Introductie Richtlijn 3000 Service Organisation Control rapporten
|
|
- Andrea Bauwens
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Introductie Richtlijn 3000 Service Organisation Control rapporten Gebaseerd op het AICPA SOC 2 en de Trust Services Principles & Criteria René Ewals 14 april 2016
2 Agenda Eerste deel: Over vergelijking met en inpassing in bestaande assurance-standaarden Tweede deel: inhoud Trust Services Principles & Criteria 2
3 Deel 1: Vergelijking en inpassing in huidige assurance-standaarden Beknopte introductie
4 Inpassing in bekende standaarden Binnen NOREA een assurance stramien en twee assurance-standaarden: Richtlijn 3000 Richtlijn 3402 Service Organisational Control rapport is nu passend gemaakt binnen de Richtlijn Het is een assurance-rapport gericht op de IT Service organisaties Het normenkader is gebaseerd op de Trust Service Principles & Criteria zoals opgesteld door de AICPA Geen verwijzing opnemen als zijnde een Service Organizational Control (SOC2 ) rapport In de presentatie gebruiken we wel deze term, maar op het officiële rapport is dit niet toegestaan. Dit heeft te maken met de Amerikaanse wet- en regelgeving waar deze term onder valt, terwijl RE s de werkzaamheden uitvoeren binnen de Nederlandse wet- en regelgeving. 4
5 Uitvoeren van opdrachten Voor elke opdracht geldt, dat de RE over voldoende kennis en expertise moet beschikken om de opdracht te mogen uitvoeren. Denk hierbij aan: Stramien assurance-opdrachten; Richtlijn 3000; Richtlijn Voorts aan te raden om: Kennis te hebben van de inhoud van de AICPA SOC2 guide (Reporting on Controls at a Sevice Organization, relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (SOC2 )). Meest recente editie is van 1 juli Kennis te hebben van de inhoud van de Trust Services Principles & Criteria (TSP sectie 100). 5
6 Gebruikers rapport Het rapport is bedoeld voor gebruikers die de inhoud en de doelstelling van het rapport kunnen begrijpen. Dit omvat onder meer: Het management van de serviceorganisatie; Het management van de gebruikende entiteit; Potentiële gebruikers die de informatie toepassen bij het selecteren van een serviceorganisatie of om vast te stellen of deze voldoet aan de eisen. Deze gebruikers verkrijgen de kennis daartoe tijdens het uitvoeren van de due diligence; Accountants, IT-auditors en andere auditors die de beheersmaatregelen bij de gebruikende entiteit(en) beoordelen; Toezichthoudende entiteiten; De rapporten zijn niet bestemd voor een breed publiek en mogen niet worden gepubliceerd op websites of andere publiekelijk toegankelijke media. 6
7 Sectie III: beschrijving van het systeem (1) Sectie III omvat de volgende componenten: Infrastructuur: de fysieke structuren van de gebruikte IT (zoals faciliteiten, computers, apparatuur, mobiele apparatuur, communicatienetwerken) Software: de applicatiesoftware en de systeemsoftware die zijn applicatiesoftware ondersteunt (zoals besturingssystemen, middleware, utilities) Mensen: de medewerkers die betrokken zijn bij de governance, het gebruik en het beheer van systemen (ontwikkelaars, operators, gebruikers en managers) Procedures: de geautomatiseerde en handmatige werkwijzen in en rondom het systeem Data: de informatie die door het systeem wordt gebruikt en ondersteund (transacties, bestanden, databases en tabellen) 7
8 Sectie III: beschrijving van het systeem (2) En daarnaast de volgende elementen: Beheersingsomgeving (filosofie van het management, beleid en management ten aanzien van beveiliging, fysieke beveiliging, beveiliging van medewerkers, beheersing van omgevingsfactoren, monitoring van systemen, problem management, back-up en herstel, systeem account management); Het proces van risicobeoordeling; Informatie en communicatiesystemen; Monitoring van beheersingsmaatregelen 8
9 Indeling rapport Sectie I: Vermelding van het management Sectie II: Assurance-rapport van de onafhankelijke auditor Sectie III: Beschrijving systeem door de serviceorganisatie Sectie IV: De gehanteerde beginselen en criteria en de door de auditor uitgevoerde testwerkzaamheden inclusief de uitkomst daarvan Sectie V: Overige informatie verschaft door de serviceorganisatie (optioneel en wordt niet onderzocht door de auditor) 9
10 Verschillen tussen ISAE 3000, 3402 en SOC 2 Onderwerp ISAE 3402 ISAE 3000 SOC 2 Mededeling Auditor Gestandaardiseerd Redelijke mate van zekerheid Vorm vrij Redelijke of beperkte mate van zekerheid Mededeling Management Verplicht Niet verplicht Verplicht Gestandaardiseerd Redelijke mate van zekerheid Reikwijdte Gerelateerd aan financiële verslaglegging Niet financiële cijfers IT processen Publiek Beperkt tot service en user organisations Niet vooraf gedefinieerd Beperkt tot service en user organisations Normenstelsel Individueel Individueel Gestandaardiseerd Redelijke zekerheid Testwerkzaamheden Opnemen in rapport Optioneel Opnemen in rapport Conclusie testwerkzaamheden Opnemen in rapport Optioneel Opnemen in rapport 10
