk de relatie moet worden gelegd met in de praktijk gebruikte referentiekaders, zoals o.a.: NOREA-geschrift No 1: IT-auditing aangeduid; de Code voor Informatiebeveiliging: 2000 (ISO 17799); de Control Objectives for Information and Related Technology (CobiT); de IT Infrastructure Library (ITIL); de Common Criteria voor evaluatie van beveiliging van informatietechnologie (CC); de ISO 9000-familie. I.3 Begrippen In dit rapport worden onder meer de volgende begrippen gehanteerd: Norm: een richtpunt waaraan een specifiek onderdeel van het auditobject moet voldoen. In die zin is een norm te beschouwen als de meest gepreciseerde eenheid van toetsing. Daarbij moet worden bedacht dat op een auditobject doorgaans meerdere normen van toepassing zijn. Normenstelsel: het objectspecifieke samenstel van normen. Metanorm: een norm waaraan het normenstelsel zelf moet voldoen. Standaard: een door gezaghebbende instanties geadopteerd normenstelsel. Kwaliteitsaspect: een invalshoek of eigenschap waarover met betrekking tot een object een oordeel wordt uitgesproken. 1 Waar in dit raamwerk sprake is van informatie technologie (IT) wordt daaronder mede begrepen de informatie communicatie technologie (ICT) 9 NOREA STUDIERAPPORT 3

10 Beheersingsmaatregel: een handeling die beoogt de realisering van een of meer kwaliteitsaspecten te waarborgen. Object: elk in de dagelijkse praktijk voorkomend proces dat of voorkomende procesuitkomst die op zichzelf of in combinatie met één of meer andere processen en/of procesuitkomsten onderwerp van een auditopdracht kan zijn. Op dit moment is nauwelijks sprake van breed gedragen normenstelsels. Daarom wordt in dit raamwerk gesproken over NOREA-normen(stelsels). I.4 Doelstellingen NOREA-normenstelsels De NOREA beoogt met het ontwikkelen van NOREA-normenstelsels het volgende te bereiken: Het leveren van een bijdrage aan het management bij het concretiseren van IT-governance. Het bijdragen aan een beter inzicht bij de opdrachtgevers en andere belanghebbenden in de wezenlijke betekenis van de bij de audit te hanteren toetsingsnormen. Het bevorderen van een goede communicatie tussen de opdrachtgevers, andere belanghebbenden en de IT-auditor. Het verhogen van het objectieve gehalte van de IT-audit, hetgeen zowel voor de opdrachtgevers en andere belanghebbenden, als voor de IT-auditor van belang is. Het ondersteunen van de IT-auditor bij de onafhankelijke uitoefening van zijn/haar taak. I.5 Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels Tijdens het opstellen van het raamwerk zijn door de CNS de volgende uitgangspunten onderkend: Het ontwikkelen van opdrachtgerichte normenstelsels is om redenen van diversiteit in mogelijke IT-auditopdrachten en omgevingsfactoren niet haalbaar. Het ontwikkelen van algemeen toepasbare normenstelsels voor de toetsing van IT-objecten is dan ook een onrealistische doelstelling. Daarom is gekozen voor een objectgerichte benadering. Een IT-object behoort duidelijk en ondubbelzinnig te worden afgebakend en gedefinieerd. Het voor het IT-object op te stellen normenstelsel met toetsingsnormen moet een handzame ondersteuning bieden bij de beroepsuitoefening, zowel gericht op de attest- als adviesfunctie. De afbakening en definiëring van het object moeten daarom bij de gangbare praktijk aansluiten. Voorbeelden van objecten waarvoor NOREA-normenstelsels kunnen worden ontwikkeld zijn opgenomen in paragraaf IV.2 De IT-auditor moet op basis van de specifieke eigenschappen van een IT-object een concreet normenstelsel met toetsingsnormen formuleren. Daarbij moet rekening worden gehouden met: basisnormen zoals normatieve maatschappelijke verwachtingen, branchespecifieke wetgeving, voorschriften en aanwijzingen, contractuele verplichtingen (zie III.4.3). Dit raamwerk is gericht op het ontwikkelen van deze basisnormen; het invullen van de basisnormen op het niveau van de metanorm behoorlijk IT-gebruik (Franken, 1997 zie III.5). Het begrip behoorlijk IT-gebruik wordt voor het niveau van NOREA-normenstelsels als uitgangspunt gehanteerd; aanvullende normen die zijn gerelateerd aan specifieke, aan de (bedrijfs)huishouding of (IT-) technologieën ten grondslag liggende bedreigingen- en kosten-/batenanalyses. Het specifieke karakter van deze aanvullende normen maakt een eenduidige invulling per definitie onmogelijk en valt daarmee buiten de scope van dit raamwerk. De NOREA-normenstelsels worden daarom gedefinieerd op het niveau van behoorlijk IT-gebruik. Dit niveau ligt boven het wettelijk minimumniveau, het niveau dat op grond van wettelijke bepalingen ten minste is vereist. De gebruikelijke arbitraire driedeling (bijvoorbeeld laag, middel, hoog) wordt daarom niet toegepast. Het onderscheid tussen kwaliteitsaspecten voor processen en product (procesuitkomsten) en de 10 NOREA STUDIERAPPORT 3

