Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen

Maat: px
Weergave met pagina beginnen:

Download "Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen"

Transcriptie

1 Enterprise Identity & Access Management Hoe kan Enterprise Identity & Access Management effectief, efficiënt en conform nalevingsverplichtingen worden ingericht bij grote organisaties met verschillende IAM-omgevingen? Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen Inleiding Vandaag de dag is het ondenkbaar dat grote organisaties opereren zonder gebruik te maken van ICTvoorzieningen. In tegenstelling tot het begintijdperk van ICT, wordt ICT tegenwoordig niet alleen meer toegepast ten behoeve van administratiedoeleinden. ICT is sterk verweven met alle aspecten van de organisatie en wordt in steeds hogere mate aangewend voor het ondersteunen van allerlei typen bedrijfsprocessen. Voorgaande betekent dat alle betrokken medewerkers van de organisatie toegang dienen te hebben tot een facet van informatiesystemen teneinde hun werkzaamheden binnen de bedrijfsvoering adequaat te kunnen uitvoeren. Deze gebruikers dienen dan te beschikken over een set van autorisaties (rechten in een informatiesysteem benodigd voor het uitvoeren van bepaalde handelingen) welke in overeenstemming zijn met het van toepassing zijnde functieprofiel, het algemene beleid en de van toepassing zijnde wet- en regelgeving. In veel organisaties blijft het ICT-landschap alleen maar groeien. Een groot ICT-landschap resulteert doorgaans in een warboel en spaghetti van gebruikeridentificaties en autorisaties. De ontstane situatie is onvoldoende transparant en betekent een relatief zware belasting voor de beheerorganisatie. Aan een onvoldoende transparante omgeving kleeft het risico dat de ICT niet in harmonie functioneert met het van toepassing zijnde beleid en de van toepassing zijnde wet- en regelgeving. Dit kan bijvoorbeeld betekenen dat de vertrouwelijkheid van gevoelige informatie en de door de organisatie van toepassing verklaarde functiescheiding in de ICT-omgeving niet of onvoldoende zijn gewaarborgd. Daar het doorvoeren van autorisaties voor gebruikers in informatiesystemen doorgaans een handmatige operatie van verschillende systeembeheerders betreft, wordt de organisatie eveneens geconfronteerd met een relatief zware belasting voor de beheerorganisatie. Een relatief zware belasting voor de beheerorganisatie gaat gepaard met veel inspanning van de beheerders en lange doorlooptijden van de processen in het kader van autorisatiebeheer. Hierbij bestaat het risico dat de kosten voor het beheer onnodig stijgen en de (primaire) bedrijfsprocessen geen doorgang kunnen vinden omdat de medewerker niet tijdig over de benodigde autorisaties beschikt. Met name de grotere organisaties met veel verschillende organisatie-eenheden hebben geregeld te kampen met de hiervoor beschreven problematiek. Het is moeilijk en complex om voor het gehele ICT-landschap van de organisatie het gebruikers- en autorisatiebeheer effectief, efficiënt en conform het beleid, dat is geënt op het naleven van de van toepassing zijnde wet- en regelgeving, in te richten en te besturen. Het ICT-landschap van deze grote organisaties bestaat immers uit een veelheid aan informatiesystemen en een diversiteit aan platformen, waarbij de ICT-verantwoordelijkheden inzake het gebruikers- en autorisatiebeheer dikwijls decentraal zijn belegd. Daarnaast worden organisaties verplicht om zowel organisatiebrede compliance-eisen alsook locale wet- en regelgeving na te leven. De locale wet- en regelgeving kan per regio verschillen en dwingt de organisatie tot verschillende benaderingen voor het oplossen van de problematiek rondom het gebruikers- en autorisatiebeheer. Met het bovenstaande in ogenschouw, kan worden gesteld dat grote organisaties met verschillende ICT-omgevingen en een decentraal ingericht gebruikers- en autorisatiebeheer behoefte hebben aan een toepasbaar model welke de organisatie in staat stelt om het gebruikers- en autorisatiebeheer voor haar gedifferentieerde ICT-landschap op een effectieve en efficiënte wijze en conform wet- en regelgeving in te richten. Binnen dit model is het relevant om inzichtelijk te krijgen welke rol de centrale afdeling en de decentrale afdelingen kunnen vervullen. 1 / 18