11 Deel 2: Over de Trust Services Principles & Criteria Beknopte introductie
12 De principles oftewel beginselen De Trust Services onderkennen de volgende principles/beginselen: Beveiliging: het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing; Beschikbaarheid: het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen; Integriteit van processen: de processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd; Vertrouwelijkheid: de informatie is vertrouwelijk zoals overeengekomen; Privacy (buiten reikwijdte handreiking) 12
13 Organization and management Communications Common Security Criteria Risk Management and Design and Implementation of Controls Monitoring of Controls Logical and Physical Access Controls System Operations Change Management Privacy In US and Europe under construction Availability Confidentiality Processing Integrity Accessibility of the system as committed by contract, SLA, or other agreements Protect of confidential information in accordance with the organization s commitments and requirements Completeness validity, accuracy, timeliness, and authorization of system processing The Trust Services Criteria (excluding Privacy) were updated in February
14 Koppeling principles/beginselen aan criteria Beveiliging: 28 algemene criteria Beschikbaarheid: 28 algemene criteria en 3 aanvullende criteria Integriteit van processen: 28 algemene criteria en 6 aanvullende criteria Vertrouwelijkheid: 28 algemene criteria en 6 aanvullende criteria Privacy (buiten reikwijdte handreiking) 14
15 Zeven categorieën algemene criteria (common criteria) Organisatie en Management (4) Communicatie (6) Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen (3) Monitoring van beheersingsmaatregelen (1) Logische en fysieke toegangsbeveiliging (8) Systeem operatie (2) Change Management (4) Naast criteria en voorbeeld maatregelen (zie volgende slides) worden ook voorbeeld risico s genoemd in de TSP. 15
16 Voorbeelden van de criteria en maatregelen (1) Organisatie en Management (4) The entity has defined organizational structures, reporting lines, authorities, and responsibilities for the design, development, implementation, operation, maintenance and monitoring of the system enabling it to meet its commitments and requirements as they relate to [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof]. Example control: The entity evaluates its organizational structure, reporting lines, authorities, and responsibilities as part of its business planning process and as part of its ongoing risk assessment and management process and revises these when necessary to help meet changing commitments and requirements. Communicatie (6) Information regarding the design and operation of the system and its boundaries has been prepared and communicated to authorized internal and external system users to permit users to understand their role in the system and the results of system operation. Example control: System descriptions are available to authorized external users that delineate the boundaries of the system and describe relevant system components as well as the purpose and design of the system. Documentation of the system description is available to authorized users via the entity s customer-facing website. 16
17 Voorbeelden van de criteria en maatregelen (2) Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen (3) The entity (1) identifies potential threats that would impair system [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] commitments and requirements, (2) analyzes the significance of risks associated with the identified threats, and (3) determines mitigation strategies for those risks (including controls and other mitigation strategies). Example control: A master list of the entity's system components is maintained, accounting for additions and removals, for management's use. 17
18 Voorbeelden van de criteria en maatregelen (3) Monitoring van beheersingsmaatregelen (1) The design and operating effectiveness of controls are periodically evaluated against [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] commitments and requirements, corrections and other necessary actions relating to identified deficiencies are taken in a timely manner. Example control: Monitoring software is used to identify and evaluate ongoing system performance, security threats, changing resource utilization needs, and unusual system activity. This software sends a message to the operations center and automatically opens an incident, problem, or change management "ticket" record when specific predefined thresholds are met. Logische en fysieke toegangsbeveiliging (8) Logical access security software, infrastructure, and architectures have been implemented to support (1) identification and authentication of authorized users; (2) restriction of authorized user access to system components, or portions thereof, authorized by management, including hardware, data, software, mobile devices, output, and offline elements; and (3) prevention and detection of unauthorized access. Example control: Established entity standards exist for infrastructure and software hardening and configuration that include requirements for implementation of access control software, entity configuration standards, and standardized access control lists. 18
