Raamwerk voor ontwikkeling normenstelsels en standaarden
|
|
- Gijs Aerts
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 3Studierapport 3 Raamwerk voor ontwikkeling normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening de beroepsorganisatie van IT-auditors
2 Ter nagedachtenis aan Joop Bautz: een bevlogen IT-auditor 2 NOREA STUDIERAPPORT 3
3 Raamwerk voor ontwikkeling normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening December 2002
4 Raamwerk voor ontwikkeling Normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening Een rapport van de NOREA-commissie Normen en Standaarden H. de Zwart RE RA RO (voorzitter) L. Annokkée RE Drs. B.H. Brekhof RE RA Ir. J.W. de Heer RE Drs. W.J.A. Olthof (secretaris) Drs. A.R. Spath RE RA ISBN-nr Copyright NOREA de beroepsorganisatie van IT-auditors Behoudens uitzonderingen door de wet gesteld mag zonder schriftelijke toestemming van de rechthebbende(n) op het auteursrecht, c.q. de uitgeefster van deze uitgave, door rechthebbende(n) gemachtigd namens hem (hen) op te treden, niets uit deze uitgaven worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of anderszins, hetgeen ook van toepassing is op de gehele of gedeeltelijke bewerking. De uitgeefster is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor kopiëren, als bedoeld in artikel 17 lid 2, Auteurswet 1912 en het KB van 20 juni 1974 (Stb. 351) ex artikel 16b, Auteurswet 1912, te innen en/of daartoe in en buiten rechte op te treden. All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of the publicer. 4 NOREA STUDIERAPPORT 3
5 Inhoudsopgave Voorwoord DEEL I: Inleiding en samenvatting I.1 Inleiding I.2 Taakopdracht CNS en werkwijze I.3 Begrippen I.4 Doelstellingen NOREA-normenstelsels I.5 Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels I.6 Opbouw studierapport DEEL II: Model en voorbeelden II.1 Model NOREA-normenstelsel met toelichting II.2 Voorbeelden NOREA-normenstelsels II.2.1 Informatiebeleid II.2.2 E-business-to-business DEEL III: Achtergronden III.1 Indeling vakgebied, kwaliteit en kwaliteitsaspecten III.1.1 Indeling vakgebied III.1.2 Kwaliteit III.1.3 Kwaliteitsaspecten III.2 Scope NOREA-normenstelsel III.2.1 Terreinafbakening en begrippenkader III.2.2 Uitgangspunten III.2.3 Metanormen III.3.1 Keuze te normeren objecten III.3.2 Formuleren normenstelsel III.3.3 Kwaliteitsniveau normenstelsels III.4 Gebruik van de NOREA-normenstelsels III.4.1 Plaats van het NOREA-normenstelsel in het auditproces III.4.2 Functie van de NOREA-normenstelsels III.4.3 Ontwikkeling van een auditspecifiek normenstelsel III.5 Beginselen behoorlijk IT-gebruik III.5.1 Juridisch perpectief III.5.2 Audit perspectief DEEL IV: Ontwikkeling normen IV.1 Instructie ontwikkeling toetsingnormen IV.1.1 Interpretatie taakopdracht IV.1.2 Verkenning en literatuurstudie IV.1.3 Review- en goedkeuringsprocedure IV.1.4 Permanente educatie IV.2 Mogelijke onderwerpen voor normen BIJLAGE B.1 Geraadpleegde literatuur 5 NOREA STUDIERAPPORT 3
6 6 NOREA STUDIERAPPORT 3
7 Voorwoord Het is het bestuur van NOREA de beroepsorganisatie van IT-auditors een genoegen u hierbij het Studierapport Raamwerk voor de ontwikkeling van normenstelsels en standaarden een facilitair instrument bij de beroepsuitoefening van de Commissie Normen en Standaarden te kunnen aanbieden. Dit rapport bevat een raamwerk waarmee op een gestructureerde wijze NOREA-normenstelsels kunnen worden ontwikkeld. In dit rapport zijn bij wijze van voorbeeld voor twee objecten normenstelsels uitgewerkt. Normen vormen een essentieel element in de gereedschapskist van de IT-auditor. In uitingen zal de IT-auditor zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. De objecten waar de IT-auditor zich op richt, zijn al jaren onderhevig aan veel innovatieve ontwikkelingen en aanpassingen van bestaande technologieën, methoden en technieken. Deze ontwikkelingen zijn van invloed op aanwezige en/of nieuwe IT-toepassingen door organisaties. Het management moet daarbij keuzes maken over de inhoud van deze toepassingen en de kwaliteitseisen waaraan ze moeten voldoen. De hiervoor geschetste complexiteit in combinatie met de rol die organisaties willen spelen, leiden ertoe dat voor veel objecten (nog) geen algemeen toepasbare normenstelsels kunnen worden ontwikkeld. Daarom volstaat de NOREA met het definiëren van normen die onder gangbare omstandigheden voldoen aan het beginsel van behoorlijk IT-gebruik. Het toesnijden van de NOREAnormen op het object van onderzoek moet door de IT-auditor in het veld plaatsvinden en worden gemotiveerd in het auditdossier. Bij de ontwikkeling van de NOREA-normenstelsels wordt als kanttekening geplaatst dat het, in relatie tot het in de vorige alinea s gestelde, een illusie is te veronderstellen dat een, alle objecten omvattende, actuele set NOREA-normenstelsels kan worden ontwikkeld. Ook de NOREA moet keuzes maken! Voor die keuzes, het reageren op de inhoud van dit studierapport en de ontwikkeling van NOREAnormenstelsels doet het bestuur een beroep op de leden. Ook lezers buiten deze kring worden daarvoor van harte uitgenodigd. Transparantie over de bij IT-audits gehanteerde uitgangspunten is een terechte eis van de opdrachtgever en lezer van de uiting. Deze transparantie, in combinatie met de hiervoor geschetste problematiek rondom de objecten, hebben het bestuur doen besluiten de NOREA-normenstelsels na een interne green paper procedure als white paper op het vrij toegankelijke deel van de NOREA-website te plaatsen en van toepassing te verklaren op uit te voeren IT-audits. Ten slotte wil het bestuur de leden van de Commissie Normen en Standaarden danken voor de grote inzet die zij hebben getoond bij het opstellen van dit rapport. Bestuur NOREA December NOREA STUDIERAPPORT 3
8 8 NOREA STUDIERAPPORT 3
