Vrije Universiteit Amsterdam Post-Graduate IT-audit opleiding. Identity & Access Management

Maat: px
Weergave met pagina beginnen:

Download "Vrije Universiteit Amsterdam Post-Graduate IT-audit opleiding. Identity & Access Management"

Transcriptie

1 Vrije Universiteit Amsterdam Post-Graduate IT-audit opleiding Identity & Access Management Scriptie ter afronding van de IT-audit opleiding aan de VU Auteur: ing. R.J.H (Robert-Jan) Broer Vlietstraat DH Voorburg Telefoonnummer Scriptienummer: 815 Studentnummer: Bedrijfscoach: drs. R. (Ronald) Blok RE RA / ing. P. (Peter) Groen MBA RE CISA Begeleider VU: De heer B. (Bart) Bokhorst RE RA Afstudeerdatum: 31 Maart 2008

2 Voorwoord De scriptie die voor u ligt is de finale toets van de Post-Graduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. De student dient in deze scriptie een probleem of vraagstuk uit de dagelijkse praktijk op een academisch verantwoorde wijze uit te werken. Deze scriptie heeft als onderwerp Identity & Access Management en richt zich met name op de aandachtsgebieden tijdens het implementatietraject vanuit IT-audit perspectief. Vanuit de Vrije Universiteit van Amsterdam is de heer Bart Bokhorst aangewezen als mijn afstudeerbegeleider. Ik wil hem graag bedanken voor de inhoudelijke ideeën en het doorlezen en becommentariëren van de conceptversies van deze scriptie. Graag wil ik mijn bedrijfsbegeleiders Peter Groen en Ronald Blok bedanken voor hun adviezen en voor het meelezen van deze scriptie. Verder wil ik graag de geïnterviewde personen bedanken voor hun tijd en het geven van hun ervaringen en visie op het onderwerp. Robert-Jan Broer Voorburg, 31 maart 2008

3 Inhoudsopgave 1. Inleiding De aanleiding en doelstelling van het afstudeeronderzoek Probleemstelling De aanvullende deelvragen Aanpak Leeswijzer Identity & Access Management Inleiding Wat is Identity & Access Management? Definitie van Identity & Access Management I&AM-Componenten Business Drivers Het implementatietraject van Identity & Access Management Inleiding Business Case Implementatiefasering Deelproducten van een Identity & Access Management implementatie Samenvatting De rol van de IT-auditor Inleiding De rol van de IT-auditor Projectaudit Projectdeliverables Samenvatting Aandachtsgebieden tijdens Identity & Access Management implementatie Inleiding Resultaten Case Study Aanleiding Projectaanpak Deelproducten... 22

4 5.2.4 Audit Resultaten expertinterviews Samenvatting Conclusies en reflectie Conclusies van het onderzoek Persoonlijke reflectie Gehanteerde literatuur Bijlage A. Uitwerking I&AM expertinterviews... 29

5 1. Inleiding 1.1 De aanleiding en doelstelling van het afstudeeronderzoek Met de groeiende aandacht in de media voor lekken in informatiebeveiliging worden organisaties zich steeds bewuster van de noodzaak tot informatiebeveiliging. Niet alleen diefstal of verlies van een laptop of USB-memorystick zijn hiervan de oorzaak, ook verschijnen er regelmatig berichten in de media van organisaties die door een ex-werknemer zijn getroffen omdat deze nog toegang tot het netwerk had, omdat iemand was vergeten zijn gebruikersaccount te verwijderen. Het kan ook voorkomen dat iemand anders misbruik maakt van zijn vergeten gebruikersaccount, en dus, andermans identiteit. Het misbruik maken van een identiteit spreekt wellicht het meest tot de verbeelding door films zoals James Bond in Never say never again, waarbij één van de schurken een oogoperatie heeft ondergaan om kenmerken van het oog van de president te kopiëren. Zodoende kan hij de irisscan die toegang geeft tot nucleaire wapens met succes passeren. Wellicht dichter bij huis, zijn de gevallen van identiteitsmisbruik waar bijna iedere internetgebruiker momenteel mee te maken krijgt. Denk hierbij aan phishing of pharming. Bij phishing wordt men doorgeleid naar een identiek gelijkende website die frauduleus is. Bij pharming wordt men op websites misleid door omleiding naar een kwaadwillige website, die niet gelijk hoeft te zijn aan de website die men zocht, maar wel op persoonlijke gegevens uit is. Het is opvallend te noemen, dat de internet thuisgebruiker die tegenwoordig op z n qui vive is voor misbruik van zijn creditcardgegevens, dezelfde collega is die nog niet zo heel lang geleden (en misschien nog steeds) geen moeite heeft om zijn gebruikersnaam en wachtwoord te delen met andere collega s zonder zich bewust te zijn van de mogelijke gevolgen. Terwijl het binnen de kantooromgeving vaak om veel grotere risico s gaat. Denk hierbij aan functiescheidingen in betalingssystemen die geautomatiseerd worden afgedwongen. In mijn functie als IT-auditor heb ik tijdens opdrachten bij zowel mijn vorige (Big Four) als huidige werkgever (investeringsbank) meer dan eens te maken met het gebrek aan kennis en capaciteit om medewerkers, klanten en business partners te kunnen authenticeren en autoriseren voor toegang tot netwerken, applicaties en digitale informatie in het algemeen. De veelheid aan applicaties en systemen, met ieder vaak hun eigen authenticatie- en autorisatiemodules, het (grote) aantal wijzigingen in user accounts, verzoeken om wachtwoorden te resetten door de eindgebruikers kunnen zorgen voor een relatief zware belasting op de IT-beheerorganisatie. Dit resulteert in lange doorlooptijden voor autorisatiebeheer en hoge kosten voor het IT-beheer. Het implementeren van Identity & Access Management helpt organisaties om de juiste informatie (tijdig) toegankelijk te maken voor de juiste personen of groepen. Over Identity & Access Management is reeds veel gepubliceerd, waarin de definitie en beschrijving van alle bijbehorende componenten zijn uitgewerkt (zie paragraaf 1.4). Dit afstudeeronderzoek richt zich op het implementatiepad van Identity & Access Management vanuit een IT-audit perspectief. Richten ITauditors zich tijdens een implementatieproject van Identity & Access Management zich voornamelijk 1