19 Voorbeelden van de criteria en maatregelen (4) Systeem operatie (2) Vulnerabilities of system components to [insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] breaches and incidents due to malicious acts, natural disasters, or errors are monitored and evaluated and countermeasures are implemented to compensate for known and new vulnerabilities. Example control: Logging and monitoring software is used to collect data from system infrastructure components and endpoint systems and used to monitor system performance, potential security threats and vulnerabilities, resource utilization, and to detect unusual system activity or service requests. This software sends a message to the operations center and security organization and automatically opens a priority incident or problem ticket and change management system record item. Change Management (4) Insert the principle(s) being reported on: security, availability, processing integrity, or confidentiality or any combination thereof] commitments and requirements, are addressed, during the system development lifecycle including design, acquisition, implementation, configuration, testing, modification, and maintenance of system components. Example control: System change requests are evaluated to determine the potential effect of the change on security, availability, processing integrity, and confidentiality commitments and requirements throughout the change management process. 19
20 Bedankt Voor meer informatie kun je contact opnemen met: René Ewals of NOREA 14 april 2016
21 SOC 2 in de praktijk toegepast Nader toegelicht door InterXion Nederland Dennis Houtekamer - EY 14 april 2016
22 The past, present and future of SOC reporting 22
23 INTerxion & SOC2 Koenraad Zirkzee, Director Operations Theo Buurman Quality Manager Amsterdam, 14 April 2016
24 Who is interxion? Founded 1998 Headquartered in Amsterdam Listed on New York Stock Exchange (INXN) 41 data centres in 13 cities across 11 countries Over 600 Connectivity providers 350+ cloud providers 21 Internet exchanges Over 1,500 customers 400+ employees 24
25 What do we do? Interxion provides datacentre services: Space Power Cooling Security Connectivity (Carrier & Cloud Neutral) We design, build and operate our own datacentres All about Uptime: 100% Availability and Security 25 25
26 Space 26 26
27 Colocation 27 27
28 Secure locations 28 28
29 24/7 access 30 30
30 Fire protection 31 31
31 Electrical power 32 32
32 Backup power 33 33
33 Efficient Cooling 34 34
34 Interxion Schiphol campus AMS6 AMS3 AMS7 AMS5 AMS
35 AMS8 ARCHITECTURE AND DESIGN Front VIEW 36 36
36 AMS8 under construction
37 Datacentre operations? Availability: Maintenance, Inspection, Testing Registration and traceability / Asset Management Change Management Standard Operating Procedures Security: Authentication / Registration Controlled access Monitoring (Access Control / CCTV) Reporting (logs, visitors, deliveries, etc.) 38 38
38 WHY SOC2? 39 39
39 Wie is theo buurman? 40 40
40 Why soc2? 41 41
41 Why soc2? Onze klanten vragen om meer compliancy en assurance Alleen ISO niet meer voldoende Sommige audits geven slechts een momentopname Meerdere standaarden zorgen voor steeds meer audits.. Audit ondersteuning kost ons veel tijd Behoefte aan een standaard die alle relevante aspecten van onze operatie afdekt,..die meer is dan een momentopname...die breed inzetbaar is naar al onze klanten Daarom IX keuze voor SOC2 (type 2): Scope: Availability & Security Full year compliancy 1 rapportage voor de hele groep (HQ+11 landen) 42 42
42 ONZE ERVARINGEN MET SOC
43 Wat kan beter? Meer uitdragen als standaard: Onze klanten zitten wereldwijd (Amerika, India, etc.) Meer (H) erkenning Werken aan bredere acceptatie Coordinatie tijdens audit bij meerdere entiteiten Scope verdeling tussen een hoofdkantoor en filiaal Resultaat: Effectieve en efficiente audits Breed geaccepteerde rapportages, Dus minder dubbel werk Relevante resultaten: Availability en Security zijn goed geregeld! 44 44
44 Wat is er al bereikt? Positief effect, van push naar pull Klanten vragen erom! Uniformiteit in rapportage over landen heen Geeft scherpte aan de operatie Traceability versterkt het kwaliteitssysteem Geeft focus aan beheersmaatregelen in processen Nieuwe wijsheid: 45 45
45 THANK YOU Amsterdam Brussels Copenhagen Dublin Dusseldorf Frankfurt London Madrid Marseille Paris Stockholm Vienna Zurich
46 Stellingen Handreiking SOC2 14 april 2016
IT auditor kunt u ons helpen aan een assurance-rapport?