11 daaraan gerelateerde ingezette dan wel in te zetten middelen wordt uit het oogpunt van eenvoud niet aangebracht. Zoveel mogelijk moet aansluiting worden gezocht bij in de praktijk in brede kring gebruikte referentiekaders (zie I.2). Het ontsluiten van de toetsingsnormen vereist inzicht in een aantal onderdelen dat het IT-object definieert. Het NOREA-normenstelsel volgens het CNS-model onderkent de volgende onderdelen (zie II.1): 1. de definiëring van het object; 3. de afbakening van het object; 4. de NOREA-definitie van het object; 5. de in gebruik zijnde alternatieve definities van het object; 6. de relatie met de in NOREA-geschrift No 1 aangeduide objecten; 7. de doelstelling/functie van het object 8. de omgevingsfactoren die op het object van toepassing kunnen zijn; 9. de relatie met mogelijke IT-auditopdrachten; 10. de basisnormen waaraan het object in elk geval moet voldoen; 11. de kwaliteitsaspecten die op het object van toepassing zijn; 12. de inherente bedreigingen waaraan het object onderhevig kan zijn; 13. het feitelijke normenstelsel in de vorm van een matrix waarin per norm de relatie met de kwaliteitsaspecten wordt gelegd; 14. een opgave van de gebruikte referentiekaders (bronnen). Het model maakt het voor de NOREA-organisatie mogelijk toetsingsnormen voor IT-objecten op te bouwen en te onderhouden. Daarvoor wordt een beroep op leden en aspirant-leden gedaan die mits goed ingewerkt binnen het object relatief snel een invulling kunnen geven aan het NOREA-normenstelsel voor het betreffende object of de aanpassing daarvan. De NOREA-website vervult een functie bij de ontwikkeling van de NOREA-normenstelsels volgens het te presenteren model. I.6 Opbouw studierapport De doelstelling van dit raamwerk is werkgroepen een leidraad te verschaffen voor het ontsluiten van bestaande normen. Dit raamwerk is daartoe, na deze inleiding en samenvatting (deel I), onderverdeeld in vier delen: Deel II: Model en voorbeelden een praktische handreiking. Deze handreiking bestaat uit de volgende onderdelen: II.1 Model NOREA-normenstelsel met toelichting II.2 Voorbeelden NOREA-normenstelsels: Deel III: Achtergrond een theoretische onderbouwing. Deze onderbouwing bestaat uit de volgende onderdelen: III.1 Indeling objecten, kwaliteit en kwaliteitsaspecten III.2 Scope NOREA-normenstelsel: terreinafbakening en begrippenkader, het definiëren van uitgangspunten en eisen die voortvloeien uit de metanormen. III.3 Ontwikkeling NOREA-normenstelsels: keuze van de te normeren objecten, het formuleren van het normenstelsel, de wijze waarop die kunnen worden samengesteld, het kwaliteitsniveau van uitwerking gerelateerd aan het begrip behoorlijk IT-gebruik. III.4 Gebruik NOREA-normenstelsels: de relatie met het auditproces, de functie van normen en de ontwikkeling van een auditspecifiek normenstelsel van uit het juridische- en auditperspectief. III.5 Beginselen behoorlijk IT-gebruik: een nadere uitwerking. III.6 Geraadpleegde literatuur. 11 NOREA STUDIERAPPORT 3

12 Deel IV: Ontwikkeling normen de wijze waarop normen worden ontwikkeld. In deel bestaat uit de volgende onderdelen: IV.1 Instructie werkgroepen. IV.2 Mogelijke onderwerpen voor normen. Bijlage B.1 Geraadpleegde literatuur. 12 NOREA STUDIERAPPORT 3

13 DEEL II: Model en voorbeelden II.1 Model NOREA-normenstelsel met toelichting Om een uniforme uitwerking van de NOREA-normenstelsels te bevorderen heeft de commissie een vaste indeling bepaald. Het is de bedoeling dat de werkgroepen uiteindelijk het resultaat van hun inspanningen in overeenstemming met deze indeling vastleggen: Onderdelen normenmodel Toelichting 1 IT-object Een in de dagelijkse praktijk herkenbaar onderdeel van het werkterrein. 2 Afbakening De praktijk leert dat afhankelijk van de afbakening, scope en reikwijdte van een object niet alle aspecten even relevant zijn. Daarom moet per object worden aangegeven welk aspect of welke aspecten primair op een object van toepassing zijn en wat de relatie met andere objecten is. 3 NOREA-definitie Voorkeurdefinitie aangeven. 4 Alternatieve definities Meerdere definities (evenals bronvermeldingen) worden vermeld, waarmee wordt beoogd dat de IT-auditor een definitie kan hanteren die aansluit bij het begrippenkader van de opdrachtgever/belanghebbende. 5 Relatie relevante referentiekaders De relatie met ten minste de volgende referenties moet worden gelegd: NOREA-geschrift No 1: de benoemde objecten; CobiT Code Informatiebeveiliging; SDM; ITIL; Common Criteria; ISO 9000-familie. 6 Doelstelling(en) object De doelstellingen van het object worden gedefinieerd uitgaande van de meest gebruikte omstandigheden. 7 Omgevingsfactoren Aangeven van welke relevante omgevingsfactoren is uitgegaan bij het bepalen van het niveau van behoorlijk IT-gebruik. 8 Relatie IT-auditopdracht Het schetsen van de meest voorkomende opdracht waarbinnen het normenkader wordt toegepast. 9 Basisnormen Randvoorwaardelijke normen, d.w.z. normen waaraan zonder meer moet worden voldaan om een beoordeling van het object mogelijk te maken. 10 Kwaliteitsaspecten Keuze van relevante aspecten III.1.3. Specifieke aspecten moeten worden gerelateerd aan de opgesomde. Het weglaten van aspecten moet worden gemotiveerd. 11 Bedreigingen Te relateren aan de kwaliteitsaspecten III Normenstelsel Het normenkader moet worden ingevuld op het niveau van behoorlijk IT-gebruik. Met dit begrip wordt bedoeld dat de normen zich bevinden op het meest gangbare niveau zoals dat in de praktijk wordt toegepast. Het feitelijk toe te passen normenstelsel wordt bepaald uit de mix van het IT-domein, het bedrijfsdomein en de te hanteren kwaliteitsaspecten in relatie tot de bedreigingen. 13 Referentiekaders (bronnen) Opsomming relevante literatuur en artikelen met vermelding van vindplaats. 13 NOREA STUDIERAPPORT 3