6 op de betrouwbaarheid en effectiviteit van het project zelf, of wordt er wel degelijk inhoudelijk gekeken naar de projectdeliverables zelf? 1.2 Probleemstelling De volgende onderzoeksvraag is ontstaan vanuit de geschetste uiteenzetting in de vorige paragraaf: Wat zijn de aandachtsgebieden van een Identity & Access Management implementatietraject, vanuit een IT-audit perspectief? 1.3 De aanvullende deelvragen De volgende deelvragen dienen beantwoord te worden alvorens er op de bovenstaande onderzoeksvraag antwoord gegeven kan worden. 1. Hoe ziet een stappenplan eruit met betrekking tot de implementatie van Identity & Access Management en welke deelproducten horen bij deze stappen? 2. Wat zijn, vanuit een IT-audit perspectief, de aandachtsgebieden bij de totstandkoming van elk van deze deelproducten? 3. Wat zijn de ervaringen van betrokken IT-auditors bij Identity & Access Management implementatietrajecten? 1.4 Aanpak Momenteel staat Identity & Access Management in de belangstelling bij overkoepelende vakorganisaties zoals de PvIB 1 en wordt er met enige regelmaat over gepubliceerd of aangehaald in publicaties over gerelateerde onderwerpen (bijv. Role Based Access Control). Tevens worden er met enige regelmaat seminars georganiseerd over Identity & Access Management en zijn er talloze white papers te vinden over gerelateerde producten en diensten die worden geleverd. Naast deze geraadpleegde bronnen, is het afstudeeronderzoek naar Enterprise Identity & Access Management door Emanuël van der Hulst gebruikt als vertrekpunt voor dit onderzoek. Dit onderzoek is uitgevoerd door middel van een empirisch onderzoek en een case study. De case study is die van de Identity & Access Management implementatie binnen de organisatie waarvoor ik werkzaam ben. Het empirisch onderzoek bestaat uit het afnemen van interviews met personen die betrokken zijn (geweest) bij Identity & Access Management implementaties. Deze exercitie heeft zich vertaald naar een aantal verkorte case studies van Identity & Access Management implementatietrajecten. 1 Platform voor InformatieBeveiliging 2

7 De geïnterviewde experts vertegenwoordigen zeven organisaties waaronder accountantskantoren (Big Four), een overheidsinstelling, twee experts van IT-dienstverlenende organisaties en een organisatie waarbij de fysieke toegangsbeveiliging van groot belang is. Om een antwoord te krijgen op alle deelvragen, en uiteindelijk dus op de kernvraag, is er een implementatieraamwerk opgesteld aan de hand van de beschikbare theorie over Identity & Access Management om alle fasen van een implementatie met daarbij de voor de IT-auditor relevante deliverables van de projectorganisatie in beeld te krijgen. Door middel van het empirisch onderzoek wordt er getoetst of een Identity & Access Management implementatie in de praktijk ook daadwerkelijk wordt uitgevoerd zoals is opgesteld in het implementatieraamwerk, met de bijbehorende deliverables en de rol van de IT-auditor. Ten slotte worden er conclusies getrokken over Identity & Access Management implementatietrajecten en de aandachtsgebieden voor de IT-auditor in deze. 1.5 Leeswijzer De opbouw van deze scriptie is hieronder schematisch weergegeven: Theorie Praktijk H2. Identity & Access Management H5. Aandachtsgebieden tijdens Identity & Access Management implementatie H3. Het implementatietraject van Identity & Access Management H4. De rol van de IT auditor H6. Conclusie en persoonlijke reflectie 3

8 2. Identity & Access Management 2.1 Inleiding Identity & Access Management (I&AM), er zijn inmiddels legio artikelen geschreven over dit containerbegrip. In dit hoofdstuk zal geen uitputtende beschrijving worden gegeven van I&AM, maar een definitie van waaruit dit onderzoek zal starten en een uiteenzetting van de componenten van I&AM. 2.2 Wat is Identity & Access Management? Definitie van Identity & Access Management Zoals reeds beschreven in paragraaf 1.1, is I&AM een actueel onderwerp in verschillende vakliteratuur voor IT-specialisten, Information Security Officers en IT-auditors. Het is lastig om één betekenis te geven aan het containerbegrip I&AM. Er zijn een groot aantal definities van I&AM in omloop, waarvan hieronder enkele worden weergegeven: A system of procedures, policies and technologies to manage the lifecycle and entitlements of electronic credentials - Microsoft Identity and Access Management is the process for managing the lifecycle of digital identities and access for people, systems and services. - Computer Associates Identity Management bestaat uit processen en alle onderliggende techniek voor het aanmaken, het beheer en gebruik van elektronische identiteitsgegevens - [Jurg et al, P.;2007] Bij de definitie van P. Valkenburg en P. Jurg moet worden opgemerkt dat de auteurs van het boek Identity & Access Management onder de noemer Identity Management samen nemen. Volgens de auteurs wordt het onderscheid tussen Identity Management en Identity & Access Management over het algemeen niet gemaakt, behalve door fabrikanten van oplossingen voor het beheer en de verspreiding van identiteitsgegevens (Identity Management) of oplossingen voor het gebruik van identiteitsgegevens voor toegangscontrole (Access Management). Voor deze scriptie wordt de volledige term Identity & Access Management gehanteerd om aan te geven dat Identity en Access als twee verschillende lagen wordt beschouwd, namelijk die van het beheer van identiteiten en het toekennen van rollen en die van het beheer van het toekennen van autorisaties aan identiteiten. Voor deze scriptie wordt de definitie gehanteerd zoals deze door E. van der Hulst is beschreven in zijn scriptie voor de Post-Graduate IT-Audit opleiding aan de VU, te weten: 4

9 Identity and Access Management betreft een stelsel van organisatie, processen en techniek gericht op het conform het beleid van de organisatie beheren van enerzijds digitale identiteiten en anderzijds de toegang van deze digitale identiteiten tot objecten op basis van autorisaties. - Enterprise Identity & Access Management E. van der Hulst De definitie van E. van der Hulst benoemt als enige (van de bovengenoemde definities) de organisatie en het beleid van de organisatie in het kader van I&AM. Het stelsel van organisatie, processen en de techniek is middels de volgende figuur weer te geven: Figuur 1. Stelsel van Organisatie, Processen en Techniek en haar componenten. Bron: Scriptie Enterprise Identity & Access Management E. van der Hulst. In figuur 1 zijn ook de componenten weergegeven in relatie tot de drie disciplines, organisatie, processen en techniek. Deze scriptie zal geen uitputtende beschrijving geven van I&AM en haar componenten maar zal de scriptie Enterprise Identity & Access Management van E. van der Hulst als vertrekpunt nemen. 5