IT auditor kunt u ons helpen aan een assurance-rapport? Round table Eindhoven Han Boer 19 juni 2016 agenda Wat is assurance Positionering Herziening stramien [raamwerk], richtlijn 3000 A / D en 3402 Richtlijn
Nadere informatieNaar een nieuw Privacy Control Framework (PCF)
Naar een nieuw Privacy Control Framework (PCF) Ed Ridderbeekx 22 november 2017 Een stukje geschiedenis 2001: Raamwerk Privacy Audit (door Samenwerkingsverband Audit Aanpak onder verantwoordelijkheid CPB)
Nadere informatieSnel naar ISO20000 met de ISM-methode
Snel naar ISO20000 met de ISM-methode Cross-reference Datum: 16 oktober 2012 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar ISO20000 met de ISM-methode! Organisaties moeten, door
Nadere informatiePrivacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer
Privacy & Data event 18 mei 2017 Privacy by Design Jan Rochat, Chief Technology Officer Wie ben ik? Ik heb wél iets te verbergen Toegepaste cryptografie & Security Rochat's view on Security: https://janrochat.wordpress.com
Nadere informatieContinuous testing in DevOps met Test Automation
Continuous ing in met Continuous testing in met Marco Jansen van Doorn Tool Consultant 1 is a software development method that emphasizes communication, collaboration, integration, automation, and measurement
Nadere informatie2 e webinar herziening ISO 14001
2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar
Nadere informatie2010 Integrated reporting
2010 Integrated reporting Source: Discussion Paper, IIRC, September 2011 1 20/80 2 Source: The International framework, IIRC, December 2013 3 Integrated reporting in eight questions Organizational
Nadere informatieIncidenten in de Cloud. De visie van een Cloud-Provider
Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?
Nadere informatieReadiness Assessment ISMS
Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC
Nadere informatieICT-Risico s bij Pensioenuitvo ering
ICT-Risico s bij Pensioenuitvo ering Seminar Instituut voor Pensioeneducatie 13 juni 2018 Introductie en kennismaking Ali Alam + Senior Consultant bij KPMG IT Assurance & Advisory + Ruime ervaring met
Nadere informatieSeriously Seeking Security
Seriously Seeking Security The Quest for the Holy Grail? Aart Bitter 27 november 2007 SBIT congres: Taking Security Seriously Aart.Bitter@information-security-governance.com Agenda Taking Security Seriously
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatie[ ] OVER ASCOM HARRY WASSENS, SALES DIRECTOR. Over Ascom Harry Wassens 13-10-11 Ascom (Nederland) B.V.
[ ] OVER ASCOM HARRY WASSENS, SALES DIRECTOR 1 ASCOM Ascom employs about 2.300 people worldwide Ascom has subsidiaries in 20 countries In H1/2011 Ascom generated revenues of 253.1 MCHF with an EBITDA margin
Nadere informatieProcess Mining and audit support within financial services. KPMG IT Advisory 18 June 2014
Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program
Nadere informatieIntegratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036
Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036 NCP contactdag, 19 april 2016 Thamar Zijlstra, Dick Hortensius NEN Milieu en Maatschappij Agenda Achtergrond NPR 9036
Nadere informatieISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007
ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatieOpleiding PECB ISO 9001 Quality Manager.
Opleiding PECB ISO 9001 Quality Manager www.bpmo-academy.nl Wat is kwaliteitsmanagement? Kwaliteitsmanagement beoogt aan te sturen op het verbeteren van kwaliteit. Tevens houdt het zich bezig met het verbinden
Nadere informatieISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?
ISO 9001:2015... Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet? NNK bijeenkomst, 09 september 2014 Bob Alisic / ActinQ V2.1 Waarom een nieuwe versie van ISO 9001? De norm in lijn te
Nadere informatieInformatiebeveiliging & Privacy - by Design
Informatiebeveiliging & Privacy - by Design Steven Debets Verdonck, Klooster & Associates Even voorstellen e steven.debets@vka.nl m 0651588927 Informatiebeveiliging Informatiebeveiliging houdt zich bezig
Nadere informatieOpleiding PECB IT Governance.