2 In dit artikel wordt ingegaan op wat wordt verstaan onder Identity & Access Management (IAM), een modieuze benaming voor gebruikers- en autorisatiebeheer. In de context van IAM kunnen gebruikers zowel interne medewerkers, externe partijen, toepassingen als services betreffen. Echter, dit artikel richt zich slechts op de gebruikersdoelgroep interne medewerkers van de organisatie. Tevens gaat dit artikel op hoofdlijnen in op de verplichting waarmee een organisatie wordt geconfronteerd en welke weerslag dit heeft op IAM. Afsluitend zet dit artikel een model uiteen welke een grote organisatie met verschillende organisatie-eenheden die hun eigen ICT-landschap beheren in staat stelt om een organisatiebreed IAM in te richten dat voldoet aan het beleid en de van toepassing zijnde wet- en regelgeving. Identity & Access Management Alvorens dieper kan worden ingegaan op mogelijke oplossingen voor de problematiek rondom IAM voor (grote) organisaties met heterogene ICT-omgevingen, is het essentieel om het gehele speelveld ten aanzien van het IAM inzichtelijk te hebben. Definitie Identity & Access Management IAM betreft een verzamelnaam voor al hetgeen dat komt kijken bij het beheer van gebruikers van en autorisaties binnen informatiesystemen. Binnen het vakgebied zijn diverse definities voor IAM in omloop. Echter, naar de mening van de schrijver van dit artikel kan IAM het best worden omschreven op basis van navolgende definitie: Identity and Access Management betreft een stelsel van organisatie, processen en techniek gericht op het conform het beleid van de organisatie beheren van enerzijds digitale identiteiten en anderzijds de toegang van deze digitale identiteiten tot objecten op basis van autorisaties. Reikwijdte IAM Organisatie Processen Techniek Gegevens Applicaties overige Platformen Functies Met een digitale identiteit wordt de in de daartoe bestemde bronregistratie digitaal opgeslagen gebruikersidentificatie bedoeld (bijvoorbeeld een medewerkernummer). Deze digitaal opgeslagen identiteit dient herleidbaar te zijn naar een (unieke) fysieke identiteit. Afhankelijk van de situatie kunnen naast de digitaal opgeslagen identiteit van een gebruiker, ook additionele attributen over deze gebruiker in de bronregistratie zijn opgeslagen welke van invloed zijn op de autorisaties van de gebruiker in een bepaald object. De laatst bedoelde autorisaties worden ook wel contextafhankelijke autorisaties genoemd. Een voorbeeld van contextafhankelijke autorisaties betreffen de autorisaties in objecten welke zijn gerelateerd aan de afdeling waarvoor de gebruiker werkzaam is. Doordat de gebruiker werkzaam is voor een bepaalde afdeling, dient de gebruiker dan te beschikken over de bij de afdeling behorende autorisaties teneinde zijn werkzaamheden binnen de bedrijfsprocessen te kunnen uitvoeren. Autorisaties betreffen in dit verband de bevoegdheden welke een gebruiker in een object moet bezitten om bepaalde handelingen in het object te kunnen uitvoeren. Een object kan in dit kader een diversiteit aan componenten binnen de technische infrastructuur van de organisatie zijn. Voorbeelden van objecten zijn platformen, applicaties, functies binnen een applicatie en fysieke toegangscontrolesystemen. Componenten binnen Identity & Access Management Binnen het domein van IAM kan voor de drie disciplines binnen IAM, te weten organisatie, processen en techniek, een aantal componenten worden onderkend welke in navolgend figuur schematisch zijn weergegeven (zie figuur 1). Deze componenten tezamen dragen er zorg voor dat digitale identiteiten conform het van toepassing zijnde beleid toegang verkrijgen tot objecten. 2 / 18