10 I&AM-Componenten De componenten van I&AM die in figuur 1 zijn weergegeven, worden als volgt samengevat: Beleid Voor alle onderstaande processen dient er een helder beleid te zijn geformuleerd door de organisatie rondom I&AM. Wanneer er bij deze processen eenduidige kaders of beleid ontbreken, dan zullen deze processen naar alle waarschijnlijkheid niet of niet naar behoren worden uitgevoerd. [Blum, D.; 2004], [Gebel, G.; 2005]. Gebruikersbeheer Onder gebruikersbeheer verstaan we de activiteiten die gericht zijn op het beheren van de life cycle van een gebruiker. De life cycle van een gebruiker houdt in het: initieel vastleggen van de gebruikers, wijzigingen in de functie van de gebruiker en de uitdiensttreding van de gebruiker. [Hermans et al, J.; 2005] [Hulst, E. van der; 2007] Provisioning Provisioning is het doorgeven (handmatig of geautomatiseerd) van autorisaties binnen objecten op basis van het gebruikersbeheer. Gebruikersbeheer en provisioning zijn in figuur 1 aangeduid als één proces. [Hermans et al, J.; 2005] [Hulst, E. van der; 2007] Authenticatiebeheer Authenticatiebeheer is gericht op het identificeren van gebruikers. Hiermee wordt gedoeld op het beheer van authenticatiemiddelen zoals wachtwoorden, tokens, electronische passen etc. [Hermans et al, J.;2005] Autorisatiebeheer Onder autorisatiebeheer verstaan we het opstellen en onderhouden van het autorisatiemodel. Dit model wordt op basis van het organisatiebeleid opgesteld. [Hulst, E. van der;2007] Autorisatiebeheer kan op verschillende manieren plaatsvinden. Voorbeelden zijn autorisaties op basis van profielen, waarbij elke afdeling van een organisatie een profiel kent en waarbij aanvullende autorisaties op individuele basis worden toegekend. Een ander voorbeeld is het toekennen van autorisaties op basis van Role Based Access Control (RBAC). Permissies, ongeacht voor welke doelapplicatie of doelsysteem het betreft, worden hierbij aan gebruikers toegekend door middel van een rol met behulp van een RBACapplicatie. In deze RBAC-applicatie is vastgelegd via welke rollen een gebruiker heeft en welke permissies daarbij horen. De RBAC-applicatie wordt gevoed door een (bron)systeem met personeelsgegevens (bijvoorbeeld HR-systeem). [Bokhorst et al, B.; 2005] Het autorisatiemodel wordt gekozen op basis van eisen en wensen aan de mate van functiescheiding. Controle & Extraheren Controle & Extraheren wordt ook wel Monitoring & Audit genoemd. In dit proces zorgen de logging, auditing en rapportageactiviteiten ervoor dat de autorisaties zoals die zijn geïmplementeerd overeenkomen met het vooraf opgestelde beleid. Op basis van de constante vergelijking tussen de huidige (IST) situatie en de gewenste (SOLL) situatie kan worden vastgesteld of er zich conflicten 6

11 voordoen. Hierdoor kan bijvoorbeeld worden vastgesteld of functiescheidingen worden doorbroken door incorrecte autorisaties. [Jurg et al, P.;2007] In figuur 2 zijn de hiervoor beschreven componenten als volgt weergegeven: Figuur 2. Identity & Access Management in optima forma [Hermans, J.; 2006] Business Drivers Alvorens in te gaan op de implementatie van I&AM en de rol van de IT-auditor, worden er in deze paragraaf een aantal mogelijke business drivers in kaart gebracht. De business drivers spelen een rol in de werkzaamheden van de IT-auditor wanneer deze wordt betrokken bij een I&AMimplementatietraject. Kostenbeheersing op beheer en support Zoals in paragraaf 1.1 al werd aangehaald, kan het implementeren van een I&AM-oplossing bijdragen aan lagere kosten voor de IT-beheersorganisatie. Wanneer het terugbrengen van de operationele kosten de belangrijkste drijfveer is om I&AM te implementeren, dan zal de huidige situatie in kaart moeten worden gebracht om inzicht te verkrijgen in de huidige uitvoering van het proces en de daaraan gerelateerde kosten. Op deze wijze zal duidelijk worden waar en waarom de verbeteringen noodzakelijk zijn en waar (aspecten van) I&AM ingezet moeten worden. De lagere operationele IT-beheersingskosten door middel van de invoering van een I&AM-oplossing zijn toe te wijzen aan een hogere efficiency ten aanzien van het creëren en beheren van gebruikers accounts in een I&AM-omgeving, gereduceerde kosten ten aanzien van de helpdesk die vaak belast zijn met tijdrovende handelingen zoals het resetten van wachtwoorden en het administratief verwerken 7

12 van dergelijke verzoeken in een incidentenregister/applicatie en het sneller toegang kunnen verlenen in applicatie aan gebruikers zodat de (productie) processen niet worden verstoord of vertraagd door (lange) wachttijden. Het tijdig kunnen reageren op de informatiebehoefte van auditors is ook te kenmerken als kostenbesparing. Het is volgens de eerder genoemde P. Valkenburg en P. Jurg niet vanzelfsprekend dat de invoering van I&AM op korte termijn tot een kostenbesparing zal leiden. Volgens hen is kostenbeheersing een term die meer gericht is op de toekomst en betrekking heeft op het in de hand houden van kosten in de toekomst. Als voorbeeld wordt er een nieuw te ontwikkelen systeem aangehaald waarvoor geen eigen authenticatie- of autorisatievoorziening nodig is maar door de I&AM-infrastructuur wordt voorzien van de nodige gegevens. De besparing in FTE s van medewerkers die in het verleden o.a. belast waren met het beheer van autorisaties wordt ook vaak genoemd als kostenbesparing. Hierbij moet opgemerkt worden dat dergelijke FTE s vaak elders binnen de organisatie weer worden ingezet op een andere functie, mits daar ruimte voor is. (IT) Risk Management IT Risk Management wordt vaak aangehaald als business driver voor de implementatie van een I&AM-oplossing [Ham, D; ] [Witty, R;]. The ability to prove the security of the enterprise s access control infrastructure is an important requirement for maintaining customers, as well as obtaining them. In addition, easing the electronic data processing (EDP) audit process is of prime concern to many enterprises. Identity & Access Management Today, Roberta J. Witty - Gartner Bij deze business driver gaat het vooral om zekerheid geven aan toezichthouders, klanten en (interne & externe) auditors met betrekking tot IT-beveiliging. Is de logische toegangsbeveiliging van besturingssystemen, applicaties en databases op orde? Hoe vaak wordt in auditrapporten niet vermeld dat de gebruikersaccounts van ex-medewerkers nog voorkomen in autorisatietabellen, dat softwareontwikkelaars ook toegang hebben tot de productieomgeving of dat functiescheiding ongedaan wordt gemaakt door foutieve autorisaties in applicaties? Een I&AM-implementatie wordt gezien als de oplossing voor dergelijke bevindingen in auditrapporten. Compliance Organisaties die een verplichting hebben om te laten zien dat zij voldoen aan de gestelde wet- en regelgeving, denk bijvoorbeeld aan de Sarbanes-Oxley Act, Code Tabaksblatt of Basel II, kunnen gebaat zijn bij de implementatie van een I&AM oplossing. Een organisatie kan niet voldoen aan de Sarbanes-Oxley Act wetgeving zolang de logische toegangsbeveiliging niet adequaat wordt bevonden. [Hermans et al, J.; 2005] I&AM voorziet in de vraag naar een goede beheersing van identiteiten en van het toekennen van autorisaties. Compliance als business driver kan ook van belang zijn bij het proces van authenticatiebeheer. De Nederlandsche Bank (DNB) stelt bijvoorbeeld eisen aan het authenticatiemiddel wanneer er sprake is van bankieren of sparen via internet. DNB stelt dat er dan sprake moet zijn van two way factor authentication, waarbij de eindgebruiker bezit en kennis moet hebben, wat zich in dit geval vrij vertaalt in een paslezer en een pincode. 8