14 II.2 Voorbeelden NOREA-normenstelsels II.2.1 Informatiebeleid Dit NOREA-normenstelsel is een facilitair instrument voor het definiëren van kwaliteitsaspecten en beheersingsmaatregelen op het niveau van behoorlijk IT-gebruik. Deze norm is gebaseerd op literatuur over dit onderwerp. De feitelijk bij een onderzoek te hanteren normering moet worden toegesneden op het object van onderzoek, de omgeving waarbinnen het object operationeel is en het geldende kwaliteitsniveau voor het IT-gebruik. II IT-object Eisen in de zin van verplichte onderwerpen - informatiebeleid II Afbakening Informatiebeleid is de basis voor het nemen van beslissingen op IT-gebied en dus op te vatten als een sturingsinstrument. Informatiebeleid omvat in theorie ook de niet-geautomatiseerde informatievoorziening. De informatievoorziening is de wijze waarop het vastleggen, verwerken en voorzien van informatie in een organisatie is ingericht. In de context van deze NOREA-norm wordt het begrip informatiebeleid echter enkel bezien vanuit de geautomatiseerde informatievoorziening. Informatiebeleid is te beschouwen als een onderdeel van het automatiseringsbeleid, waartoe bijvoorbeeld ook processystemen of onderdelen daarvan behoren. Tot het informatiebeleid wordt in de context van deze NOREA-norm ook het informatiebeveiligingsbeleid gerekend. Dit neemt niet weg dat in de praktijk het informatiebeveiligingsbeleid vaak als een afzonderlijk beleidsveld wordt behandeld. Informatiebeveiligingsbeleid is beleid dat zich specifiek richt op de kwaliteitsaspecten integriteit, exclusiviteit en beschikbaarheid van de informatie, en laat voor zover er geen verband met beveiliging is, de kwaliteitsaspecten effectiviteit en efficiency buiten beschouwing. II NOREA-definitie Informatiebeleid is het geheel van doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan met informatie binnen een organisatie en voor de organisatie van de informatievoorziening zelf (NOREA, 1998). II Alternatieve definities Informatiebeleid is het geheel van doelstellingen, randvoorwaarden en uitgangspunten voor de inzet van informatietechnologie in een organisatie, in het bijzonder voor (bestuurlijke) informatiesystemen (Bemelmans, 1991). Informatiebeleid omvat de doelen, middelen, wegen en prioriteiten om de informatievoorziening te ontwikkelen en te beheren (Van der Molen, 1998). Een concrete en consistente visie van het management van een organisatie ten aanzien van de hoofdlijnen die bij de inrichting van de gewenste informatiehuishouding in de overzienbare toekomst in acht moet worden genomen. (Hopstaken & Kranendonk, 1991). Een informatiebeleid geeft de uitgangspunten en randvoorwaarden voor een toekomstige informatievoorziening (Theeuwes, 1990). 14 NOREA STUDIERAPPORT 3