3 Organisatie Beleid Processen Autorisatiebeheer Techniek Verwerken Gebruikersbeheer Verwerken Gegevens Applicaties overige Platformen Functies Extraheren (IST) Controle Verwerken Authenticatiebeheer Figuur 1 - Componenten binnen Identity & Access Management Organisatie Beleid Zoals dat voor alle elementen binnen een organisatie van toepassing is, is het voor IAM eveneens essentieel dat de organisatie rondom IAM is vormgegeven. Een onderdeel van de organisatie vormt het beleid. Het beleid stelt de kaders waarbinnen het IAM van de organisatie functioneert en maakt de verantwoordelijkheden, welke een besturing conform dit beleid waarborgen, inzichtelijk. Processen Op basis van praktijkervaringen kan binnen IAM een aantal verschillen processen worden onderscheiden welke hieronder nader worden toegelicht. Gebruikersbeheer & Verwerken (provisioning) Het proces gebruikersbeheer is opgesplitst in een tweetal subprocessen (zie figuur 2). Het subproces beheren gebruikergegevens (a) richt zich op het initieel vastleggen van gebruikers en, indien van toepassing, additionele attributen die van invloed kunnen zijn op de autorisaties in een daartoe bestemde bronregistratie. Tevens wordt de gehele levenscyclus van deze digitaal opgeslagen gebruikergegevens onderhouden. Zo wordt de in-, door- en uitstroom van medewerkers in de bronregistratie beheerd. a. Beheren gebruikergegevens Gebruikersbeheer b. Bepalen toe te kennen / te ontnemen autorisaties voor gebruikers Verwerken (provisioning) Het tweede subproces van gebruikersbeheer (b) richt Figuur 2 Subprocessen binnen gebruikersbeheer zich op het bepalen van de autorisaties die aan een gebruiker moeten worden toegekend dan wel van de gebruiker moeten worden ontnomen. Immers, gebruikers moeten over autorisaties binnen objecten beschikken om de objecten te kunnen gebruiken. Doorgaans zal de verantwoordelijke manager van de gebruiker binnen zijn verantwoordelijkheidsgebied bepalen welke autorisaties de gebruiker dient te bezitten om de 3 / 18

4 werkzaamheden binnen de bedrijfsprocessen te kunnen uitvoeren. De verantwoordelijke manager zal een opdracht aan de beheerorganisatie uitvaardigen om het verzoek tot autorisatiewijzigingen voor de betreffende gebruiker uit te voeren. Het geven van een opdracht om autorisaties aan te maken dan wel in te trekken kan op basis van een formulier (minder geavanceerde IAM-omgeving) of geautomatiseerd met behulp van een technisch hulpmiddel (meer geavanceerde IAM-omgeving) geschieden. De beheerorganisatie zal ervoor zorgdragen dat het verzoek van de verantwoordelijke manager in de betrokken objecten wordt verwerkt. Deze laatste activiteit wordt in de vakliteratuur vaak aangeduid als het provisioning-proces. Resumerend staat provisioning voor het aanmaken dan wel verwijderen van gebruikeraccounts en -autorisaties in de betrokken objecten naar aanleiding van de activiteiten die in het gebruikersbeheer worden uitgevoerd. Authenticatiebeheer & Verwerken Ook het proces authenticatiebeheer is opgedeeld in een tweetal subprocessen (zie figuur 3). Authenticatiebeheer Alvorens gebruikers toegang wordt verschaft tot een object, wordt de gebruiker geauthenticeerd om vast te stellen of de gebruiker is wie hij zegt dat hij is. Hiertoe wordt de gebruiker voorzien van een authenticatiemiddel (bijvoorbeeld gebruikersnaam/wachtwoord-combinatie of smartcard met certificaten). Het subproces beheren authenticatiemiddelen (a) richt zich op het beschikbaar stellen, beheren en innemen/intrekken van de authenticatiemiddelen van gebruikers. a. Beheren authenticatiemiddelen b. Beheren authenticatiepolicies Verwerken Teneinde binnen de objecten het gebruik van een Figuur 3 - Subprocessen binnen authenticatiebeheer bepaald type authenticatiemiddel (bijvoorbeeld gebruikersnaam/wachtwoord-combinatie of smartcard met certificaten) of de wijze van het gebruik van het authenticatiemiddel (bijvoorbeeld syntax, lengte en geldigheidsduur van een wachtwoord) af te dwingen, richt het subproces beheren authenticatiepolicies (b) zich op het bepalen van de van toepassing zijnde authenticatiepolicies en het vastleggen van deze policies in objecten. Autorisatiebeheer Het proces autorisatiebeheer is eveneens opgesplitst in een tweetal subprocessen (zie figuur 4). Het bepalen en toekennen van autorisaties aan gebruikers in objecten, als onderdeel van de processen Gebruikersbeheer & Verwerken (provisioning), betreft een tijdrovende en kostbare aangelegenheid. Immers, voor elke wijziging, zoals bij de in-, door- en uitstroom van medewerkers, dienen de bijbehorende autorisatiewijzigingen voor deze gebruiker in elk object te worden bijgewerkt. Teneinde dit proces te vereenvoudigen, wordt doorgaans gebruikgemaakt van een autorisatiemodel. a. Functioneel autorisatiebeheer Autorisatiebeheer b. Technisch autorisatiebeheer Figuur 4 Subprocessen binnen autorisatiebeheer Binnen het autorisatiebeheer is het functioneel autorisatiebeheer (a) verantwoordelijk voor het opstellen en onderhouden van het autorisatiemodel op basis van het organisatiebeleid en -behoefte. Dit houdt in dat met het beleid en de daaruit voortvloeiende functieprofielen als uitgangspunt een functioneel model wordt opgesteld waarin inzichtelijk wordt gemaakt welke handelingen (bijvoorbeeld fiatteren inkooporder) in welke objecten Verwerken 4 / 18

5 zijn benodigd voor het uitvoeren van de aan het functieprofiel gekoppelde taken binnen het van toepassing zijnde bedrijfsproces. Voorbeelden van autorisatiemodellen zijn autorisatiematrices of, in een meer geavanceerde IAM-omgeving, rollenmodellen gebaseerd op het Role-Based-Access-Control (RBAC)-principe. Het technisch autorisatiebeheer (b) vertaalt en verwerkt de in het autorisatiemodel uiteengezette (functionele) handelingen vervolgens naar daadwerkelijke autorisaties in objecten. Dit geschiedt doorgaans door autorisatiegroepen of -profielen in objecten aan te maken welke een groep autorisaties vertegenwoordigen op één of meerdere objecten binnen een doelsysteem, benodigd voor het uitvoeren van een (deel)taak binnen het betreffende doelsysteem (bijvoorbeeld Windows Active Directorygroepen en rollen in een applicatie). Echter, in praktijk wordt bij een IAM-project een omgekeerde werkwijze toegepast. Controle & Extraheren Het laatste proces richt zich op het controleren van de IAMomgeving opdat, indien van toepassing, tijdig kan worden bijgestuurd. Het controleproces bepaalt met behulp van het extraheren van informatie uit de objecten de gevolgde procesgang en de huidige status in de objecten (bijvoorbeeld welke autorisaties zijn uitgereikt aan welke gebruikers). De huidige status (IST) wordt binnen het controleproces vervolgens vergeleken met de gewenste situatie (SOLL) welke inherent is aan het organisatiebeleid. Het controleproces kan bestaan uit het actief monitoren en/of op basis van het produceren van rapportages. Het actief Figuur 5 - Proces controle monitoren betekent dat constant de gewenste situatie (SOLL) en de daadwerkelijke situatie (IST) worden vergeleken. Indien zich een discrepantie voordoet, zal dit leiden tot een signaal aan de verantwoordelijke functionaris die vervolgens de nodige correctieve handelingen verricht. Daarnaast kan het controleproces