9 Deel I : Inleiding en samenvatting I.1 Inleiding Het Bestuur van NOREA, de beroepsorganisatie van IT-auditors, is voorstander van het inzichtelijk maken van de normen en standaarden die bij IT-audits worden gebruikt. Als eerste stap daartoe is in 1999 de Commissie Normen en Standaarden (CNS) ingesteld. Na een fundamentele bezinning op de taakopdracht heeft de commissie, in overleg met het NOREA-bestuur, besloten om een raamwerk te schetsen voor het consistent opstellen van IT-object 1 georiënteerde NOREA-normenstelsels. Deze NOREA-normenstelsels zijn voor de leden faciliterend bij de beroepsuitoefening en vormen voor het management van de opdrachtgevers een handreiking die gebruikt kan worden bij de invulling van IT-governance. I.2 Taakopdracht CNS en werkwijze De CNS heeft een conceptueel model opgesteld dat voor in te stellen werkgroepen als leidraad dient voor de ontwikkeling van NOREA-normenstelsels. Een belangrijk uitgangspunt waaraan het model voldoet is dat bestaande en in brede kring in de praktijk gebruikte normeringen in het model kunnen worden ingepast. Dit uitgangspunt is gekozen omdat de NOREA in principe afziet van het ontwikkelen van eigen normen en standaarden en in plaats daarvan heeft gekozen voor het ontsluiten van in de literatuur beschikbare normen en standaarden via een model. Op basis van het door de CNS ontwikkelde model kunnen werkgroepen de feitelijke toetsingsnormen voor diverse IT-objecten concipiëren. De CNS benadrukt, gezien het gekozen uitgangspunt, dat met behulp van het gepresenteerde model door de werkgroepen bij het opstellen van normenstelsels zoveel mogelijk de relatie moet worden gelegd met in de praktijk gebruikte referentiekaders, zoals o.a.: NOREA-geschrift No 1: IT-auditing aangeduid; de Code voor Informatiebeveiliging: 2000 (ISO 17799); de Control Objectives for Information and Related Technology (CobiT); de IT Infrastructure Library (ITIL); de Common Criteria voor evaluatie van beveiliging van informatietechnologie (CC); de ISO 9000-familie. I.3 Begrippen In dit rapport worden onder meer de volgende begrippen gehanteerd: Norm: een richtpunt waaraan een specifiek onderdeel van het auditobject moet voldoen. In die zin is een norm te beschouwen als de meest gepreciseerde eenheid van toetsing. Daarbij moet worden bedacht dat op een auditobject doorgaans meerdere normen van toepassing zijn. Normenstelsel: het objectspecifieke samenstel van normen. Metanorm: een norm waaraan het normenstelsel zelf moet voldoen. Standaard: een door gezaghebbende instanties geadopteerd normenstelsel. Kwaliteitsaspect: een invalshoek of eigenschap waarover met betrekking tot een object een oordeel wordt uitgesproken. 1 Waar in dit raamwerk sprake is van informatie technologie (IT) wordt daaronder mede begrepen de informatie communicatie technologie (ICT) 9 NOREA STUDIERAPPORT 3
10 Beheersingsmaatregel: een handeling die beoogt de realisering van een of meer kwaliteitsaspecten te waarborgen. Object: elk in de dagelijkse praktijk voorkomend proces dat of voorkomende procesuitkomst die op zichzelf of in combinatie met één of meer andere processen en/of procesuitkomsten onderwerp van een auditopdracht kan zijn. Op dit moment is nauwelijks sprake van breed gedragen normenstelsels. Daarom wordt in dit raamwerk gesproken over NOREA-normen(stelsels). I.4 Doelstellingen NOREA-normenstelsels De NOREA beoogt met het ontwikkelen van NOREA-normenstelsels het volgende te bereiken: Het leveren van een bijdrage aan het management bij het concretiseren van IT-governance. Het bijdragen aan een beter inzicht bij de opdrachtgevers en andere belanghebbenden in de wezenlijke betekenis van de bij de audit te hanteren toetsingsnormen. Het bevorderen van een goede communicatie tussen de opdrachtgevers, andere belanghebbenden en de IT-auditor. Het verhogen van het objectieve gehalte van de IT-audit, hetgeen zowel voor de opdrachtgevers en andere belanghebbenden, als voor de IT-auditor van belang is. Het ondersteunen van de IT-auditor bij de onafhankelijke uitoefening van zijn/haar taak. I.5 Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels Tijdens het opstellen van het raamwerk zijn door de CNS de volgende uitgangspunten onderkend: Het ontwikkelen van opdrachtgerichte normenstelsels is om redenen van diversiteit in mogelijke IT-auditopdrachten en omgevingsfactoren niet haalbaar. Het ontwikkelen van algemeen toepasbare normenstelsels voor de toetsing van IT-objecten is dan ook een onrealistische doelstelling. Daarom is gekozen voor een objectgerichte benadering. Een IT-object behoort duidelijk en ondubbelzinnig te worden afgebakend en gedefinieerd. Het voor het IT-object op te stellen normenstelsel met toetsingsnormen moet een handzame ondersteuning bieden bij de beroepsuitoefening, zowel gericht op de attest- als adviesfunctie. De afbakening en definiëring van het object moeten daarom bij de gangbare praktijk aansluiten. Voorbeelden van objecten waarvoor NOREA-normenstelsels kunnen worden ontwikkeld zijn opgenomen in paragraaf IV.2 De IT-auditor moet op basis van de specifieke eigenschappen van een IT-object een concreet normenstelsel met toetsingsnormen formuleren. Daarbij moet rekening worden gehouden met: basisnormen zoals normatieve maatschappelijke verwachtingen, branchespecifieke wetgeving, voorschriften en aanwijzingen, contractuele verplichtingen (zie III.4.3). Dit raamwerk is gericht op het ontwikkelen van deze basisnormen; het invullen van de basisnormen op het niveau van de metanorm behoorlijk IT-gebruik (Franken, 1997 zie III.5). Het begrip behoorlijk IT-gebruik wordt voor het niveau van NOREA-normenstelsels als uitgangspunt gehanteerd; aanvullende normen die zijn gerelateerd aan specifieke, aan de (bedrijfs)huishouding of (IT-) technologieën ten grondslag liggende bedreigingen- en kosten-/batenanalyses. Het specifieke karakter van deze aanvullende normen maakt een eenduidige invulling per definitie onmogelijk en valt daarmee buiten de scope van dit raamwerk. De NOREA-normenstelsels worden daarom gedefinieerd op het niveau van behoorlijk IT-gebruik. Dit niveau ligt boven het wettelijk minimumniveau, het niveau dat op grond van wettelijke bepalingen ten minste is vereist. De gebruikelijke arbitraire driedeling (bijvoorbeeld laag, middel, hoog) wordt daarom niet toegepast. Het onderscheid tussen kwaliteitsaspecten voor processen en product (procesuitkomsten) en de 10 NOREA STUDIERAPPORT 3