13 Tevens bieden de mogelijkheden op het gebied van auditing en logging met I&AM te voldoen aan de eisen van periodieke beoordelingen van toegekende autorisaties. Zodoende kan beoordeeld worden of de toegekende autorisaties in lijn zijn met het gestelde beleid, dat zich bijvoorbeeld heeft vertaald in rolgebaseerde toegang (RBAC). Kwaliteit Organisaties met een dienstverlenend karakter, kunnen gebaat zijn met een I&AM-implementatie, om zodoende te demonstreren dat ze beschikken over een hoge mate van kwaliteit ten aanzien van het proces van autoriseren en autenthiceren. Serviceorganisaties bijvoorbeeld, kunnen door middel van een SAS70(Statement on Auditing Standards)-verklaring aan hun klanten laten zien dat de interne beheersing en de processen daaromheen op orde zijn en dat men in control is. De SAS70-rapportage behelst een beschrijving van het management van de organisatie over de beheersing van (ICT) processen en risico s binnen hun serviceorganisatie. Wanneer de processen omtrent het toekennen, intrekken en wijzigen van autorisaties aan en van gebruikers door middel van I&AM op een beheerste wijze zijn ingericht en worden uitgevoerd, dan wordt dit middels een SAS70-verklaring aan de buitenwereld (klanten of mogelijke klanten) gepresenteerd. Tevens wordt er in SAS70-verklaringen nadruk gelegd op functiescheiding en de procesinrichting hieromtrent. Organisaties proberen daarom met behulp van de invoering van I&AM zoveel mogelijk functiescheiding automatisch af te dwingen. [Marsman, H;2007] Privacy Bij privacy als driver voor I&AM valt zowel te denken aan privacygevoelige gegevens van organisaties als de Wet Bescherming Persoonsgegevens (WBP). In het geval van privacygevoelige gegevens van de organisatie betreft de kans dat er gevoelige informatie op straat komt te liggen doordat er op een slordige wijze met gebruikersnamen en wachtwoorden wordt omgegaan door gebruikers en beheerders als gevolg van de vele applicaties en systemen waarvoor weer een andere gebruikersnaam en wachtwoord wordt vereist.[jurg et al, P; 2004] Sinds 2001 moet de WBP zorgen voor een zorgvuldige omgang met persoonsgegevens binnen een organisatie. Persoonsgegevens mogen alleen worden verzameld en verwerkt wanneer daar een goede reden voor is of wanneer de betrokken individu daar uitdrukkelijk toestemming voor heeft gegeven. Er worden eisen en beperkingen gesteld aan de hoeveelheid gegevens die worden verzameld (gekoppeld aan het doel) en aan de bewaartermijn van de gegevens. Organisaties worden verplicht gesteld om passende technische- en organisatorische maatregelen te treffen om de privacy van personen te beschermen.[sauerwein, L; 2002] Implementatie van I&AM voorkomt niet automatisch misbruik van persoonsgegevens, maar is wel een moment om in kaart te brengen welke gegevens noodzakelijk zijn (en waarvan het verzamelen en verwerken dus een doel heeft) en op welke plek(ken) deze moet(en) worden opgeslagen en verwerkt. Privacy kan ook worden gerelateerd aan kwaliteit als business driver. 9

14 3. Het implementatietraject van Identity & Access Management 3.1 Inleiding In dit derde hoofdstuk wordt het I&AM-implementatietraject beschreven. De projectorganisatie, de I&AM-business case en de fasering van de I&AM-implementatie zijn hier uitgewerkt. Aan de hand van de fasering en de daarbij behorende deelproducten wordt de praktijksituatie getoetst in hoofdstuk 5 door middel van een case study en interviews. Met de uitwerking van dit hoofdstuk wil de auteur deelvraag 1 Hoe ziet een stappenplan eruit met betrekking tot de implementatie van Identity & Access Management en welke deelproducten horen bij deze stappen? van de scriptie beantwoorden. In de vraagstelling wordt er gesproken van een stappenplan, hiermee doelen we op de implementatiefasering zoals in dit hoofdstuk zal worden beschreven. 3.2 Business Case Om draagvlak te creëren bij het management (en de organisatie) voor het uitvoeren van een I&AMimplementatie, is het gebruikelijk om een business case op te stellen. De business case voor een I&AM-oplossing beschrijft ten minste de aanleiding voor het project. De business drivers kostenbeheersing, risk management, compliance, kwaliteit en privacy zoals deze in paragraaf zijn weergegeven kunnen worden beschouwd als de aanleiding voor I&AM. De organisatie zal zich op basis van de aanleiding eerst moeten verdiepen in de problematiek rondom de huidige situatie en welke I&AM-oplossingen er voor handen zijn. Op basis hiervan zal de organisatie een implementatiestrategie (op hoofdlijnen) in kaart moeten brengen. Een dergelijk document wordt ook wel aangeduid als roadmap. In de business case zijn de doelstellingen, reikwijdte en afhankelijkheden van het project vastgelegd. De doelstelling zal onder andere beschrijven aan welke business driver(s) zal worden voldaan met de invoer van een I&AM-oplossing. Systemen en processen die betrokken zullen worden bij de I&AMoplossingen worden in de reikwijdte van het project aangegeven. Om zo volledig mogelijk te zijn, worden ook de systemen en processen die out of scope zijn vermeld. Wanneer de invoer van I&AM bijvoorbeeld afhankelijk is van de invoer van een nieuw HR-systeem dat als bronsysteem moet gaan dienen, dan dient dit in de business case te worden vastgelegd. In de business case worden ook de kosten/baten van de invoer van I&AM gedocumenteerd. Hermans en Ter Hart [Hermans et al, J; 2005] geven aan dat alvorens er met een kosten/baten-analyse kan worden gestart, de volgende aspecten reeds bekend moeten zijn: - een op hoofdlijnen beschreven toekomstige I&AM-oplossing; - de reikwijdte van het project ten aanzien van de I&AM-doelsystemen en het aantal te beheren gebruikersaccounts; - welke voorgenoemde (paragraaf 2.2.2) componenten deel uitmaken van de I&AMimplementatie; 10