worden uitgevoerd op basis van het periodiek produceren van rapportages. De rapportages geven een presentatie van de huidige situatie (IST) welke vervolgens door de verantwoordelijke actor worden vergeleken met de gewenste situatie. Extraheren (IST) Controle Techniek Onder de discipline techniek worden alle technische hulpmiddelen geschaard welke, waar mogelijk, de hiervoor beschreven IAM-processen ondersteunen. Afhankelijk van de geavanceerdheid van de IAM-omgeving van een organisatie, kunnen tools zijn ingezet voor verschillende doeleinden. Techniek Technische hul pmiddelen 5 / 18

6 Verplichtingen en behoefte Zoals reeds in het inleidende hoofdstuk aangehaald, worden organisaties geconfronteerd met tal van externe verplichtingen. Echter, naast de externe verplichtingen onderkent een organisatie doorgaans ook zelf een aantal behoeften aan de bedrijfsvoering. Zowel de externe verplichtingen als eigen organisatiebehoeften zijn van invloed op de inrichting van het IAM van de betrokken heterogene ICTomgevingen. Externe verplichtingen Met de opkomst van wettelijke regelingen en compliance worden organisaties geconfronteerd met een aantal verplichtingen waaraan moet worden voldaan. Zo dient een organisatie welke is genoteerd aan de Amerikaanse beurs rekening te houden met de Sarbanes-Oxley Act (Verenigde Staten, 2002). Daarnaast zijn instellingen binnen de financiële sector verplicht om aan de richtlijnen uit het Basel Capital Accord (Basel II, 2006) en Code Tabaksblat (van toepassing binnen Nederland) te voldoen. Voornoemde wettelijke regelingen hebben betrekking op het beheersen van de operationele risico s (governance) en het transparant en accuraat inrichten van de financiële processen. Tevens dient de organisatie in staat te zijn om verantwoording over de genoemde elementen af te leggen. Daar de ICT zwaar is verweven met de bedrijfprocessen binnen een organisatie, is het beschikken over een beheersbare ICT-omgeving waarover verantwoording kan worden afgelegd een belangrijk aandachtspunt. Andere wettelijke verplichtingen waar organisaties binnen Nederland bijvoorbeeld mee te maken hebben zijn Wet Bescherming Persoongegevens (van toepassing op organisaties die binnen persoonsgegevens verwerken) en Reglement Organisatie en Beheersing (van toepassing op financiële instellingen). Mocht een organisatie in bijvoorbeeld Japan zijn gevestigd, dan is deze organisatie in bepaalde situaties verplicht om tegen ISO (Informatie Security Management System) te zijn gecertificeerd. Deze locale wettelijke verplichtingen kunnen veelal worden vertaald in concrete eisen waaraan een ICT-omgeving, en zo ook een IAM-omgeving, moet voldoen. Door de implementatie van een aantal specifieke maatregelen kan een IAM-omgeving worden gerealiseerd welke bijdraagt aan een beheersbare ICT-omgeving en tegemoet komt aan de overige concrete eisen. Resumerend kan worden gesteld dat deze specifieke maatregelen dienen te waarborgen dat: de vastgelegde gebruikersgegevens betrouwbaar en herleidbaar zijn naar een unieke fysieke identiteit; de aan de gebruikers toegewezen autorisaties in objecten rechtmatig zijn (bijv. autorisatietoekenning op basis van een rol binnen de organisatie en naleving voorgeschreven functiescheiding); de vertrouwelijkheid van gevoelige gegevens is gewaarborgd; de gebruiker- en autorisatiegegevens transparant zijn opgeslagen; global reporting wordt ondersteund, de organisatie moet ten aanzien van alle betrokken objecten in staat zijn om geconsolideerde rapportages te produceren van de huidige situatie (IST). Zo dient een organisatie in staat te zijn om een accuraat overzicht te genereren van alle gebruikers en de aan de gebruikers gekoppelde autorisaties over alle betrokken objecten heen; een effectieve controle wordt uitgevoerd op het naleven van de voorschriften in het kader van IAM. Interne behoefte Naast de externe verplichtingen, heeft de organisatie vaak zelf ook behoeften die een weerslag hebben op de IAM-omgeving. Immers, het bewerkstelligen van een efficiënte beheeromgeving staat altijd hoog op de agenda van het management van een organisatie. Door het IAM efficiënt in te richten beoogt de organisatie te waarborgen dat: inspanning en kosten voor het beheren van gebruiker- en autorisatiegegevens worden geminimaliseerd; 6 / 18