15 II Relatie relevante referentiekaders NOREA-geschrift No 1: Informatiebeleid is de uitkomst van het proces informatiebeleidsvorming welk proces als afzonderlijk object, vallend binnen het domein informatiestrategie is benoemd. Bij het object informatiebeleidsvorming is in NOREA-geschrift No. 1 (1998) de volgende toelichting opgenomen: Het product van dit proces is het informatiebeleid. Dit bevat: uitgangspunten; randvoorwaarden (waaronder beschikbare middelen); te vervullen functies door informatietechnologie (IT); inrichting van de IT-organisatie; globale aanduiding technische infrastructuur; beleid ten aanzien van maatwerk en standaardpakketten. Het vaststellen van het informatiebeleid is de bevoegdheid van het algemeen management. Een goed informatiebeleid laat de geformuleerde doelstellingen aansluiten bij de doelstellingen van de organisatie en maakt optimaal gebruik van de mogelijkheden die de informatietechnologie biedt. CobiT: Het informatiebeveiligingsbeleid maakt onderdeel uit van de actie Define a Strategic Information Technology Plan in het domein Planning and Organisation. Daarbij wordt aandacht geschonken aan: enterprise business strategy, definition of how IT supports the business objectives, inventory of technological solutions and current infrastructure, monitoring the technology market, timely feasability studies and reality checks, existing system assessments, enterprise position on risk, time-to-market, quality, need for senior management buy-in, support and critical review. Code Informatiebeveiliging: Het informatiebeveiligingsbeleid is te beschouwen als een subset van het informatiebeleid. Dit beleid moet aandacht schenken aan: definitie, doelstellingen, reikwijdte en belang van informatiebeveiliging, intenties van management ter ondersteuning van de doelstellingen en principes van informatiebeveiliging, toelichting op de beleidsmaatregelen, principes, normen en nalevingseisen, omschrijving van verantwoordelijkheden voor management, verwijzingen naar documentatie die het beleid ondersteunt. SDM: SDM behandelt de gehele levenscyclus van een informatiesysteem. SDM is een hulpmiddel voor management, gebruikers en informatici ten behoeve van: het plannen, ontwikkelen en beheren van informatiesystemen; het besturen en organiseren van daarmee samenhangende projecten door systeemontwikkeling op te splitsen in hanteerbare, overzichtelijke delen; het inrichten van project- en systeemdocumentatie. Het realiseren van deze doelstellingen van SDM moet zijn gebaseerd op het gedefinieerde informatiebeleid. Expliciete eisen voor dat beleid zijn in SDM niet geformuleerd. 15 NOREA STUDIERAPPORT 3

16 ITIL: De doelstelling van ITIL is het op basis van best practices definiëren van een efficiënte en economische inzet van IT-middelen, gerelateerd aan 12 processen. Het beleid waarop deze processen zijn geënt is niet uitgewerkt in ITIL. Het informatiebeleid komt op operationeel niveau het meest naar voren in het proces security management. Common Aspecten: De Common Aspecten behandelen onderwerpen die specifiek betrekking hebben op beveiligingsaspecten. De inhoud van en de wijze waarop het generieke niveau wordt bepaald waaraan deze beveiligingsaspecten moeten voldoen, is niet beschreven in deze aspecten ISO-9000 kwaliteitssysteem: De organisatie moet in overeenstemming met de eisen van de internationale ISO-9000 norm, het kwaliteitssysteem opzetten, documenteren, invoeren en onderhouden en ook de doeltreffendheid ervan continue verbeteren. Het ISO-9000 kwaliteitssysteem formuleert geen expliciete eisen voor het te definiëren informatiebeleid. II Doelstellingen informatiebeleid Doelstellingen van het informatiebeleid zijn: afstemming van de informatievoorziening met de eisen die vanuit de bedrijfsstrategie worden gesteld; verbetering van de effectiviteit en efficiency van de informatievoorziening, bijdragend tot verbetering van de effectiviteit van de bedrijfsvoering in het algemeen; optimale benutting van nieuwe informatietechnologie; doelmatige organisatiestructuur voor de informatievoorziening; afstemming met het personeelsbeleid om tijdig personeel ter beschikking te krijgen die de kennis en kunde heeft om de informatietechnologische mogelijkheden te benutten; afstemming met het financiële beleid om tijdig eventuele beperkingen te onderkennen en te bezien in hoeverre het aanvankelijk uitgestippelde informatiebeleid aanpassing behoeft. II Omgevingsfactoren Ontwikkelingen betreffende de eveneens tot het domein van de informatiestrategie (NOREA, 1998) behorende objecten: informatie-architectuur, interne en externe afstemming en research kunnen redenen zijn om het informatiebeleid te evalueren en zo nodig bij te stellen, dan wel om het informatiebeleidsvormingsproces opnieuw te doorlopen. Het object informatieplanning, dat ook deel uitmaakt van het domein informatiestrategie, is een meer operationeel gerichte uitwerking van het informatiebeleid. Aanleidingen voor een heroriëntatie op het informatiebeleid kunnen zijn (met inbegrip van de in de vorige alinea aangeduide ontwikkelingen): technische ontwikkelingen (het verbeteren van de strategische positie en/of het realiseren van kostenbesparingen); stringentere eisen die leveranciers en afnemers aan de informatiebeveiliging stellen (bijvoorbeeld implementatie van de Code voor informatiebeveiliging en zelfs certificering op basis van de Code); wijzigingen in de wet- en regelgeving (privacywetgeving, Wet computercriminaliteit, Voorschrift informatiebeveiliging rijksdienst, Auteurswet, ARBO-wet e.d.); stringentere milieueisen (verboden gebruik van bepaalde materialen en brandblusmiddelen); toenemende of afnemende beschikbaarheid van personele en financiële middelen; uitkomsten van evaluaties en risicoanalyses; wijzigingen in het maatschappelijk normbesef. 16 NOREA STUDIERAPPORT 3