15 - een op hoofdlijnen beschreven I&AM-implementatiestrategie. De business case zal tevens beschrijven welke tijdslijnen er met het project gemoeid zijn. Per fase of per deelproduct in een fase kan een geplande einddatum worden aangegeven. Tevens zal de projectorganisatie worden weergegeven in de business case, tezamen met de rollen en verantwoordelijkheden voor het I&AM-project. 3.3 Implementatiefasering Om de implementatie van I&AM op een beheersbare manier uit te voeren, zijn er tal van mogelijkheden voor wat betreft de aanpak van het project. Voor deze scriptie zijn dit de projectfasen zoals die door Wijnen zijn gedefinieerd in Projectmatig werken [Wijnen et al, G; 1990]. Het betreft hier de initiatief-, definitie-, ontwerp-, voorbereidings-, realisatie- en nazorgfase. Een I&AMimplementatietraject bestaat zowel uit onderzoeksactiviteiten als activiteiten van technische aard. In paragraaf wordt deze fasering nader toegelicht voor I&AM. Een andere faserings methodiek is SDM (System Development Methodology), deze lijkt qua faseringen (informatieplanning, definitiestudie, basisontwerp, detailontwerp, realisatie, invoering, gebruik en beheer) sterk op die van Wijnen, maar is toegespitst op systeemontwikkeling. De (eigen) ontwikkeling van software hoeft niet per se deel uit te maken van een I&AM-implementatie. Een andere projectbeheersingsmethodiek welke toegepast zou kunnen worden is Prince II (Projects in Controlled Environments) of een afgeleide daarvan. Prince II zegt echter niets over de te hanteren projectfaseringen, maar over de beheersing van het project en de rolverdeling van betrokkenen. Binnen een Prince II gestuurd project is het dan ook goed mogelijk om bijvoorbeeld een soortgelijke fasering aan te brengen ten aanzien van I&AM op basis van de voorgenoemde methode van Wijnen. De fasering van Wijnen positioneert zich op een wat abstracter niveau. Voor het opstellen van een implementatiemodel voor deze scriptie biedt de fasering van Wijnen echter voldoende handvatten om de deelproducten van een I&AM-implementatietraject te identificeren. Uit interviews met experts op het gebied van I&AM-implementaties (meer hierover in paragraaf 5.3) is gebleken dat de fasering plaatsvindt op basis van best practices. Er is vooralsnog geen vast I&AMimplementatie stramien in de literatuur te vinden. Een organisatie kan ervoor kiezen om de fasering van een I&AM-implementatie per aspect of doelsysteem uit te voeren óf om I&AM in zijn totaliteit te implementeren voor alle doelsystemen die in scope zijn van het project. Er kan bijvoorbeeld voor gekozen worden om eerst I&AM te implementeren voor Active Directory Services, waarbij het dan in de eerste instantie gaat om de netwerkaanmelding voor gebruikers en de toegang tot netwerkshares, groepen en tot applicaties. De autorisaties binnen de applicaties zijn dan nog geen onderdeel van I&AM, maar de netwerkgebruiker is dan al wel geautoriseerd om de applicatie te benaderen. Wanneer de applicatie over een eigen gebruikersnaam en wachtwoord en autorisatiestructuur beschikt, zal dit nog steeds op een separate wijze moeten worden beheerd. De auteur van deze scriptie verwacht dat een I&AM-implementatie die in zijn totaliteit wordt uitgevoerd te risicovol is (afhankelijk van de grootte van de organisatie) omdat het diep ingrijpt op alle applicaties. Voor de scriptie is de onderstaande fasering gebaseerd op de projectmethodiek zoals eerder beschreven in deze paragraaf. De fasering van een I&AM-implementatie kan er als volgt uitzien: 11

16 Figuur 3. Fasering van een I&AM-implementatietraject De benaming van elke fase kan in de praktijk nog wel eens verschillen, maar het gaat hier met name om de deelproducten met betrekking tot I&AM per fase. Specifieke documenten (zoals bijvoorbeeld het Project Initiation Document (PID) binnen de Prince II projectbeheersingsmethodiek) die voortkomen uit de gehanteerde projectbeheersingsmethodiek laten we hierbij achterwege aangezien deze van ondergeschikt belang zijn ten aanzien van de vraagstelling van deze scriptie. In de volgende paragraaf worden de deelproducten die van belang zijn voor de IT-auditor tijdens een implementatieproject per fase aangegeven. De rol van de IT-auditor gedurende een I&AMimplementatie wordt in hoofdstuk 4 beschreven. 3.4 Deelproducten van een Identity & Access Management implementatie Onderstaand schema geeft aan welke deelproducten er per fase opgeleverd kunnen worden tijdens een I&AM-implementatietraject. Deliverables per fasedeliv erables per fase Projectplan Visiedocument Procesbeschrijving Planning Architectuur model Functioneel ontwerp Systeem specificaties Technisch Ontwerp Ontwikkeling/ Pakketselectie Procedures Productie Testen Service Figuur 4. Deelproducten per fase 12

17 Omdat de naamgeving van de deelproducten zoals weergegeven in figuur 4 generiek is voor de uitvoering van projecten, volgt hieronder een beschrijving van elk van de deelproducten hoe zich deze verhouden tot een I&AM-implementatietraject. Initiatieffase: - Projectplan In het projectplan voor een I&AM-implementatietraject wordt het eigenaarschap en de projectorganisatie beschreven. Een projectplan voor I&AM zou tevens moeten beschrijven wat de aanleiding is geweest om over te gaan tot een I&AM-oplossing (business drivers), welke I&AMdeliverables er opgeleverd zullen worden en welk doel of welke projectdoelen gehaald zullen worden. In feite wordt in dit document de opgestelde business case (zie paragraaf 3.2) verwerkt en gepresenteerd aan een breder publiek. Tevens geeft dit document een indicatie van de kosten die met de implementatie gemoeid zijn en welke de verdere kosten en opbrengsten I&AM met zich meebrengt. De projectplanning geeft per fase aan wat de geplande start en einddata zijn. De projectrisico s die zijn onderkend dient men ook terug te vinden in het projectplan. Dit projectplan dient goedkeuring te krijgen van het management van de organisatie. Afhankelijk van het totaalbudget kan deze goedkeuring door verschillende gremia worden afgegeven. Definitiefase: - Visiedocument In deze fase mag men een document verwachten waarin de projectorganisatie hun visie beschrijft ten aanzien van de I&AM-oplossing. Na de initiatieffase heeft de projectgroep hun visie op I&AM meer gestalte kunnen geven, onder meer door middel van het opstellen van enkele guiding principles. Deze beschrijven de mate waarin er moet worden voldaan aan bepaalde eisen (bijvoorbeeld WBP). Het zijn de uitgangspunten van het I&AM implementatietraject. - Procesbeschrijvingen De processen die wijzigen door de implementatie van I&AM dienen in kaart te worden gebracht en per proces dient er een verantwoordelijke te worden aangewezen. Het betreft hier processen voor het toekennen van autorisaties aan indiensttreders, uitdiensttreders, medewerkers die intern wisselen van functie, wijzigingen in autorisaties, monitoring van autorisaties etc. Een eindverantwoordelijke voor alle procesbeschrijvingen is, afhankelijk van de grootte van een organisatie, wenselijk. Daarnaast dienen verantwoordelijkheden te worden toegekend aan de betrokken functionarissen (bijvoorbeeld proces-, systeem- en objecteigenaren, information security officer(s), internal auditor(s) etc.). - Planning In de definitiefase dient er een planning te worden opgeleverd, gebaseerd op de globale(re) planning uit het goedgekeurde projectplan. Een dergelijke planning omvat de hier aangegeven fasering met daarin per deelproduct een overzicht van alle bijbehorende activiteiten en resources. In deze planning wordt naast het tijdsbudget ook de gespendeerde tijd per activiteit bijgehouden. Ook kan er per verantwoordelijk team of individu een planning worden gehandhaafd voor de I&AM-implementatie. 13