Opleiding PECB IT Governance www.bpmo-academy.nl Wat is IT Governance? Information Technology (IT) governance, ook wel ICT-besturing genoemd, is een onderdeel van het integrale Corporate governance (ondernemingsbestuur)
Nadere informatie1/45 INTERNATIONAL STANDARD ON AUDITING 3402 ASSURANCE REPORTS ON CONTROLS AT A SERVICE ORGANIZATION. Vertaling NEDERLANDS
ENGELS INTERNATIONAL STANDARD ON AUDITING 3402 ASSURANCE REPORTS ON CONTROLS AT A SERVICE ORGANIZATION (Effective for service auditors assurance reports covering periods ending on or after June 15, 2011)
Nadere informatieVertaling NEDERLANDS INTERNATIONAL STANDARD ON AUDITING 402. Paragraph. Inleiding
INTERNATIONAL STANDARD ON AUDITING 402 AUDIT CONSIDERATIONS RELATING TO AN ENTITY USING A SERVICE ORGANIZATION (Effective for audits of financial statements for periods beginning on or after December 15,
Nadere informatieInformatiebeveiliging & ISO/IEC 27001:2013
Informatiebeveiliging & ISO/IEC 27001:2013 Aart Bitter Haarlem, 18 maart 2014 Kwaliteitskring Noord-Holland www.information-security-governance.com Agenda 13:45-14:15 - Informatiebeveiliging Introductie
Nadere informatieIntroductie in flowcharts
Introductie in flowcharts Flow Charts Een flow chart kan gebruikt worden om: Processen definieren en analyseren. Een beeld vormen van een proces voor analyse, discussie of communicatie. Het definieren,
Nadere informatieHET GAAT OM INFORMATIE
Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie
Nadere informatieIt s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus
It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering
Nadere informatieGDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering
GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering FLAGIS Studienamiddag Donderdag 15 maart 2018 - Leuven - KU Leuven Ivan Stuer Afdelingshoofd IT Informatie Vlaanderen
Nadere informatie1. Overleg tussen VOC en SSVV over aanpassingen 2. Planning 2015 nieuwe versie gereed 3. Aansluitend nieuwe VCU 4. Waarschijnlijk meer nuancering dan
1. Overleg tussen VOC en SSVV over aanpassingen 2. Planning 2015 nieuwe versie gereed 3. Aansluitend nieuwe VCU 4. Waarschijnlijk meer nuancering dan schokkende wijzigingen Speerpunten VOC richting SSVV
Nadere informatieMaturity van security architectuur
Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur
Nadere informatie1.1 ORGANIZATION INFORMATION 1.2 CONTACT INFORMATION 2.1 SCOPE OF CERTIFICATION 2.2 AUDITOR INFORMATION 3.1 AUDIT CONCLUSIONS 3.2 MANAGEMENT SYSTEM EFFECTIVENESS 3.3 OBSERVATIONS Organization Address Name
Nadere informatieGeneral info on using shopping carts with Ingenico epayments
Inhoudsopgave 1. Disclaimer 2. What is a PSPID? 3. What is an API user? How is it different from other users? 4. What is an operation code? And should I choose "Authorisation" or "Sale"? 5. What is an
Nadere informatieISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1
ISO/IEC 38500 Governance of InformationTechnology Yvette Backer ASL BiSL Foundation 16 juni 2016 ISO 38500 Governance of Information Technoloy 1 Achtergrond Yvette Backer Zelfstandig consultant en trainer,
Nadere informatieImpact PSD2 op IT audit. Marcel van Beek 5 juli 2018
Impact PSD2 op IT audit Marcel van Beek Wie is Marcel van Beek? Bsc in Hydrographic Surveying (Amsterdam London) en IT audit TIAS Sinds 1 januari 1987 werkzaam in de financiële sector 1987 2005: 19 jaar
Nadere informatieArchitecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security
Architecten-debat 21 juni 2006 PI GvIB Themamiddag Renato Kuiper Principal Consultant Information Security 1 De spreker Principal Consultant Information Security Hoofdredacteur Informatiebeveiliging 15
Nadere informatieKPMG PROVADA University 5 juni 2018
IFRS 16 voor de vastgoedsector Ben u er klaar voor? KPMG PROVADA University 5 juni 2018 The concept of IFRS 16 2 IFRS 16 Impact on a lessee s financial statements Balance Sheet IAS 17 (Current Standard)
Nadere informatieActivant Prophet 21. Prophet 21 Version 12.0 Upgrade Information
Activant Prophet 21 Prophet 21 Version 12.0 Upgrade Information This class is designed for Customers interested in upgrading to version 12.0 IT staff responsible for the managing of the Prophet 21 system
Nadere informatieGeleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda
Geleerde lessen Compliance Toegepast op WP 29: Guideline DPO Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E Agenda Kennismaken met VCO Ontwikkeling van Compliance in NL WP 29 Triggers Lessons learned
Nadere informatieWat komt er op ons af?
BUSINESS ASSURANCE ISO 45001 Wat komt er op ons af? Apply veiligheidsdag Hans Snoeren 25 mei 2016 1 EHS Conversion_01_Introduction_Rev 0 SAFER, SMARTER, GREENER Introductions Planning ontwikkeling ISO
Nadere informatieEen andere blik op fraude en integriteit: zicht op geld- en goederenstromen
Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Hans Schoolderman Building trust in food Food Supply and Integrity Services October 2015 VMT congres, 13 oktober Hans Schoolderman
Nadere informatieWat kan BIM betekenen voor de gebouwbeheerder?