17 Het relatieve belang van het informatiebeleid is groter naarmate zich de volgende situaties (gaan) voordoen: de informatietechnologie is ingebed in de uitvoering van de primaire processen; de toepassing van informatietechnologie slokt een belangrijk deel van de middelen op; de organisatie beheert gevoelige gegevens (bedrijfsgeheimen, persoonsgegevens e.d.); het lager management heeft geen affiniteit met informatietechnologie; het over en weer koppelen van de eigen processen met de processen bij klanten en/of leveranciers (EDI-toepassingen). Het relatieve belang van het informatiebeleid behoort tot uitdrukking te komen in de betrokkenheid van de leiding van de organisatie, de inrichting van het proces en de beheersing daarvan, en in de concreetheid van de beleidsregels. II Relatie met IT-auditopdrachten Bij het object informatiebeleid kan worden gedacht aan opdrachten als: het beoordelen van de toereikendheid van het informatiebeleid; het beoordelen van de opzet en de implementatie van de planningsprocessen, resulterend in het informatiebeleid; het beoordelen van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur, waarbij het informatiebeleid een afgeleide is van het bedrijfsbeleid, maar richtinggevend is voor de informatieplanning en de informatiearchitectuur. Vanuit het perspectief van de attestfunctie zal bij dergelijke opdrachten het accent op de formele aspecten liggen. Als de opdracht een meer materiële benadering vereist, tendeert de uitvoering van de opdracht naar de uitoefening van de adviesfunctie. Voorts is het informatiebeleid het vertrekpunt bij andere IT-audits vanwege het kaderstellende (normerende) karakter van het informatiebeleid. II Basisnormering Voor de uitvoering van een IT-auditopdracht betreffende het beoordelen van de toereikendheid van het informatiebeleid, is de enige voorwaarde te kunnen beschikken over de laatste versie van het informatiebeleid. Het informatiebeleid hoeft geen door het algemeen management ondertekend document te zijn. Het is denkbaar dat het algemeen management voor de eventuele ondertekening van het informatiebeleid eerst het oordeel van een IT-auditor wil vernemen. Het normenstelsel (zie hierna) is in feite een opsomming van de onderwerpen die in het informatiebeleid behoren voor te komen. Bij de beoordeling van de opzet en de implementatie van de planningsprocessen geeft het normenstelsel aan wat de uitkomst van deze processen behoort te zijn. De in en rondom de processen getroffen beheersingsmaatregelen dienen redelijk zeker te stellen dat de beoogde uitkomst wordt gerealiseerd. Voor de uitvoering van een dergelijke opdracht is een beschrijving van de administratieve organisatie (organisatiestructuur, verdeling van taken, verantwoordelijkheden en bevoegdheden, processen, procedures, werkinstructies e.d.) een vereiste. Voor de beoordeling van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur is de beschikbaarheid van de genoemde documenten noodzakelijk. 17 NOREA STUDIERAPPORT 3

18 II Kwaliteitsaspecten Informatiebeleid raakt alle onderscheiden kwaliteitsaspecten. Voor de kwaliteitsaspecten effectiviteit en efficiency van de ingezette en in te zetten informatietechnologie heeft het management doorgaans een open oog. De kwaliteitsaspecten beschikbaarheid, integriteit en exclusiviteit, of onder één noemer gebracht de beveiligingsaspecten, spreken doorgaans minder tot de verbeelding van het management. Daardoor dreigt voortdurend het gevaar van onvoldoende aandacht voor de beveiligingsaspecten. Van de beveiligingsaspecten is doorgaans het kwaliteitsaspect beschikbaarheid voor het management nog het meest tastbaar. De ongestoorde voortgang van de (primaire) bedrijfsprocessen is direct afhankelijk van de beschikbaarheid van IT-voorzieningen. II Bedreigingen Op een hoog abstractieniveau zijn, toegespitst op de onderscheiden kwaliteitsaspecten, onder meer de volgende bedreigingen te onderkennen: Effectiviteit: - onvoldoende benutting van de mogelijkheden die de informatietechnologie biedt; - ontoereikende proces-, management- en verantwoordingsinformatie; Efficiency: - verspilling bij verwerving van ICT-componenten; - inefficiënte toepassing van informatietechnologie; Exclusiviteit: - manipulatie van gegevens al dan niet met frauduleuze bedoelingen; - verlies van gegevens door kwaadaardige virussen; - misbruik van IT-faciliteiten; Integriteit: - onjuiste besluitvorming; - onjuiste externe verantwoording; Controleerbaarheid: - onzekerheid over de integriteit van de proces-, management- en verantwoordingsinformatie; - hogere accountantskosten dan nodig; Continuïteit: - extra kosten door herstel van de bedrijfsprocessen; - verlies van omzet, winst en imago; Beheersbaarheid: - onvoldoende mogelijkheden om tijdig verbeteringen in de procesinrichting door te voeren; - onvoldoende mogelijkheden om tijdig de benodigde proces-, management- en verantwoordingsinformatie aan veranderde behoeften aan te passen; - onvoldoende mogelijkheden tot integratie (connectiviteit). 18 NOREA STUDIERAPPORT 3