18 Ontwerpfase: - Architectuurmodel In deze fase zal de organisatie een architectuurmodel opstellen. Deze omvat de beschrijving en analyse van de huidige architectuur en die van de nieuwe architectuur waarbij de I&AM-oplossing geïmplementeerd zal zijn. Hierbij valt te denken aan de interfaces tussen de bronsystemen van personeelsgegevens (bijv. HR-applicatie) en de I&AM-applicatie en de interfaces tussen de I&AMapplicatie en de doelsystemen (bijv. Active Directory Services). Alle betrokken processen (zoals beschreven in paragraaf 2.2.2) worden geclusterd tot een samenhangend geheel. - Functioneel ontwerp Het functioneel ontwerp behelst de functionele eisen ten aanzien van het autorisatie-, gebruikers- en authenticatiebeheer, het provisioningsproces en monitoring en auditing. In dit ontwerp worden de bronsystemen aangeduid voor de I&AM-oplossing, welke functionele specificaties zijn geïdentificeerd op basis van de procesbeschrijvingen/interviews met betrokkenen en/of systeemeigenaren en welke attributen onderkend worden per functionele specificatie. In het functioneel ontwerp wordt ook het autorisatiemodel gestalte gegeven. Wanneer een organisatie kiest voor een off-the-shelf oplossing in plaats van eigen ontwikkeling, dient het functioneel ontwerp als input voor een Request for Information aan leveranciers. Voorbereidingsfase: - Systeemspecificaties In dit document zijn de systeemeisen waaraan de I&AM-applicatie moet voldoen om te integreren in de bestaande infrastructuur van de organisatie vastgelegd. Deze informatie is zowel van belang voor het traject van een pakketselectie als voor het zelf ontwikkelen van een I&AM-applicatie. - Technisch ontwerp In deze fase dient het helder te zijn of de I&AM-applicatie (als onderdeel van de I&AMtotaaloplossing) maatwerk betreft of een off-the-shelf oplossing en moet als zodanig verwerkt zijn in het technisch ontwerp. In het technisch ontwerp is vastgelegd hoe de functionaliteit zoals beschreven in het functioneel ontwerp zal worden gerealiseerd. Het technisch ontwerp beschrijft o.a. de systeemprocedures, specificaties van de interfaces en de gegevensstromen met betrekking tot gebruikers, groepen, rollen etc., opslagstructuur van gegevens. - Ontwikkelen / Pakketselectie In deze fase wordt de I&AM-oplossing ook daadwerkelijk gebouwd of vindt de pakketselectie plaats. Van belang zijn hierbij het opgestelde functioneel- en technischontwerp. - Procedures In de voorbereidingsfase worden de procedures opgesteld. Deze procedures beschrijven het gebruik van de nieuwe I&AM-oplossing. Waar mogelijk en van toepassing in dit stadium van de implementatie, worden er ook procedures opgesteld ten aanzien van het gebruik van de afzonderlijke 14

19 applicaties die betroken zijn bij de I&AM-oplossing. De werking en het gebruik van de interfaces tussen applicaties worden ook in deze procedures beschreven. Communicatielijnen tussen lijnmanagers, IT en HR (ervan uitgaande dat deze zorgt voor brongegevens, kunnen ook elders hun oorsprong vinden in het geval van externe medewerkers of bijvoorbeeld third parties). Voor het einde van het implementatieproject zullen de procedures geformaliseerd moeten worden. Realisatiefase: - Testen Het testen van de I&AM-oplossing geschied aan de hand van de opgestelde functionele specificaties. Deze functionele specificaties beschrijven het gebruik van de autorisatiemanagement, gebruikersbeheer, authenticatiemanagement, provisioning en auditing en monitoring processen. Bij het proces gebruikersbeheer bijvoorbeeld, kunnen de volgende scenario s getest worden aan de hand van de functionele specificaties: - indiensttreding medewerker; - indiensttreding externe medewerker; - transfer van een medewerker naar een andere afdeling/functie; - uitdiensttreden van een medewerker; - onverwachte uitdiensttreding van een medewerker. In de testdocumentatie zal per scenario een aantal testactiviteiten plaatsvinden waarvan de verwachte uitkomst is vastgelegd. In een separaat document worden de testresultaten gedocumenteerd en wordt de vergelijking gemaakt tussen de verwachte en gerealiseerde uitkomsten van het testwerk. Functionaliteit van de I&AM-applicatie(s) en/of interfaces kunnen op basis van de uitkomsten van het testwerk worden bijgesteld. Deze exercitie wordt ook uitgevoerd voor de overige processen van I&AM. Voor het testen van de I&AM-oplossing dient gebruik gemaakt te worden van een separate test/acceptatieomgeving. - Productie Zoals in paragraaf 3.3 aangegeven, kan een organisatie ervoor kiezen om de implementatie van een I&AM oplossing per doelsysteem uit te voeren. Het in productie nemen van een I&AM-oplossing behoort na een gedegen acceptatietest via een change management proces te verlopen. Op zich zou het in productie nemen van een I&AM-oplossing niet als deelproduct gezien hoeven te worden, maar er zijn een aantal aspecten die van belang zijn voor het slagen van een dergelijk traject, namelijk het opstellen (en finaliseren) van een beleid ten aanzien van I&AM. Dit beleid dient te worden uitgedragen door het management van de organisatie. Dit beleid dient ook het eigenaarschap te beleggen van I&AM en alle bijbehorende processen. Tevens dient het eigenaarschap van de betrokken applicaties belegd te worden binnen de organisatie, voor zover dit nog niet gebeurd is. Nazorgfase: - Service In de nazorgfase worden de procedures en handleidingen gefinaliseerd en opgeleverd. Gebruikerstraining kan ook beschouwd worden als een service in deze fase. Tevens dient er 15

20 gecontroleerd te worden of alle opmerkingen naar aanleiding van de (acceptatie)test verwerkt en eventuele afwijkingen gecorrigeerd zijn. 3.6 Samenvatting In dit hoofdstuk is de deelvraag Hoe ziet een stappenplan eruit met betrekking tot de implementatie van Identity & Access Management en welke deelproducten horen bij deze stappen? vanuit de theorie beantwoord. Vanuit de beschikbare literatuur is een generiek implementatiemodel geschetst met de daarbij behorende deelproducten ten behoeve van een I&AM-oplossing. Of het in de praktijk ook daadwerkelijk op een dergelijke manier wordt uitgevoerd, is door middel van een case study onderzocht en zijn er interviews gehouden met experts op het gebied van I&AM. 16

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi

Nadere informatie

Identity Management Gebruikers en Rechten in Beheer (GRiB)

Identity Management Gebruikers en Rechten in Beheer (GRiB) Identity Management Gebruikers en Rechten in Beheer (GRiB) Meer grip op hoe we regelen wie wat mag P.J.M. Poos (Piet) Programma manager SNS REAAL organisatie Raad van Bestuur Groepsstaven SNS Bank REAAL

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009. Trudie Seegers

Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009. Trudie Seegers Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009 Trudie Seegers Stand van zaken IAM Verleden: tot 1-3-2008 Heden: van 1-3-2008 tot 1-3-2009 Toekomst: na 1-3-2009 Vragen en discussie

Nadere informatie

Identity & Access Management. operational excellence of in control?