11 daaraan gerelateerde ingezette dan wel in te zetten middelen wordt uit het oogpunt van eenvoud niet aangebracht. Zoveel mogelijk moet aansluiting worden gezocht bij in de praktijk in brede kring gebruikte referentiekaders (zie I.2). Het ontsluiten van de toetsingsnormen vereist inzicht in een aantal onderdelen dat het IT-object definieert. Het NOREA-normenstelsel volgens het CNS-model onderkent de volgende onderdelen (zie II.1): 1. de definiëring van het object; 3. de afbakening van het object; 4. de NOREA-definitie van het object; 5. de in gebruik zijnde alternatieve definities van het object; 6. de relatie met de in NOREA-geschrift No 1 aangeduide objecten; 7. de doelstelling/functie van het object 8. de omgevingsfactoren die op het object van toepassing kunnen zijn; 9. de relatie met mogelijke IT-auditopdrachten; 10. de basisnormen waaraan het object in elk geval moet voldoen; 11. de kwaliteitsaspecten die op het object van toepassing zijn; 12. de inherente bedreigingen waaraan het object onderhevig kan zijn; 13. het feitelijke normenstelsel in de vorm van een matrix waarin per norm de relatie met de kwaliteitsaspecten wordt gelegd; 14. een opgave van de gebruikte referentiekaders (bronnen). Het model maakt het voor de NOREA-organisatie mogelijk toetsingsnormen voor IT-objecten op te bouwen en te onderhouden. Daarvoor wordt een beroep op leden en aspirant-leden gedaan die mits goed ingewerkt binnen het object relatief snel een invulling kunnen geven aan het NOREA-normenstelsel voor het betreffende object of de aanpassing daarvan. De NOREA-website vervult een functie bij de ontwikkeling van de NOREA-normenstelsels volgens het te presenteren model. I.6 Opbouw studierapport De doelstelling van dit raamwerk is werkgroepen een leidraad te verschaffen voor het ontsluiten van bestaande normen. Dit raamwerk is daartoe, na deze inleiding en samenvatting (deel I), onderverdeeld in vier delen: Deel II: Model en voorbeelden een praktische handreiking. Deze handreiking bestaat uit de volgende onderdelen: II.1 Model NOREA-normenstelsel met toelichting II.2 Voorbeelden NOREA-normenstelsels: Deel III: Achtergrond een theoretische onderbouwing. Deze onderbouwing bestaat uit de volgende onderdelen: III.1 Indeling objecten, kwaliteit en kwaliteitsaspecten III.2 Scope NOREA-normenstelsel: terreinafbakening en begrippenkader, het definiëren van uitgangspunten en eisen die voortvloeien uit de metanormen. III.3 Ontwikkeling NOREA-normenstelsels: keuze van de te normeren objecten, het formuleren van het normenstelsel, de wijze waarop die kunnen worden samengesteld, het kwaliteitsniveau van uitwerking gerelateerd aan het begrip behoorlijk IT-gebruik. III.4 Gebruik NOREA-normenstelsels: de relatie met het auditproces, de functie van normen en de ontwikkeling van een auditspecifiek normenstelsel van uit het juridische- en auditperspectief. III.5 Beginselen behoorlijk IT-gebruik: een nadere uitwerking. III.6 Geraadpleegde literatuur. 11 NOREA STUDIERAPPORT 3
12 Deel IV: Ontwikkeling normen de wijze waarop normen worden ontwikkeld. In deel bestaat uit de volgende onderdelen: IV.1 Instructie werkgroepen. IV.2 Mogelijke onderwerpen voor normen. Bijlage B.1 Geraadpleegde literatuur. 12 NOREA STUDIERAPPORT 3
13 DEEL II: Model en voorbeelden II.1 Model NOREA-normenstelsel met toelichting Om een uniforme uitwerking van de NOREA-normenstelsels te bevorderen heeft de commissie een vaste indeling bepaald. Het is de bedoeling dat de werkgroepen uiteindelijk het resultaat van hun inspanningen in overeenstemming met deze indeling vastleggen: Onderdelen normenmodel Toelichting 1 IT-object Een in de dagelijkse praktijk herkenbaar onderdeel van het werkterrein. 2 Afbakening De praktijk leert dat afhankelijk van de afbakening, scope en reikwijdte van een object niet alle aspecten even relevant zijn. Daarom moet per object worden aangegeven welk aspect of welke aspecten primair op een object van toepassing zijn en wat de relatie met andere objecten is. 3 NOREA-definitie Voorkeurdefinitie aangeven. 4 Alternatieve definities Meerdere definities (evenals bronvermeldingen) worden vermeld, waarmee wordt beoogd dat de IT-auditor een definitie kan hanteren die aansluit bij het begrippenkader van de opdrachtgever/belanghebbende. 5 Relatie relevante referentiekaders De relatie met ten minste de volgende referenties moet worden gelegd: NOREA-geschrift No 1: de benoemde objecten; CobiT Code Informatiebeveiliging; SDM; ITIL; Common Criteria; ISO 9000-familie. 6 Doelstelling(en) object De doelstellingen van het object worden gedefinieerd uitgaande van de meest gebruikte omstandigheden. 7 Omgevingsfactoren Aangeven van welke relevante omgevingsfactoren is uitgegaan bij het bepalen van het niveau van behoorlijk IT-gebruik. 8 Relatie IT-auditopdracht Het schetsen van de meest voorkomende opdracht waarbinnen het normenkader wordt toegepast. 9 Basisnormen Randvoorwaardelijke normen, d.w.z. normen waaraan zonder meer moet worden voldaan om een beoordeling van het object mogelijk te maken. 10 Kwaliteitsaspecten Keuze van relevante aspecten III.1.3. Specifieke aspecten moeten worden gerelateerd aan de opgesomde. Het weglaten van aspecten moet worden gemotiveerd. 11 Bedreigingen Te relateren aan de kwaliteitsaspecten III Normenstelsel Het normenkader moet worden ingevuld op het niveau van behoorlijk IT-gebruik. Met dit begrip wordt bedoeld dat de normen zich bevinden op het meest gangbare niveau zoals dat in de praktijk wordt toegepast. Het feitelijk toe te passen normenstelsel wordt bepaald uit de mix van het IT-domein, het bedrijfsdomein en de te hanteren kwaliteitsaspecten in relatie tot de bedreigingen. 13 Referentiekaders (bronnen) Opsomming relevante literatuur en artikelen met vermelding van vindplaats. 13 NOREA STUDIERAPPORT 3