19 II NOREA-normenstelsel In de onderstaande tabel zijn de aandachtspunten opgenomen waarover in een document informatiebeleid uitspraken terug te vinden behoren te zijn. Bij elk aandachtspunt is met de aanduiding de relatie met de onderkende relevante kwaliteitsaspecten weergegeven. NOREA-normenstelsel informatiebeleid Effectiviteit Efficiency Exclusiviteit Integriteit Controleerbaarheid Continuïteit Beheersbaarheid Consistent en coherent met de missie, de primaire doelstellingen van de organisatie en de beleidsvorming op andere terreinen. Vertrekpunt voor de opstelling van de informatieplanning (prioriteitsstelling, afstemming met de middelen, migratiepaden e.d.). Het hoogste management van de organisatie dient het informatiebeleid vast te stellen en het lagere management van het belang van dat beleid te doordringen. In het beleidsdocument dienen voor de hierna genoemde onderwerpen de doelstellingen, uitgangspunten en randvoorwaarden aan de orde te komen: - Apparatuur: - De keuze voor één of meer leveranciers op grond van overwegingen als gewenste concurrentie en spreiding van afhankelijkheid; - standaardisatierichtlijnen. - Programmatuur: - De keuze voor aanschaf van gemakkelijk aanpasbare programmatuur of zelf op maat ontwikkelen; - standaardisatierichtlijnen - Organisatie: - Centralisatie/decentralisatie: de keuze voor één centraal opererende organisatie of voor zelfstandig opererende organisatie-onder-delen die elk een eigen beleid kunnen hebben; - concentratie/deconcentratie: de keuze tussen het opstellen van computersystemen op één of enkele plaatsen (concentratie) of gespreide opstelling (deconcentratie); - organisatiestructuur, inclusief eventuele uitbesteding; - taken, verantwoordelijkheden, bevoegdheden, eigenaarschap informatiesystemen/ gegevens, rapportage(lijnen), inbedding planning- & controlcyclus, service level agreements. - Financiën: - het plafond van de investeringen en kosten van apparatuur, programmatuur en personeel; - de wijze waarop investeringsbeslissingen tot stand moeten komen; - kostenberekenings-/doorberekeningssystematiek. - Personeel: - de benodigde kwaliteit en aantallen; - richtlijnen voor het al dan niet inhuren van extern personeel; - human resource management. vervolg naar pag NOREA STUDIERAPPORT 3

20 NOREA-normenstelsel informatiebeleid (vervolg van pagina 19) Effectiviteit Efficiency Exclusiviteit Integriteit Controleerbaarheid Continuïteit Beheersbaarheid - Systeemontwikkeling en -onderhoud: - innovatie: verbetering van ontwikkelingsmethoden gericht op een verhoging van de productiviteit van ontwerpers en programmeurs; - participatie: inbreng van de gebruikers bij de aanschaf en/of ontwikkeling van applicatiesystemen; - prioriteiten: aspecten voor de prioriteitsstelling van ontwikkel- en veranderingsprojecten; - systeemontwikkelingsmethode: de keuze voor bepaalde methoden en technieken; - projectorganisatie en beheersing: de projectstructuur en het stelsel van beheersingsmaatregelen. - Informatiebeveiliging: - de wijze van risicomanagement (A&K-analyse, Code voor informatiebeveiliging, baseline-benadering); - omgaan met (vermeende) beveiligingsincidenten; - bevordering beveiligingsbewustzijn. - Evaluatie van het beleid en de beleidsimplementatie: - aard van de periodiek uit te voeren IT-audits (informatiestrategie, IM/IT-management, informatiesystemen, technische systemen, operationele ondersteuning); - uitvoering audits door internen en/of externen. II Bronnen Bemelmans, T.M.A. (1991), Bestuurlijke informatiesystemen en automatisering, Kluwer Bedrijfswetenschappen, Deventer/Stenfert Kroese B.V., Leiden. Hopstaken, B. & Kranendonk, A. (1991), Informatie-/automatiseringsplan: vier vensters op een complex fenomeen, Handboek EDP-auditing, B.4.1.2, Kluwer Bedrijfswetenschappen, Deventer Looijen, M. (1995), Beheer van informatiesystemen, Kluwer Bedrijfswetenschappen, Deventer. Molen, van der H-J. (1998), Orde ontstaat nooit spontaan, Computable NOREA (1998), NOREA-geschrift No 1 IT-auditing aangeduid, NOREA-Amsterdam. Roos Lindgreen, E.E.O., (1998), Corporate Information Security, Compact 1998/5, KPMG EDP Auditors, ten Hagen & Stam Uitgevers. Theewes, J.A.M. (1990), Informatieplanning, Kluwer Bedrijfswetenschappen, Deventer. 20 NOREA STUDIERAPPORT 3

NIEUWE SJABLONEN VOOR KLEOS GEBRUIKERSINSTRUCTIE

NIEUWE SJABLONEN VOOR KLEOS GEBRUIKERSINSTRUCTIE NIEUWE SJABLONEN VOOR KLEOS GEBRUIKERSINSTRUCTIE Kleos Postbus 23 7400 GA Deventer T: 0570 67 35 55 F: 0172 46 69 98 E: software@kluwer.nl I: kleos.kluwer.nl/ Hoewel bij deze uitgave de uiterste zorg is