Identity & Access Management. operational excellence of in control? Compact 2005/3 Identity & Access Management: operational excellence of in control? Ing. J.A.M. Hermans RE en drs. J. ter Hart Identity & Access Management staat binnen de meeste organisaties volop in de

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Projectmanagement De rol van een stuurgroep

Projectmanagement De rol van een stuurgroep Projectmanagement De rol van een stuurgroep Inleiding Projecten worden veelal gekenmerkt door een relatief standaard projectstructuur van een stuurgroep, projectgroep en enkele werkgroepen. De stuurgroep

Nadere informatie

PROJECT INITIATION DOCUMENT

PROJECT INITIATION DOCUMENT PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

Auditaspecten binnen autorisaties in SAP R/3

Auditaspecten binnen autorisaties in SAP R/3 Auditaspecten binnen autorisaties in SAP R/3 Vrije Universiteit Amsterdam Postgraduate IT Audit Opleiding Eindscriptie, mei 2007 Ewald Franse Voorwoord Deze scriptie is de afsluiting van de Postgraduate

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen ACCESS GOVERNANCE PIZZASESSIE Arnout van der Vorst & Tjeerd Seinen AGENDA PIZZASESSIE ACCESS GOVERNANCE 17:30 Conceptuele schets Access Governance 18:30 Pizza 19:15 Product demo 20:15 Borrel ACCESS GOVERNANCE

Nadere informatie

Zou het niet iedeaal zijn

Zou het niet iedeaal zijn Zou het niet iedeaal zijn ...als op de eerste werkdag van een nieuwe medewerker alles klaarstaat?! Er zal geen discussie over bestaan. Het zou ideaal zijn wanneer alle voorzieningen op de eerste werkdag

Nadere informatie

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT Achtergrondinformatie Dit onderzoek ging over de mogelijkheid om eindgebruikers in staat te stellen om hun eigen wachtwoorden te resetten en de

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Aanpak projectaudits

Aanpak projectaudits Aanpak projectaudits 1. Inleiding Veel lokale overheden werken op basis van een standaardmethodiek Projectmatig Werken. Op die manier wordt aan de voorkant de projectfasering, besluitvorming en control

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment Privacy Impact Assessment Privacy risico s en inschattingen Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens

Nadere informatie

WHITE PAPER. Business Solutions

WHITE PAPER. Business Solutions WHITE PAPER Business Solutions De keuze van de strategie/aanpak is be-palend voor de complexiteit en doorlooptijd van een implementatie. Introductie Uw organisatie staat op het punt om een standaard software

Nadere informatie

Authentication is the key

Authentication is the key inhoud Authentication is the key en Control en IAM - oplossing Een klantvoorbeeld www.thauco.com Versie 5 6-12-2010 The Authentication Company 1 Soorten: Identificatie: Wie ben jij? Verificatie: ben je

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid Releasebeleid Ondanks alle aan de samenstelling van de tekst bestede zorg, kan Newway Retail Solutions bv (Newway) géén enkele aansprakelijkheid aanvaarden voor eventuele directe en/of indirecte schade,

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Optimaliseren afsluiten rapportage proces: juist nu!

Optimaliseren afsluiten rapportage proces: juist nu! 18 Optimaliseren afsluiten rapportage proces: juist nu! Belang van snelle en betrouwbare informatie groter dan ooit Drs. Wim Kouwenhoven en drs. Maarten van Delft Westerhof Drs. W.P. Kouwenhoven is manager

Nadere informatie

De weg naar. Data Governance Maturity

De weg naar. Data Governance Maturity De weg naar Data Governance Maturity Bedrijf : Nováccent ICT Solutions BV Auteur : J. Struik Datum : 14 december 2012 Versie : 2.0 Data Governance Maturity Nováccent ICT Solutions BV 2012 1 Inhoudsopgave

Nadere informatie

Logische Toegangsbeveiliging

Logische Toegangsbeveiliging Logische Toegangsbeveiliging Project risico s bij RBAC implementaties Afstudeerscriptie I. Bierman W. van der Valk Begeleiders B. Bokhorst E. van Essen Datum April, 2007 Plaats Amsterdam Voorwoord Deze

Nadere informatie

Prince2 audit. Kwaliteitsmaatregel met rendement

Prince2 audit. Kwaliteitsmaatregel met rendement Prince2 audit Kwaliteitsmaatregel met rendement Niek Pluijmert Dga INQA (samen met Hans) Project- en kwaliteitmanagement Sedert 1979 in ICT Bestuurslid Spider Bestuurslid KvK Midden Nederland TU Delft

Nadere informatie

Identity & Access Management

Identity & Access Management Identity & Access Management Whitepaper Rolf Emmens Information Consultant Security Deze whitepaper laat u de Inter Access visie op en de aanpak rondom de implementatie van Identity & Access Management

Nadere informatie

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D Auteur : P. van der Meer, Ritense B.V. Datum : 17 juli 2008 Versie : 1.3 2008 Ritense B.V. INHOUD 1 VERSIEBEHEER...1 2 PROJECT

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Project Methodiek. 15:00 u

Project Methodiek. 15:00 u 15:00 u Project Methodiek Hoe zorgt u dat ICT projecten op een geborgde manier uitvoering vinden, binnen tijd en budget en met het doel dat de functionele eisen en wensen ingewilligd worden? Projectmethodiek

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Architecture Governance

Architecture Governance Architecture Governance Plan van aanpak Auteur: Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 14 november 2003 Versie: 1.0 Inhoudsopgave 1. INLEIDING... 3 2. PROBLEEMSTELLING EN DOELSTELLING...

Nadere informatie

8-12-2015. Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten

8-12-2015. Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten Les 1 Docent: Marcel Gelsing Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten Hoe test je een pen? 1 Bekijk eerst het filmpje over

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

KPMG s Identity and Access Management Survey 2008

KPMG s Identity and Access Management Survey 2008 42 KPMG s Identity and Access Survey 2008 Ing. John Hermans RE, Emanuël van der Hulst, Pieter Ceelen MSc en Geo van Gestel MSc Ing. J.A.M. Hermans RE is director bij KPMG IT Advisory te Amstelveen. Binnen

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

De veranderingen die SOA brengt toegespitst op IAM

De veranderingen die SOA brengt toegespitst op IAM De veranderingen die SOA brengt toegespitst op IAM Scriptie ter afsluiting van de postgraduate IT Audit Opleiding aan de Vrije Universiteit Amsterdam Auteur: Student nr.: Scriptiebegeleider VU Scriptiebegeleider

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Ministerie van Infrastructuur en Milieu Beheerst naar beheer

Ministerie van Infrastructuur en Milieu Beheerst naar beheer Document D-2 Ministerie van Infrastructuur en Milieu Beheerst naar beheer Versie 1.0 Datum 15 juli 2014 Status Definitief Colofon Versie 1.0 Contactpersoon Paul Leunissen M 06-5250 6691 Paul.Leunissen@minienm.nl

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Architectuur, Organisatie en Business Cases

Architectuur, Organisatie en Business Cases Architectuur, Organisatie en Business Cases Ervaringen uit de praktijk Jan de Baat CMG Trade, Transport & Industry B.V. Inleiding In de Dynamiek track van LAC 2000 is de problematiek omtrent de alignment

Nadere informatie

Whitepaper implementatie workflow in een organisatie

Whitepaper implementatie workflow in een organisatie Whitepaper implementatie workflow in een organisatie Auteur: Remy Stibbe Website: http://www.stibbe.org Datum: 01 mei 2010 Versie: 1.0 Whitepaper implementatie workflow in een organisatie 1 Inhoudsopgave

Nadere informatie

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie.