14 II.2 Voorbeelden NOREA-normenstelsels II.2.1 Informatiebeleid Dit NOREA-normenstelsel is een facilitair instrument voor het definiëren van kwaliteitsaspecten en beheersingsmaatregelen op het niveau van behoorlijk IT-gebruik. Deze norm is gebaseerd op literatuur over dit onderwerp. De feitelijk bij een onderzoek te hanteren normering moet worden toegesneden op het object van onderzoek, de omgeving waarbinnen het object operationeel is en het geldende kwaliteitsniveau voor het IT-gebruik. II IT-object Eisen in de zin van verplichte onderwerpen - informatiebeleid II Afbakening Informatiebeleid is de basis voor het nemen van beslissingen op IT-gebied en dus op te vatten als een sturingsinstrument. Informatiebeleid omvat in theorie ook de niet-geautomatiseerde informatievoorziening. De informatievoorziening is de wijze waarop het vastleggen, verwerken en voorzien van informatie in een organisatie is ingericht. In de context van deze NOREA-norm wordt het begrip informatiebeleid echter enkel bezien vanuit de geautomatiseerde informatievoorziening. Informatiebeleid is te beschouwen als een onderdeel van het automatiseringsbeleid, waartoe bijvoorbeeld ook processystemen of onderdelen daarvan behoren. Tot het informatiebeleid wordt in de context van deze NOREA-norm ook het informatiebeveiligingsbeleid gerekend. Dit neemt niet weg dat in de praktijk het informatiebeveiligingsbeleid vaak als een afzonderlijk beleidsveld wordt behandeld. Informatiebeveiligingsbeleid is beleid dat zich specifiek richt op de kwaliteitsaspecten integriteit, exclusiviteit en beschikbaarheid van de informatie, en laat voor zover er geen verband met beveiliging is, de kwaliteitsaspecten effectiviteit en efficiency buiten beschouwing. II NOREA-definitie Informatiebeleid is het geheel van doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan met informatie binnen een organisatie en voor de organisatie van de informatievoorziening zelf (NOREA, 1998). II Alternatieve definities Informatiebeleid is het geheel van doelstellingen, randvoorwaarden en uitgangspunten voor de inzet van informatietechnologie in een organisatie, in het bijzonder voor (bestuurlijke) informatiesystemen (Bemelmans, 1991). Informatiebeleid omvat de doelen, middelen, wegen en prioriteiten om de informatievoorziening te ontwikkelen en te beheren (Van der Molen, 1998). Een concrete en consistente visie van het management van een organisatie ten aanzien van de hoofdlijnen die bij de inrichting van de gewenste informatiehuishouding in de overzienbare toekomst in acht moet worden genomen. (Hopstaken & Kranendonk, 1991). Een informatiebeleid geeft de uitgangspunten en randvoorwaarden voor een toekomstige informatievoorziening (Theeuwes, 1990). 14 NOREA STUDIERAPPORT 3
15 II Relatie relevante referentiekaders NOREA-geschrift No 1: Informatiebeleid is de uitkomst van het proces informatiebeleidsvorming welk proces als afzonderlijk object, vallend binnen het domein informatiestrategie is benoemd. Bij het object informatiebeleidsvorming is in NOREA-geschrift No. 1 (1998) de volgende toelichting opgenomen: Het product van dit proces is het informatiebeleid. Dit bevat: uitgangspunten; randvoorwaarden (waaronder beschikbare middelen); te vervullen functies door informatietechnologie (IT); inrichting van de IT-organisatie; globale aanduiding technische infrastructuur; beleid ten aanzien van maatwerk en standaardpakketten. Het vaststellen van het informatiebeleid is de bevoegdheid van het algemeen management. Een goed informatiebeleid laat de geformuleerde doelstellingen aansluiten bij de doelstellingen van de organisatie en maakt optimaal gebruik van de mogelijkheden die de informatietechnologie biedt. CobiT: Het informatiebeveiligingsbeleid maakt onderdeel uit van de actie Define a Strategic Information Technology Plan in het domein Planning and Organisation. Daarbij wordt aandacht geschonken aan: enterprise business strategy, definition of how IT supports the business objectives, inventory of technological solutions and current infrastructure, monitoring the technology market, timely feasability studies and reality checks, existing system assessments, enterprise position on risk, time-to-market, quality, need for senior management buy-in, support and critical review. Code Informatiebeveiliging: Het informatiebeveiligingsbeleid is te beschouwen als een subset van het informatiebeleid. Dit beleid moet aandacht schenken aan: definitie, doelstellingen, reikwijdte en belang van informatiebeveiliging, intenties van management ter ondersteuning van de doelstellingen en principes van informatiebeveiliging, toelichting op de beleidsmaatregelen, principes, normen en nalevingseisen, omschrijving van verantwoordelijkheden voor management, verwijzingen naar documentatie die het beleid ondersteunt. SDM: SDM behandelt de gehele levenscyclus van een informatiesysteem. SDM is een hulpmiddel voor management, gebruikers en informatici ten behoeve van: het plannen, ontwikkelen en beheren van informatiesystemen; het besturen en organiseren van daarmee samenhangende projecten door systeemontwikkeling op te splitsen in hanteerbare, overzichtelijke delen; het inrichten van project- en systeemdocumentatie. Het realiseren van deze doelstellingen van SDM moet zijn gebaseerd op het gedefinieerde informatiebeleid. Expliciete eisen voor dat beleid zijn in SDM niet geformuleerd. 15 NOREA STUDIERAPPORT 3