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

SYLLABUS SECURITY AWARENESS WORKSHOP Personeel

SYLLABUS SECURITY AWARENESS WORKSHOP Personeel 3/10/2012 TRIO SMC SYLLABUS SECURITY AWARENESS WORKSHOP Personeel Pagina 1 van 9 Verantwoording 2012 Uniformboard te Vianen en 2012 Trio SMC te Almere. Copyright 2012 voor de cursusinhoud Trio SMC te Almere

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Inleiding Administratieve Organisatie. Opgavenboek

Inleiding Administratieve Organisatie. Opgavenboek Inleiding Administratieve Organisatie Opgavenboek Inleiding Administratieve Organisatie Opgavenboek drs. J.P.M. van der Hoeven Vierde druk Stenfert Kroese, Groningen/Houten Wolters-Noordhoff bv voert

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

EXIN WORKFORCE READINESS professional

EXIN WORKFORCE READINESS professional EXIN WORKFORCE READINESS professional DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

EXIN WORKFORCE READINESS werkgever

EXIN WORKFORCE READINESS werkgever EXIN WORKFORCE READINESS werkgever DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

EXIN WORKFORCE READINESS opleider

EXIN WORKFORCE READINESS opleider EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

SYLLABUS CURRICULUM VITAE & DIPLOMA WORKSHOP

SYLLABUS CURRICULUM VITAE & DIPLOMA WORKSHOP 12/10/2012 TRIO SMC SYLLABUS CURRICULUM VITAE & DIPLOMA WORKSHOP Pagina 1 van 10 Verantwoording 2012 Uniformboard te Vianen en 2012 Trio SMC te Almere. Copyright 2012 voor de cursusinhoud Trio SMC te Almere

Nadere informatie

De strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle

De strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle 1 Hoofdstuk 1 1.1 Dirigeren en coördineren p43 1.1.1 Dirigeren Dirigeren is een synoniem voor delegeren. Dirigeren houdt in dat bepaalde bevoegdheden overgedragen worden naar een persoon met een lagere

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2 Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015

Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Doel en intentie Als onderdeel van de transformatie Beschermd Wonen en Opvang 2015 wordt in dit document beschreven op welke

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Demo applicatie. Functionele Beschrijving SPITS

Demo applicatie. Functionele Beschrijving SPITS Demo applicatie Aantonen functioneren LogiFlor systematiek Functionele Beschrijving SPITS Standaardisatie Project Informatievoorziening Transport Sierteelt onderwerp: Functionele beschrijving Demo applicatie

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

Boekhouden geboekstaafd

Boekhouden geboekstaafd Boekhouden geboekstaafd Drs. H. Fuchs S.J.M. van Vlimmeren OPGAVEN Zevende druk Boekhouden geboekstaafd 2 Opgaven Boekhouden geboekstaafd 2 Opgaven Drs. H. Fuchs S. J. M. van Vlimmeren Zevende druk Noordhoff

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Oplossingsvrij specificeren

Oplossingsvrij specificeren Oplossingsvrij specificeren ir. J.P. Eelants, projectmanager Infrabouwproces CROW Samenvatting De methodiek van oplossingsvrij specificeren richt zich niet alleen op het formuleren van functionele eisen.

Nadere informatie

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties Hoe zorgen we ervoor dat we nieuwe diensten en producten soepel in onze bedrijfsvoering op kunnen nemen? Hoe geven we betere invulling

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten

Interne beheersing: Aan assurance verwante opdrachten Interne beheersing: Aan assurance verwante opdrachten Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening op de Kwaliteitstoetsing (RA s) is het accountantskantoor geselecteerd voor

Nadere informatie

1 Inleiding. De volgende e-businessprofielen worden onderscheiden:

1 Inleiding. De volgende e-businessprofielen worden onderscheiden: Voorwoord Voor u ligt de handleiding ZekeRE-business. Deze handleiding is bestemd voor de IT-auditor die in opdracht van een cliënt de beheersmaatregelen met betrekking tot elektronisch zakendoen door

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

ALGEMENE VOORWAARDEN FEDICT DIENSTEN

ALGEMENE VOORWAARDEN FEDICT DIENSTEN ALGEMENE VOORWAARDEN FEDICT DIENSTEN Doel van het document: De algemene voorwaarden voor Fedict diensten bevatten de standaardvoorwaarden voor het gebruik van alle Fedict diensten. Ze worden aangevuld

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V. TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur

Nadere informatie

PROJECT INITIATION DOCUMENT

PROJECT INITIATION DOCUMENT PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting

Nadere informatie

Functionaliteitenbeheer

Functionaliteitenbeheer Organisatie Functionaliteit 1 Richtinggevend Sturend Uitvoerend Het gaat hier om het initiëren van en zorgdragen voor de uitwerking en verandering van de gewenste wijzigingen aan de informatievoorziening.