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie. en werkwijze BPM awareness Inzicht in de toepassing van BPM op strategisch niveau in het algemeen en binnen de eigen organisatie. Kennismaken met BPM vanuit een strategisch perspectief Nut en toegevoegde

Nadere informatie

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12 Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht 2013-03-12 Algemene ontwikkelingen Authenticatie en autorisatie buiten applicaties Onderscheid in micro-

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Op naar IAM 3.0 ISACA round table. drs. André Koot RE CISA CISM 3 juni 2015

Op naar IAM 3.0 ISACA round table. drs. André Koot RE CISA CISM 3 juni 2015 Op naar IAM 3.0 ISACA round table drs. André Koot RE CISA CISM 3 juni 2015 Wie ben ik Wat is I A M Ontwikkeling IAM - RBAC, Federatie - ABAC, mobile Project Mijn identiteit Specialist Informatiebeveiliging

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

TARGET2 nieuwsbrief. Inhoud. De TARGET2 nieuwsbrief. Projectplanning TARGET2

TARGET2 nieuwsbrief. Inhoud. De TARGET2 nieuwsbrief. Projectplanning TARGET2 TARGET2 nieuwsbrief Informatie over de migratie van TOP naar TARGET2 januari 2006, nr 2 Inhoud De TARGET2 nieuwsbrief Projectplanning TARGET2 1 1 Migratie naar TARGET2 Het testprogramma 3 3 De meest recente

Nadere informatie

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Ruwaard van Putten Ziekenhuis Onderzoek

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

BPM voor Sharepoint: het beste van twee werelden

BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden Analisten als Gartner en Forrester voorzien dat Sharepoint dé standaard wordt voor document management

Nadere informatie

De impact van de basisregistraties op de informatievoorziening van gemeenten

De impact van de basisregistraties op de informatievoorziening van gemeenten De impact van de basisregistraties op de informatievoorziening van gemeenten Op weg naar de Gemeentelijke Service Bus Danny Greefhorst Gemeenten worden geconfronteerd met allerlei ontwikkelingen die van

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Red Spider Next Generation: Identity Management voor gevorderden. Bert van Daalen René Visser Ronald Zierikzee

Red Spider Next Generation: Identity Management voor gevorderden. Bert van Daalen René Visser Ronald Zierikzee Red Spider Next Generation: Identity Management voor gevorderden Bert van Daalen René Visser Ronald Zierikzee Constateringen rijp en groen Hoge ontwikkelkosten en lange doorlooptijd nieuwe functionaliteit

Nadere informatie

Digiveiligheid en kwalificaties. Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC)

Digiveiligheid en kwalificaties. Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC) Digiveiligheid en kwalificaties Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC) Digiveiligheid en functioneel beheer Functioneel beheer Informatiebeveiliging ICT-beveiliging Specificeren BIV Ongewenste

Nadere informatie

Voorstel voor een plancyclus Informatiemanagement

Voorstel voor een plancyclus Informatiemanagement Dienst ICT Informatiemanagement Den Dolech 2, 5612 AZ Eindhoven Postbus 513, 5600 MB Eindhoven www.tue.nl Opdrachtgever ICT Governance Board Datum 19 maart 2010 Voorstel voor een plancyclus Informatiemanagement

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Handleiding voor aansluiten op Digilevering

Handleiding voor aansluiten op Digilevering Handleiding voor aansluiten op Digilevering Versie 1.0 Datum 1 augustus 2013 Status definitief Colofon Projectnaam Digilevering Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius

Nadere informatie

VAN DUIZEND BLOEMEN NAAR EEN HORTUS BOTANICUS Het Portaal 21 januari 2010 sambo~ict Coen Free Faraday van der Linden Maarten van den Dungen

VAN DUIZEND BLOEMEN NAAR EEN HORTUS BOTANICUS Het Portaal 21 januari 2010 sambo~ict Coen Free Faraday van der Linden Maarten van den Dungen VAN DUIZEND BLOEMEN NAAR EEN HORTUS BOTANICUS Het Portaal 21 januari 2010 sambo~ict Coen Free Faraday van der Linden Maarten van den Dungen Missie-Visie Het succes van de leerling is de reden van ons bestaan.

Nadere informatie

Checklist risicofactoren IT-projecten

Checklist risicofactoren IT-projecten Organisatie SYSQA B.V. Pagina 1 van 5 Checklist risicofactoren IT-projecten In onderstaande checklists zijn de factoren die het slagen van een project beïnvloeden opgenomen. Projectomvang Hoe groot is

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Planning & Control. Inleiding. Inhoudsopgave

Planning & Control. Inleiding. Inhoudsopgave Planning & Control Inleiding Planning & Control is de Engelse benaming voor coördinatie en afstemming. Het is gericht op interne plannings- en besturingsactiviteiten. Een heldere Planning & Control functie

Nadere informatie

AVANCE Application Management

AVANCE Application Management AVANCE Application Management AVANCE Application Management is een 100% dochteronderneming van AVANCE ICT Groep Nederland en is gespecialiseerd in het virtualiseren en (re)packagen van applicaties. Door

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

Onderdelen module 3 (gesplitst in delen 1 en 2)

Onderdelen module 3 (gesplitst in delen 1 en 2) Onderdelen module 3 (gesplitst in delen 1 en 2) Deel 1 1. Prelude 8 13 2. Achtergrond en Context MARIJ (leerdoel 3; duur 1-2 uur) 14-25 3. Eén architectuur voor de Rijksdienst (leerdoel 3; duur 1 uur)

Nadere informatie

Les E-01 Projectmanagement

Les E-01 Projectmanagement Les E-01 Projectmanagement 1.1 Werken op projectbasis Op allerlei manieren werken mensen in het sociale leven samen om bepaalde doelen te verwezenlijken. Buurtbewoners organiseren een pleinfeest, verenigingsleden

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging UWV Informatiebeveiliging Een schets 1 Informatiebeveiliging UWV Platform Informatiebeveiliging 25-05-05 drs G.Bayens MBA drs Guido Bayens MBA UWV Concern ICT Hoofd Afdeling Beleid & Architectuur Adviseur

Nadere informatie

Deelprojectplan. Bestuurlijke Informatie Voorziening

Deelprojectplan. Bestuurlijke Informatie Voorziening Deelprojectplan Bestuurlijke Informatie Voorziening Beheersing van risico s en verbetering van de besturing van de Hogeschool van Utrecht, door middel van effectieve en efficiënte informatiestromen, als

Nadere informatie

Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen

Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen Enterprise Identity & Access Management Hoe kan Enterprise Identity & Access Management effectief, efficiënt en conform nalevingsverplichtingen worden ingericht bij grote organisaties met verschillende

Nadere informatie