Wat kan BIM betekenen voor de gebouwbeheerder? Tim Lemoine WTCB Hoofdadviseur Dienst BIM en informatietechnieken tim.lemoine@bbri.be Wat kan BIM betekenen voor de gebouwbeheerder? - 13-05-16 - Pagina 1
Nadere informatieISO 20000 @ CTG Europe
ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De
Nadere informatieCTI SUITE TSP DETAILS
CTI SUITE TSP DETAILS TAPI allows an application to access telephony services provided by a telecom PABX. In order to implement its access to ETRADEAL, a TAPI interface has been developed by Etrali. As
Nadere informatieSarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005
Sarbanes-Oxley en de gevolgen voor IT Daniel van Burk 7 november 2005 Even voorstellen... Daniel van Burk Voorzitter van de afdeling Beheer van het NGI Senior Business Consultant bij Atos Consulting Veel
Nadere informatieInhoud Deze pdf bevat de volgende Engelstalige voorbeeldrapportages van sectie II, deel 3 HRA:
Handleiding Regelgeving Accountancy Engelstalige voorbeeldteksten Inhoud Deze pdf bevat de volgende Engelstalige voorbeeldrapportages van sectie II, deel 3 HRA: 1.1.1.4: Goedkeurende controleverklaring,
Nadere informatieEnterprisearchitectuur
Les 2 Enterprisearchitectuur Enterprisearchitectuur ITarchitectuur Servicegeoriënteerde architectuur Conceptuele basis Organisatiebrede scope Gericht op strategie en communicatie Individuele systeemscope
Nadere informatieAantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)
Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA) Agenda Over uw sprekers; De toezichtaanpak van DNB: Focus! IT risico in Focus!
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatie2019 SUNEXCHANGE USER GUIDE LAST UPDATED
2019 SUNEXCHANGE USER GUIDE LAST UPDATED 0 - -19 1 WELCOME TO SUNEX DISTRIBUTOR PORTAL This user manual will cover all the screens and functions of our site. MAIN SCREEN: Welcome message. 2 LOGIN SCREEN:
Nadere informatieIdentity & Access Management & Cloud Computing
Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information
Nadere informatieBuilding effective IT demandsupply
Building effective IT demandsupply structures Gerard Wijers Director Governance and Sourcing Management Agenda» Introductie Demand-Supply» Demand-Supply bij Vopak» Demand-Supply bij van Gansewinkel» Discussie
Nadere informatieNieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages
Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages SOC 2 en SOC 3 Han Boer RE RA en drs. Jaap van Beek RE RA In de Verenigde Staten zijn nieuwe richtlijnen ontwikkeld voor assurancerapporten
Nadere informatieDe Digitale Transformatie en de impact op IT. Capgemini Edwin Leinse
De Digitale Transformatie en de impact op IT Capgemini Edwin Leinse 40+ countries and 120+ nationalities (As of December 31, 2015) North America 16 034 Latin America 9 363 Europe 62 301 Middle-East & Africa
Nadere informatieSlide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof
Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld
Nadere informatieE-learning maturity model. Hilde Van Laer
E-learning maturity model Hilde Van Laer E-learning maturity model (emm) Self-assessment van online en blended leren met e-learning maturity model (emm) A driver for change? http://www.utdc.vuw.ac.nz/research/e
Nadere informatieAndré Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag
André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen
Nadere informatieInformation security officer: Where to start?