Nadere informatie

Partnercertificering Be Informed 2013

Partnercertificering Be Informed 2013 Partnercertificering Be Informed 2013 - Implementatie & Support partner - Be Informed Copyright 2013 by Be Informed. All rights reserved. Nothing in this publication may be duplicated, published or transmitted,

Nadere informatie

Controleprotocol Projecten Partnership STW KWF Technology for Oncology. Versie d.d. 2 september 2015

Controleprotocol Projecten Partnership STW KWF Technology for Oncology. Versie d.d. 2 september 2015 Controleprotocol Projecten Partnership STW KWF Technology for Oncology Versie d.d. 2 september 2015 1 UITGANGSPUNTEN 3 2 ONDERZOEKSAANPAK 4 3 ACCOUNTANTSPRODUCT 6 2 1 UITGANGSPUNTEN Achtergrond STW en

Nadere informatie

Jaarrekening. Henk Fuchs OPGAVEN- EN WERKBOEK. Tweede druk

Jaarrekening. Henk Fuchs OPGAVEN- EN WERKBOEK. Tweede druk Jaarrekening Henk Fuchs OPGAVEN- EN WERKBOEK Tweede druk Jaarrekening Opgaven- en werkboek Jaarrekening Opgaven- en werkboek Henk Fuchs Tweede druk Noordhoff Uitgevers Groningen/Houten Opmaak binnenwerk:

Nadere informatie

SYLLABUS FRAUDEWAARSCHUWING: PHISHING! WORKSHOP TRIO SMC. De nieuwste tactieken en de mogelijke impact op uw business in 2013 Uniformboard & Trio SMC

SYLLABUS FRAUDEWAARSCHUWING: PHISHING! WORKSHOP TRIO SMC. De nieuwste tactieken en de mogelijke impact op uw business in 2013 Uniformboard & Trio SMC 12/10/2012 TRIO SMC SYLLABUS FRAUDEWAARSCHUWING: PHISHING! WORKSHOP Pagina 1 van 9 Verantwoording 2012 Uniformboard te Vianen en 2012 Trio SMC te Almere. Copyright 2012 voor de cursusinhoud Trio SMC te

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

14-9-2015. Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Systeemontwikkeling

14-9-2015. Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Systeemontwikkeling Les 1 Docent: Marcel Gelsing Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Systeemontwikkeling Je kunt hier (optioneel) ook een gratis tool downloaden

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Een framework voor applicatiebeheer

Een framework voor applicatiebeheer Een framework voor applicatie Mark Smalley ASL-Foundation www.aslfoundation.org SPIder, Utrecht, 10 juni 2003 Agenda Positionering applicatie Wat is ASL Waarom ASL Hoe ziet ASL eruit Samenwerking domeinen

Nadere informatie

Post Graduate IT Audit opleiding

Post Graduate IT Audit opleiding Post Graduate IT Audit opleiding Longitudinaal Colloquium vrije Universiteit amsterdam Drs Y.W. van Wijk RE RA 14 November 2006 1 Longitudinaal Colloquium Post Graduate IT Audit opleiding Overzicht Colloquium

Nadere informatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie CIBER Nederland BV Agenda SURF 1. Introductie CIBER 2. Visie Cloud Services 3. Visiei Position Paper Beliefs 4. Hoe kan CIBER hepen 2 Titel van de presentatie 1. Introductie CIBER Nederland? Feiten en

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Integraal Kostenmodel voor het voeren van digitale dossiers in de JGZ

Integraal Kostenmodel voor het voeren van digitale dossiers in de JGZ Integraal Kostenmodel voor het voeren van digitale dossiers in de JGZ Voorwoord Deze handreiking behoort tot de reeks handreikingen die worden samengesteld ten behoeve van de verwerving en implementatie

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Stichting NIOC en de NIOC kennisbank

Stichting NIOC en de NIOC kennisbank Stichting NIOC Stichting NIOC en de NIOC kennisbank Stichting NIOC (www.nioc.nl) stelt zich conform zijn statuten tot doel: het realiseren van congressen over informatica onderwijs en voorts al hetgeen

Nadere informatie

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen EIOPA-BoS-12/069 NL Richtsnoeren voor de behandeling van klachten door verzekeringsondernemingen 1/8 1. Richtsnoeren Inleiding 1. Artikel 16 van de Eiopa-verordening 1 (European Insurance and Occupational

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

INSPECTIE BOUWKUNDIGE BRANDVEILIGHEID Goed- en afkeurcriteria bouwkundige brandveiligheid

INSPECTIE BOUWKUNDIGE BRANDVEILIGHEID Goed- en afkeurcriteria bouwkundige brandveiligheid INSPECTIE BOUWKUNDIGE BRANDVEILIGHEID bouwkundige brandveiligheid Versie : 1.0 Publicatiedatum : 1 augustus 2014 Ingangsdatum : 1 augustus 2014 VOORWOORD Pagina 2/6 De Vereniging van Inspectie-instellingen

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

STARTFLEX. Onderzoek naar ondernemerschap onder studenten in Amsterdam

STARTFLEX. Onderzoek naar ondernemerschap onder studenten in Amsterdam Onderzoek naar ondernemerschap onder studenten in Amsterdam Colofon ONDERZOEKER StartFlex B.V. CONSULTANCY Centre for applied research on economics & management (CAREM) ENQETEUR Alexander Sölkner EINDREDACTIE

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Nieuwe privacyregels: Eitje of zwarte zwaan?

Nieuwe privacyregels: Eitje of zwarte zwaan? 1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE

Nadere informatie