7 de (primaire) bedrijfsprocessen ongestoord doorgang kunnen vinden en de productiviteit van gebruikers derhalve wordt verhoogd. In de praktijk wordt naast een efficiëntieverbetering, ook een algemene verhoging van de informatiebeveiliging, bijvoorbeeld ten behoeve van het tegengaan van imagoschade, als behoefte onderkend (bijvoorbeeld op basis van ISO 27001). Wet- en regelgeving voor gehele organisatie Sarbanes-Oxley Basel II Organisatiebehoefte ISO Efficiëntieverbetering Organisatie Locale wet- en regelgeving (Nederland) WBP ROB Code Tabaksblat Onderdeel A Onderdeel B Onderdeel C Afdeling IAM-omgeving A IAM-omgeving B IAM-omgeving C Figuur 6 - Schematisch overzicht van verplichtingen en behoefte van een organisatie Voorwaarden aan een beheersbare IAM-omgeving Op basis van zowel de externe verplichtingen alsook interne behoefte kan worden geconcludeerd dat een organisatie wil beschikken over een beheersbare IAM-omgeving. Een beheersbare IAM-omgeving dient in deze context te worden opgevat als een IAM-omgeving welke betrouwbaar, effectief en efficiënt is ingericht. Teneinde een beheersbare IAM-omgeving te bewerkstelligen, dienen de binnen een IAM-omgeving te onderkennen componenten aan een aantal voorwaarden te voldoen. Hierbij dient te worden opgemerkt dat in deze paragraaf de meest optimale situatie uiteen is gezet. Afhankelijk van de wensen van de organisatie, dient te worden bepaald aan welke voorwaarden daadwerkelijk invulling moet worden gegeven. Organisatie Beleid In het kader van een IAM-omgeving welke conform de van toepassing zijnde wet- en regelgeving en organisatiebehoefte functioneert, is het van belang dat een helder en werkbaar beleid is geformuleerd en specifiek van toepassing is op IAM. In het IAM-beleid dient minimaal invulling te zijn gegeven aan navolgende aspecten: Doel Het doel van en de bijbehorende uitgangspunten voor het IAM dienen inzichtelijk en beschreven te zijn. Zo dient het beleid onder andere te adresseren dat de IAM-omgeving ervoor moet zorgdragen dat de externe verplichtingen worden nageleefd en dat invulling wordt gegeven aan de overige organisatiebehoeften. Eigenaarschap Het eigenaarschap van het proces IAM moet zijn belegd. De eigenaar is verantwoordelijk voor het realiseren van de doelstellingen van het IAM. Daar IAM zowel raakvlakken heeft met de organisatie (business) alsook ICT, is het vaak moeilijk om deze rol eenduidig binnen de organisatie te beleggen. Gezien het overkoepelende karakter van IAM, wordt deze rol in praktijk bijvoorkeur belegd bij een neutrale positie binnen de organisatie, zoals de controller. Verantwoordelijkheden De verantwoordelijkheden ten aanzien van de processen betrokken bij de IAM-omgeving dienen te zijn vastgesteld en belegd. Hierbij dient te zijn gewaarborgd dat een controletechnische functiescheiding is doorgevoerd tussen het gebruikersbeheer, functioneel 7 / 18