1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise
Nadere informatieAgenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility
Agenda Next Level in Control 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility Control Productivity DHS nextbeheer / Office 365 OUR PROFESSIONALS Cloud Monitoring
Nadere informatieVerschillen en overeenkomsten tussen SOx en SAS 70
Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur,
Nadere informatieHet beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14
QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network
Nadere informatie13/07/2012. Op naar Product Quality Monitoring René Tuinhout. Agenda. Tijdsindeling. K o f f i e p a u z e. TestNet Summerschool, juni 2012
Op naar Product Quality Monitoring René Tuinhout Agenda No. 2 Tijdsindeling K o f f i e p a u z e No. 3 1 Introductie Zaterdag 9 juni 2012 Vrijdag 15 juni 2012 Zaterdag 16 juni 2012 Zaterdag 9 juni 2012
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieFOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 25/2/2016. Biocide CLOSED CIRCUIT
1 25/2/2016 Biocide CLOSED CIRCUIT 2 Regulatory background and scope Biocidal products regulation (EU) nr. 528/2012 (BPR), art. 19 (4): A biocidal product shall not be authorised for making available on
Nadere informatieISA SP-99 Manufacturing and Control Systems Security
ISA SP-99 Manufacturing and Control Systems Security IT Security in de industrie, 11 mei 2006 Standards Certification Education & Training Publishing Conferences & Exhibits Bianca Scholten, ISA Netherlands
Nadere informatiePreserva'on metadata voor cer'ficering van Trusted Digital Repositories
Preserva'on metadata voor cer'ficering van Trusted Digital Repositories Paula Witkamp Data Archiving and Networked Services paula.witkamp@dans.knaw.nl Wat is DANS Het data archief Duurzame toegang Rol
Nadere informatieCobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1
CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving
Nadere informatieIT risk management voor Pensioenfondsen
IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,
Nadere informatieToegang tot overheidsinformatie: de gevolgen van Europese ontwikkelingen voor Nederland
Toegang tot overheidsinformatie: de gevolgen van Europese ontwikkelingen voor Nederland KvAG/NCG/Ravi studiedag Europese GI-projecten waaronder INSPIRE Bastiaan van Loenen B.vanloenen@geo.tudelft.nl 23
Nadere informatieCOBIT Perspectief van de beoordeling
INFORMATION RISK MANAGEMENT COBIT Perspectief van de beoordeling AUDIT Mark Lof Senior Manager Information Risk Management Utrecht, Nederland 29 juni 2005 Agenda IT Audit Gebruik van normen Normenset COBIT
Nadere informatieRisk & Requirements Based Testing
Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie
Nadere informatieEnterprise Portfolio Management
Enterprise Portfolio Management Strategische besluitvorming vanuit integraal overzicht op alle portfolio s 22 Mei 2014 Jan-Willem Boere Vind goud in uw organisatie met Enterprise Portfolio Management 2
Nadere informatieCSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden
CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden Laatst bijgewerkt op 25 november 2008 Nederlandse samenvatting door TIER op 5 juli 2011 Onderwijsondersteunende
Nadere informatieRequirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman
Requirements Traceability Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman 22 Mei 2008 Werkgroep Traceability Doel van de werkgroep: Aanbieden van hulpmiddelen
Nadere informatieTRACTATENBLAD VAN HET KONINKRIJK DER NEDERLANDEN. JAARGANG 2018 Nr. 18
63 (1975) Nr. 34 TRACTATENBLAD VAN HET KONINKRIJK DER NEDERLANDEN JAARGANG 2018 Nr. 18 A. TITEL Douaneovereenkomst inzake het internationale vervoer van goederen onder dekking van carnets TIR (TIR-Overeenkomst)
Nadere informatieIT auditorsdag 2019 DIGITAL TRANSFORMATION & CONTROL. Digital Transformation & Control. 17 september 2019
IT auditorsdag 2019 Digital Transformation & Control 17 september 2019 DIGITAL TRANSFORMATION & CONTROL Jan-Willem de Jong Afdelingsmanager Besturing en RPA projectleider Zorg en Zekerheid Introductie:
Nadere informatieErvaringen met begeleiding FTA cursus Deployment of Free Software Systems
Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Frans Mofers Nederland cursusmateriaal & CAA's alle cursusmateriaal vrij downloadbaar als PDF betalen voor volgen cursus cursussite
Nadere informatieWat verwacht de Inspectie van Klinisch onderzoek?
Wat verwacht de Inspectie van Klinisch onderzoek? Jos Kraus, senior inspecteur Inspectie voor de gezondheidszorg Baarn, 7 oktober 009. Wat is klinisch onderzoek Introductie Definities De weg door de wet
Nadere informatieOffshore Outsourcing van Infrastructure Management
Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies
Nadere informatieExpertise seminar SURFfederatie and Identity Management
Expertise seminar SURFfederatie and Identity Management Project : GigaPort3 Project Year : 2010 Project Manager : Albert Hankel Author(s) : Eefje van der Harst Completion Date : 24-06-2010 Version : 1.0
Nadere informatieIntroduction to IBM Cognos Express = BA 4 ALL
Introduction to IBM Cognos Express = BA 4 ALL Wilma Fokker, IBM account manager BA Ton Rijkers, Business Project Manager EMI Music IBM Cognos Express Think big. Smart small. Easy to install pre-configured
Nadere informatieHoe fysiek is informatiebeveiliging?
Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties
Nadere informatieSURFnet User Survey 2006
SURFnet User Survey 2006 Walter van Dijk Madrid, 21 September 2006 Agenda A few facts General picture resulting from the survey Consequences for the service portfolio Consequences for the yearly innovation
Nadere informatieBlockchain en Assurance
Kennisgroep Keteninformatiemanagement en Control Blockchain en Assurance Algemene Ledenvergadering 6 juni 2019 Dr. René Matthijsse RE 1 Bron: Cognizant, 2018 2 Agenda Inleiding Risicogebieden Effecten
Nadere informatieControl driven cyber defense
Control driven cyber defense An introduction to 20 critical security controls for effective cyber defense ferdinand.hagethorn@snow.nl Engineer Agenda Informatiebeveiliging & IT-security Een technische
Nadere informatieDe laatste ontwikkelingen op het gebied van NEN-EN normering de nieuwe norm is compleet
De laatste ontwikkelingen op het gebied van NEN-EN 50600 normering de nieuwe norm is compleet Niek van der Pas Voorzitter NEN commissie: Computerruimten en datacenters Nederland NEN 'Computerruimtes en
Nadere informatieResultaat gerichter Testen
Resultaat gerichter Testen Verandering van test beleid bij Rabobank International De Rabobank 1 Rabobank International Information Systems &Development IS&D Global Services & IT Risk Management Strategy
Nadere informatieIntroductie IP-Solutions Uw Technisch Management service provider
Introductie IP-Solutions Uw Technisch Management service provider IP-Solutions : Wij maken Asset Management eenvoudig en praktisch Passie voor Asset Management. Resultaat gedreven. Toegepaste filosofieën:
Nadere informatieUitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM
Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM 5 maart 2014 De Beukenhof Terweeweg 2-4 2341 CR Oegstgeest 071-517 31 88 Security Intelligence Bijeenkomst Corporate IAM On the Internet,
Nadere informatieAuteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT
Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten
Nadere informatieSECURITY UITDAGINGEN 2015
SECURITY UITDAGINGEN 2015 Hoe uw IT-infrastructuur beschermen? Robby Cauwerts Security Engineer 2015 Check Point Software Technologies Ltd. 1 CHECK POINT NAMED A LEADER IN THE GARTNER MAGIC QUADRANTS FOR
Nadere informatieEnd-to-End testen: de laatste horde
End-to-End testen: de laatste horde Dieter Arnouts Agenda Begrip End-to-End testen in het test proces Praktische aanpak End-to-End Test Omgeving Uitdagingen End-to-End testen: De laatste horde 11/10/2010
Nadere informatieService Level Agreement (SLA)
Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN
Nadere informatieBootCamp. Template Powerpoint Datum
Template Powerpoint Datum Managed Security Services Ontwikkelingen en demo security is een proces, geen product Jelmer Hartman & Peter Mesker! " Security Engineer! " @SecureLinkNL! " Security Consultant!
Nadere informatieDECLARATION FOR GAD approval
Version 1.2 DECLARATION FOR GAD approval Declare that for the following central heating boilers Intergas Calderas de Calefacción S. L. Kombi Kompakt R 24, 28/24, 36/30 and Prestige The installation and
Nadere informatieMarketing. De uitgebreide marketingmix Hoorcollege 5
Marketing De uitgebreide marketingmix Hoorcollege 5 Vorige week: wat is een product 2 Propedeuse CMDA Marketing HC 5 Goed om te weten omdat: 3 Propedeuse CMDA Marketing HC 5 Vorige week: kernstrategie
Nadere informatieMobile Devices, Applications and Data
Mobile Devices, Applications and Data 1 Jits Langedijk Senior Consultant Jits.langedijk@pqr.nl Peter Sterk Solution Architect peter.sterk@pqr.nl Onderwerpen - Rol van Mobile IT in Tomorrow s Workspace
Nadere informatieJoop Cornelissen BMC Klantendag 2011. Professionaliseren dienstverlening CMS
Joop Cornelissen BMC Klantendag 2011 Professionaliseren dienstverlening CMS Agenda Introductie CIBER Waarom verder professionaliseren Tijdslijnen selectietraject Businesscase Scope implementatie Status
Nadere informatieRisico s van Technologisch Succes in digitale transformatie S T R A T E G I C A D V I S O R
Risico s van Technologisch Succes in digitale transformatie 2e Risk Event 2019 11 april 2019 The S T R A T E G I C A D V I S O R Ymanagement school of the autonomous University of Antwerp 2 Prof. dr. Hans
Nadere informatieInhoud INTRODUCTIE... 3 MIGRATIE EXCHANGE 2013 NAAR SUPPORT PERRIT... 7
Migratie Exchange 2013 naar 2016 Inhoud INTRODUCTIE... 3 MIGRATIE EXCHANGE 2013 NAAR 2016... 4 SUPPORT PERRIT... 7 2 Introductie Beste, In dit document vindt u meer informatie over de migratie naar Exchange
Nadere informatieBesluitenlijst CCvD HACCP/ List of decisions National Board of Experts HACCP
Besluitenlijst CCvD HACCP/ List of decisions National Board of Experts HACCP Dit is de actuele besluitenlijst van het CCvD HACCP. Op deze besluitenlijst staan alle relevante besluiten van het CCvD HACCP
Nadere informatie