16 ITIL: De doelstelling van ITIL is het op basis van best practices definiëren van een efficiënte en economische inzet van IT-middelen, gerelateerd aan 12 processen. Het beleid waarop deze processen zijn geënt is niet uitgewerkt in ITIL. Het informatiebeleid komt op operationeel niveau het meest naar voren in het proces security management. Common Aspecten: De Common Aspecten behandelen onderwerpen die specifiek betrekking hebben op beveiligingsaspecten. De inhoud van en de wijze waarop het generieke niveau wordt bepaald waaraan deze beveiligingsaspecten moeten voldoen, is niet beschreven in deze aspecten ISO-9000 kwaliteitssysteem: De organisatie moet in overeenstemming met de eisen van de internationale ISO-9000 norm, het kwaliteitssysteem opzetten, documenteren, invoeren en onderhouden en ook de doeltreffendheid ervan continue verbeteren. Het ISO-9000 kwaliteitssysteem formuleert geen expliciete eisen voor het te definiëren informatiebeleid. II Doelstellingen informatiebeleid Doelstellingen van het informatiebeleid zijn: afstemming van de informatievoorziening met de eisen die vanuit de bedrijfsstrategie worden gesteld; verbetering van de effectiviteit en efficiency van de informatievoorziening, bijdragend tot verbetering van de effectiviteit van de bedrijfsvoering in het algemeen; optimale benutting van nieuwe informatietechnologie; doelmatige organisatiestructuur voor de informatievoorziening; afstemming met het personeelsbeleid om tijdig personeel ter beschikking te krijgen die de kennis en kunde heeft om de informatietechnologische mogelijkheden te benutten; afstemming met het financiële beleid om tijdig eventuele beperkingen te onderkennen en te bezien in hoeverre het aanvankelijk uitgestippelde informatiebeleid aanpassing behoeft. II Omgevingsfactoren Ontwikkelingen betreffende de eveneens tot het domein van de informatiestrategie (NOREA, 1998) behorende objecten: informatie-architectuur, interne en externe afstemming en research kunnen redenen zijn om het informatiebeleid te evalueren en zo nodig bij te stellen, dan wel om het informatiebeleidsvormingsproces opnieuw te doorlopen. Het object informatieplanning, dat ook deel uitmaakt van het domein informatiestrategie, is een meer operationeel gerichte uitwerking van het informatiebeleid. Aanleidingen voor een heroriëntatie op het informatiebeleid kunnen zijn (met inbegrip van de in de vorige alinea aangeduide ontwikkelingen): technische ontwikkelingen (het verbeteren van de strategische positie en/of het realiseren van kostenbesparingen); stringentere eisen die leveranciers en afnemers aan de informatiebeveiliging stellen (bijvoorbeeld implementatie van de Code voor informatiebeveiliging en zelfs certificering op basis van de Code); wijzigingen in de wet- en regelgeving (privacywetgeving, Wet computercriminaliteit, Voorschrift informatiebeveiliging rijksdienst, Auteurswet, ARBO-wet e.d.); stringentere milieueisen (verboden gebruik van bepaalde materialen en brandblusmiddelen); toenemende of afnemende beschikbaarheid van personele en financiële middelen; uitkomsten van evaluaties en risicoanalyses; wijzigingen in het maatschappelijk normbesef. 16 NOREA STUDIERAPPORT 3
17 Het relatieve belang van het informatiebeleid is groter naarmate zich de volgende situaties (gaan) voordoen: de informatietechnologie is ingebed in de uitvoering van de primaire processen; de toepassing van informatietechnologie slokt een belangrijk deel van de middelen op; de organisatie beheert gevoelige gegevens (bedrijfsgeheimen, persoonsgegevens e.d.); het lager management heeft geen affiniteit met informatietechnologie; het over en weer koppelen van de eigen processen met de processen bij klanten en/of leveranciers (EDI-toepassingen). Het relatieve belang van het informatiebeleid behoort tot uitdrukking te komen in de betrokkenheid van de leiding van de organisatie, de inrichting van het proces en de beheersing daarvan, en in de concreetheid van de beleidsregels. II Relatie met IT-auditopdrachten Bij het object informatiebeleid kan worden gedacht aan opdrachten als: het beoordelen van de toereikendheid van het informatiebeleid; het beoordelen van de opzet en de implementatie van de planningsprocessen, resulterend in het informatiebeleid; het beoordelen van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur, waarbij het informatiebeleid een afgeleide is van het bedrijfsbeleid, maar richtinggevend is voor de informatieplanning en de informatiearchitectuur. Vanuit het perspectief van de attestfunctie zal bij dergelijke opdrachten het accent op de formele aspecten liggen. Als de opdracht een meer materiële benadering vereist, tendeert de uitvoering van de opdracht naar de uitoefening van de adviesfunctie. Voorts is het informatiebeleid het vertrekpunt bij andere IT-audits vanwege het kaderstellende (normerende) karakter van het informatiebeleid. II Basisnormering Voor de uitvoering van een IT-auditopdracht betreffende het beoordelen van de toereikendheid van het informatiebeleid, is de enige voorwaarde te kunnen beschikken over de laatste versie van het informatiebeleid. Het informatiebeleid hoeft geen door het algemeen management ondertekend document te zijn. Het is denkbaar dat het algemeen management voor de eventuele ondertekening van het informatiebeleid eerst het oordeel van een IT-auditor wil vernemen. Het normenstelsel (zie hierna) is in feite een opsomming van de onderwerpen die in het informatiebeleid behoren voor te komen. Bij de beoordeling van de opzet en de implementatie van de planningsprocessen geeft het normenstelsel aan wat de uitkomst van deze processen behoort te zijn. De in en rondom de processen getroffen beheersingsmaatregelen dienen redelijk zeker te stellen dat de beoogde uitkomst wordt gerealiseerd. Voor de uitvoering van een dergelijke opdracht is een beschrijving van de administratieve organisatie (organisatiestructuur, verdeling van taken, verantwoordelijkheden en bevoegdheden, processen, procedures, werkinstructies e.d.) een vereiste. Voor de beoordeling van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur is de beschikbaarheid van de genoemde documenten noodzakelijk. 17 NOREA STUDIERAPPORT 3
18 II Kwaliteitsaspecten Informatiebeleid raakt alle onderscheiden kwaliteitsaspecten. Voor de kwaliteitsaspecten effectiviteit en efficiency van de ingezette en in te zetten informatietechnologie heeft het management doorgaans een open oog. De kwaliteitsaspecten beschikbaarheid, integriteit en exclusiviteit, of onder één noemer gebracht de beveiligingsaspecten, spreken doorgaans minder tot de verbeelding van het management. Daardoor dreigt voortdurend het gevaar van onvoldoende aandacht voor de beveiligingsaspecten. Van de beveiligingsaspecten is doorgaans het kwaliteitsaspect beschikbaarheid voor het management nog het meest tastbaar. De ongestoorde voortgang van de (primaire) bedrijfsprocessen is direct afhankelijk van de beschikbaarheid van IT-voorzieningen. II Bedreigingen Op een hoog abstractieniveau zijn, toegespitst op de onderscheiden kwaliteitsaspecten, onder meer de volgende bedreigingen te onderkennen: Effectiviteit: - onvoldoende benutting van de mogelijkheden die de informatietechnologie biedt; - ontoereikende proces-, management- en verantwoordingsinformatie; Efficiency: - verspilling bij verwerving van ICT-componenten; - inefficiënte toepassing van informatietechnologie; Exclusiviteit: - manipulatie van gegevens al dan niet met frauduleuze bedoelingen; - verlies van gegevens door kwaadaardige virussen; - misbruik van IT-faciliteiten; Integriteit: - onjuiste besluitvorming; - onjuiste externe verantwoording; Controleerbaarheid: - onzekerheid over de integriteit van de proces-, management- en verantwoordingsinformatie; - hogere accountantskosten dan nodig; Continuïteit: - extra kosten door herstel van de bedrijfsprocessen; - verlies van omzet, winst en imago; Beheersbaarheid: - onvoldoende mogelijkheden om tijdig verbeteringen in de procesinrichting door te voeren; - onvoldoende mogelijkheden om tijdig de benodigde proces-, management- en verantwoordingsinformatie aan veranderde behoeften aan te passen; - onvoldoende mogelijkheden tot integratie (connectiviteit). 18 NOREA STUDIERAPPORT 3
19 II NOREA-normenstelsel In de onderstaande tabel zijn de aandachtspunten opgenomen waarover in een document informatiebeleid uitspraken terug te vinden behoren te zijn. Bij elk aandachtspunt is met de aanduiding de relatie met de onderkende relevante kwaliteitsaspecten weergegeven. NOREA-normenstelsel informatiebeleid Effectiviteit Efficiency Exclusiviteit Integriteit Controleerbaarheid Continuïteit Beheersbaarheid Consistent en coherent met de missie, de primaire doelstellingen van de organisatie en de beleidsvorming op andere terreinen. Vertrekpunt voor de opstelling van de informatieplanning (prioriteitsstelling, afstemming met de middelen, migratiepaden e.d.). Het hoogste management van de organisatie dient het informatiebeleid vast te stellen en het lagere management van het belang van dat beleid te doordringen. In het beleidsdocument dienen voor de hierna genoemde onderwerpen de doelstellingen, uitgangspunten en randvoorwaarden aan de orde te komen: - Apparatuur: - De keuze voor één of meer leveranciers op grond van overwegingen als gewenste concurrentie en spreiding van afhankelijkheid; - standaardisatierichtlijnen. - Programmatuur: - De keuze voor aanschaf van gemakkelijk aanpasbare programmatuur of zelf op maat ontwikkelen; - standaardisatierichtlijnen - Organisatie: - Centralisatie/decentralisatie: de keuze voor één centraal opererende organisatie of voor zelfstandig opererende organisatie-onder-delen die elk een eigen beleid kunnen hebben; - concentratie/deconcentratie: de keuze tussen het opstellen van computersystemen op één of enkele plaatsen (concentratie) of gespreide opstelling (deconcentratie); - organisatiestructuur, inclusief eventuele uitbesteding; - taken, verantwoordelijkheden, bevoegdheden, eigenaarschap informatiesystemen/ gegevens, rapportage(lijnen), inbedding planning- & controlcyclus, service level agreements. - Financiën: - het plafond van de investeringen en kosten van apparatuur, programmatuur en personeel; - de wijze waarop investeringsbeslissingen tot stand moeten komen; - kostenberekenings-/doorberekeningssystematiek. - Personeel: - de benodigde kwaliteit en aantallen; - richtlijnen voor het al dan niet inhuren van extern personeel; - human resource management. vervolg naar pag NOREA STUDIERAPPORT 3
20 NOREA-normenstelsel informatiebeleid (vervolg van pagina 19) Effectiviteit Efficiency Exclusiviteit Integriteit Controleerbaarheid Continuïteit Beheersbaarheid - Systeemontwikkeling en -onderhoud: - innovatie: verbetering van ontwikkelingsmethoden gericht op een verhoging van de productiviteit van ontwerpers en programmeurs; - participatie: inbreng van de gebruikers bij de aanschaf en/of ontwikkeling van applicatiesystemen; - prioriteiten: aspecten voor de prioriteitsstelling van ontwikkel- en veranderingsprojecten; - systeemontwikkelingsmethode: de keuze voor bepaalde methoden en technieken; - projectorganisatie en beheersing: de projectstructuur en het stelsel van beheersingsmaatregelen. - Informatiebeveiliging: - de wijze van risicomanagement (A&K-analyse, Code voor informatiebeveiliging, baseline-benadering); - omgaan met (vermeende) beveiligingsincidenten; - bevordering beveiligingsbewustzijn. - Evaluatie van het beleid en de beleidsimplementatie: - aard van de periodiek uit te voeren IT-audits (informatiestrategie, IM/IT-management, informatiesystemen, technische systemen, operationele ondersteuning); - uitvoering audits door internen en/of externen. II Bronnen Bemelmans, T.M.A. (1991), Bestuurlijke informatiesystemen en automatisering, Kluwer Bedrijfswetenschappen, Deventer/Stenfert Kroese B.V., Leiden. Hopstaken, B. & Kranendonk, A. (1991), Informatie-/automatiseringsplan: vier vensters op een complex fenomeen, Handboek EDP-auditing, B.4.1.2, Kluwer Bedrijfswetenschappen, Deventer Looijen, M. (1995), Beheer van informatiesystemen, Kluwer Bedrijfswetenschappen, Deventer. Molen, van der H-J. (1998), Orde ontstaat nooit spontaan, Computable NOREA (1998), NOREA-geschrift No 1 IT-auditing aangeduid, NOREA-Amsterdam. Roos Lindgreen, E.E.O., (1998), Corporate Information Security, Compact 1998/5, KPMG EDP Auditors, ten Hagen & Stam Uitgevers. Theewes, J.A.M. (1990), Informatieplanning, Kluwer Bedrijfswetenschappen, Deventer. 20 NOREA STUDIERAPPORT 3
IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieNIEUWE SJABLONEN VOOR KLEOS GEBRUIKERSINSTRUCTIE
NIEUWE SJABLONEN VOOR KLEOS GEBRUIKERSINSTRUCTIE Kleos Postbus 23 7400 GA Deventer T: 0570 67 35 55 F: 0172 46 69 98 E: software@kluwer.nl I: kleos.kluwer.nl/ Hoewel bij deze uitgave de uiterste zorg is
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieRichtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie
Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Inleiding 1-3 Doel van de opdracht tot het verrichten van overeengekomen
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieInleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4
Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen
Nadere informatieHandleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieICT Accountancy. Praktijkdag Webwinkels en Boekhouden
ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst
Nadere informatieSYLLABUS SECURITY AWARENESS WORKSHOP Personeel
3/10/2012 TRIO SMC SYLLABUS SECURITY AWARENESS WORKSHOP Personeel Pagina 1 van 9 Verantwoording 2012 Uniformboard te Vianen en 2012 Trio SMC te Almere. Copyright 2012 voor de cursusinhoud Trio SMC te Almere
Nadere informatieConcretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd
>>> Overgang Maatstaf 2016 Onderstaand overzicht bevat de selectie van de geheel nieuwe eisen uit de Maatstaf 2016 en de eisen waarbij extra of andere accenten zijn gelegd, inclusief een korte toelichting.
Nadere informatie[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.
Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieInleiding Administratieve Organisatie. Opgavenboek
Inleiding Administratieve Organisatie Opgavenboek Inleiding Administratieve Organisatie Opgavenboek drs. J.P.M. van der Hoeven Vierde druk Stenfert Kroese, Groningen/Houten Wolters-Noordhoff bv voert
Nadere informatieGemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services
Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave
Nadere informatieDrs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA
Nadere informatieinfo@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve
Nadere informatieDNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieLast but not least. Hoofdstuk 35. Bijlagen
Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van
Nadere informatieDe strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle
1 Hoofdstuk 1 1.1 Dirigeren en coördineren p43 1.1.1 Dirigeren Dirigeren is een synoniem voor delegeren. Dirigeren houdt in dat bepaalde bevoegdheden overgedragen worden naar een persoon met een lagere
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieInkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline
Nadere informatieAudit Assurance bij het Applicatiepakket Interne Modellen Solvency II
Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieOnderzoek als project
Onderzoek als project Onderzoek als project Met MS Project Ben Baarda Jan-Willem Godding Eerste druk Noordhoff Uitgevers Groningen/Houten Ontwerp omslag: Studio Frank & Lisa, Groningen Omslagillustratie:
Nadere informatieBISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.
BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2
Nadere informatieInformatiemanager. Doel. Context
Informatiemanager Doel Ontwikkelen, in stand houden, evalueren, aanpassen en regisseren van het informatiemanagement, de digitale informatievoorziening en de ICT-facilitering van de instelling en/of de
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieWie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2
Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.
Nadere informatieAuteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT
Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten
Nadere informatieEXIN WORKFORCE READINESS professional
EXIN WORKFORCE READINESS professional DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is
Nadere informatieNORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.
NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal
Nadere informatieInterne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.
Interne beheersing: Aan assurance verwante opdrachten 2010 Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening Kwaliteitsonderzoek is het accountantskantoor geselecteerd voor een
Nadere informatieProjectdocument. PQR scope 3 emissieinventarisatie. Betreft: Bij: Versie: 2.0 Datum: 7 mei 2018 Referentienummer: CO2-prestatieladder eis 4.A.
Betreft: Bij: Auteur(s): Najim Belkadi Versie: 2.0 Datum: 7 mei 2018 Referentienummer: CO2-prestatieladder eis 4.A.1 2018 PQR, all rights reserved. Niets uit deze uitgave mag worden verveelvoudigd, op
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieData Protection Impact Assessment (DPIA)
Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatie4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen
4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied
Nadere informatieB2 Reglement Beroepsbeoefening IT-auditors
B2 Reglement Beroepsbeoefening IT-auditors INHOUDSOPGAVE Artikel Inleiding 1 t/m 4 Vereisten 5 Onderwerpen 6 t/m 7 Richtlijnen 8 t/m 12 Handreikingen 13 t/m 17 Studies 18 TOEPASSINGSGERICHTE EN OVERIGE
Nadere informatieHOEBERT HULSHOF & ROEST
Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieINHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE
Rapportage ENSIA Aan : Gemeente Olst- Wijhe College van B&W Van : M. Hommes Datum : Betreft : Collegeverklaring gemeente Olst- Wijhe d.d. 24 april 2018 INHOUD 1 Conclusie... 3 2 Basis voor de conclusie...
Nadere informatieEXIN WORKFORCE READINESS werkgever
EXIN WORKFORCE READINESS werkgever DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om
Nadere informatieOordelen van en door RE s
Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieALGEMENE VOORWAARDEN FEDICT DIENSTEN
ALGEMENE VOORWAARDEN FEDICT DIENSTEN Doel van het document: De algemene voorwaarden voor Fedict diensten bevatten de standaardvoorwaarden voor het gebruik van alle Fedict diensten. Ze worden aangevuld
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieEXIN WORKFORCE READINESS opleider
EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om
Nadere informatieOverzicht van taken en competenties. Demandmanager-rol
Overzicht van taken en competenties Demandmanager-rol Inhoudsopgave 1 Taakomschrijving... 2 1.1 AA-1 Goedkeuren/beoordelen opdracht, verzoek, e.d.... 2 1.2 AA-7 Evalueren opdracht... 2 1.3 CA-1 Onderhouden
Nadere informatieMedewerker administratieve processen en systemen
processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met
Nadere informatieHet College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling
Nadere informatieKwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015
Kwaliteitstoets (potentiële) Dienstverleners Beschermd Wonen en Opvang 2015 Doel en intentie Als onderdeel van de transformatie Beschermd Wonen en Opvang 2015 wordt in dit document beschreven op welke
Nadere informatieBesluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008
Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieCobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1
CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving
Nadere informatieTHE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV
THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt
Nadere informatieHou het eenvoudig Effectief communiceren in organisaties
Hou het eenvoudig 30-09-2008 09:10 Pagina 1 Hou het eenvoudig Effectief communiceren in organisaties Hou het eenvoudig 30-09-2008 09:10 Pagina 2 Hou het eenvoudig 30-09-2008 09:10 Pagina 3 Arie Quik Hou
Nadere informatieCompliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed
Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3
Nadere informatieHet BiSL-model. Een whitepaper van The Lifecycle Company
Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte
Nadere informatieZwaarbewolkt met kans op neerslag
8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft
Nadere informatiePrivacy Verklaring. Vereniging voor toezichthouders in onderwijsinstellingen en kinderopvang
Privacy Verklaring Vereniging voor toezichthouders in onderwijsinstellingen en kinderopvang Versie mei 2018 Disclaimer Bovenstaande handreiking is met de grootst mogelijke zorgvuldigheid samengesteld.
Nadere informatieCORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties
CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties Hoe zorgen we ervoor dat we nieuwe diensten en producten soepel in onze bedrijfsvoering op kunnen nemen? Hoe geven we betere invulling
Nadere informatieAssurancerapport van de onafhankelijke IT-auditor
Assurancerapport van de onafhankelijke IT-auditor Aan: College van burgemeester en wethouders van gemeente Renswoude Ons oordeel Wij hebben de bijgevoegde Collegeverklaring ENSIA 2017 inzake informatiebeveiliging
Nadere informatieBeleid inzake belangenconflicten Brand New Day Bank N.V. BND.VW.PRB
Beleid inzake belangenconflicten Bank N.V. BND.VW.PRB.19122017 Versie 5 december 2017 Inhoud 1 Inleiding... 3 2 Taken en verantwoordelijkheden... 3 3 Identificatie van (potentiële) belangenconflicten...
Nadere informatieAVG Routeplanner voor woningcorporaties
AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieLeidraad 20 Accountantsrapportage over de bestuurlijke mededeling bij een aanvraag van het predicaat Koninklijk en Hofleverancier
Leidraad 20 Accountantsrapportage over de bestuurlijke mededeling bij een aanvraag van het predicaat Koninklijk en Hofleverancier Titel Leidraad Accountantsrapportage over de bestuurlijke mededeling bij
Nadere informatieBIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia
BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia Onderdeel van de Certificatienorm Informatiebeveiliging Uitgave van de Stichting Certificatie Creatieve Industrie (SCCI) Noodzaak Bijlagen behorende
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatiePrivacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:
Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...
Nadere informatieCopyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see
op basis van ISO27002 Courseware 2017 Van Haren Publishing Colofon Titel: op basis van ISO 27002 Courseware Auteurs: Hans Baars, Jule Hintzbergen, André Smulders en Kees Hintzbergen Uitgever: Van Haren
Nadere informatieICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden
Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer
Nadere informatieStudiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.
Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want
Nadere informatieStichting Pensioenfonds KAS BANK
Stichting Pensioenfonds KAS BANK Compliance Charter Januari 2017 Inhoudsopgave 1 Voorwoord... 2 2 Definitie en reikwijdte... 2 3 Missie van compliance... 2 Integriteit van het bestuur... 3 Integere bedrijfsvoering...
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie DEEL 1: DATA PRO STATEMENT Dit Data Pro Statement vormt
Nadere informatieToezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?
Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen
Nadere informatieWhitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com
Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieZekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014
Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor
Nadere informatieBasisnormen Beveiliging en Beheer ICT-infrastructuur
Basisnormen Beveiliging en Beheer ICT-infrastructuur Basisnormen Beveiliging en Beheer ICT-infrastructuur PI/DO Platform Informatiebeveiliging B. Bokhorst R. Kuiper S. Mekking P. Mercera R. Torabkhani
Nadere informatiePost Graduate IT Audit opleiding
Post Graduate IT Audit opleiding Longitudinaal Colloquium vrije Universiteit amsterdam Drs Y.W. van Wijk RE RA 14 November 2006 1 Longitudinaal Colloquium Post Graduate IT Audit opleiding Overzicht Colloquium
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatiePROJECT INITIATION DOCUMENT
PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieFunctionaliteitenbeheer
Organisatie Functionaliteit 1 Richtinggevend Sturend Uitvoerend Het gaat hier om het initiëren van en zorgdragen voor de uitwerking en verandering van de gewenste wijzigingen aan de informatievoorziening.
Nadere informatieVoorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie
Nadere informatiePrivacyreglement
Privacyreglement De Verwerking van Persoonsgegevens is aangemeld bij het College Bescherming Persoonsgegevens (CBP) onder nummer m1602696. Persoonsgegevens in een vorm die het mogelijk maakt de Betrokkene
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieGoed functioneel beheer noodzaak voor effectievere SPI
getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel
Nadere informatieVoorwaarden Preproductieomgeving DigiD (Leverancier)
Voorwaarden Preproductieomgeving DigiD (Leverancier) Datum 15 mei 2012 Versie 4.0 Artikel 1 Begrippen De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:
Nadere informatie