8 autorisatiebeheer, technisch autorisatiebeheer en de controleerde functie (=actor in het proces controle). Controlefunctie De uitvoering van de interne controle op de inrichting en werking van de IAMomgeving dient een integraal onderdeel te vormen van het besturingsmodel van de organisatie. Teneinde de uitvoering van de interne controle gestalte te geven dient binnen het besturingsmodel van de IAM-omgeving de administratieve organisatie/interne controle (AO/IC) met betrekking tot de controleprocessen te zijn beschreven en ingericht welke structureel door de verantwoordelijke functionarissen dienen te worden uitgevoerd. De controleprocessen dienen erop te zijn gericht om de externe verplichtingen en interne behoeften te waarborgen. Processen Teneinde een beheersbare IAM-omgeving te realiseren, dienen de IAM-processen gebruikersbeheer, authenticatiebeheer, autorisatiebeheer en controle eveneens aan een aantal voorwaarden te voldoen. Gebruikersbeheer & Verwerken (provisioning) HR-systeem als uitgangspunt voor gebruikersbeheer De gebruikergegevens (gebruikersidentificatie en additionele gegevens) in het HR-systeem dienen het uitgangspunt te vormen van de processen inzake het aanmaken/verwijderen van gebruikers, het toekennen/afnemen van autorisaties en het uitgeven/intrekken van authenticatiemiddelen. Zo dienen alleen gebruikers in objecten te worden aangemaakt welke zijn te herleiden naar een medewerker in het HR-systeem. Wijzigingen in het HR-systeem welke autorisatiewijzigingen tot gevolg hebben, dienen direct te leiden tot het opstarten van het gebruikerbeheer opdat de nodige handelingen kunnen worden verricht. Dit laatste is met name belangrijk op het moment dat een medewerker als uitdienst in het HR-systeem wordt geregistreerd en de autorisaties moeten worden ingetrokken. In voornoemde situatie dient ook het authenticatiemiddel van de betreffende gebruiker direct te worden ingetrokken. Door het HR-systeem als vertrekpunt te hanteren waarborgt de organisatie dat de binnen de objecten aanwezige gebruikers altijd te herleiden zijn naar een fysieke identiteit binnen de organisatie en dat de beleidsuitgangspunten van de organisatie ten grondslag liggen aan de autorisaties die aan deze gebruikers zijn toegekend. Immers, op basis van de gebruikergegevens, zoals functieprofiel, kan de organisatie bepalen of de gebruiker slechts over die autorisaties beschikt die de gebruiker nodig heeft voor het uitvoeren van de aan de gebruiker toegewezen werkzaamheden binnen de bedrijfsprocessen. Ook is gewaarborgd dat, in het geval van een incident, de verantwoordelijke gebruiker kan worden herleid en aansprakelijk kan worden gesteld. Direct verwerken (provisioning) van autorisatiewijzigingen Voorkomen moet worden dat een ongewenste vertraging ontstaat tussen het moment dat autorisaties worden toegekend/ontnomen en het moment dat het verzoek tot autorisatiewijziging daadwerkelijk in de objecten is verwerkt. Het verwerkingsproces (provisioning) dient derhalve een hoge mate van beschikbaarheid te ondersteunen en direct te starten op het moment dat in het gebruikersbeheer handelingen zijn verricht die van invloed zijn op de autorisaties van gebruikers in objecten. Door autorisatiewijzigingen direct in objecten te verwerken wordt gegarandeerd dat: gebruikers tijdig over de vereiste autorisaties beschikken en de (primaire) bedrijfsprocessen zoveel mogelijk ongestoord doorgang kunnen vinden; en autorisaties tijdig van gebruikers worden ontnomen en de rechtmatigheid van autorisaties en vertrouwelijkheid van gegevens is gewaarborgd. Integriteit van gegevens in HR-systeem waarborgen Teneinde de vorige voorwaarden effectief te implementeren, is het essentieel dat de integriteit (juistheid, volledigheid en tijdigheid) van de levenscyclus van de gebruikergegevens in het HRsysteem zijn gewaarborgd. Mocht een gebruiker bijvoorbeeld wisselen van functie, dan dient dit juist, volledig en tijdig in de bronregistratie te worden bijgewerkt opdat de autorisaties waarop de gebruiker geen recht meer heeft direct worden ingetrokken en de juiste nieuwe autorisaties worden toegekend. 8 / 18

9 Op het moment dat de gebruikergegevens in het HR-systeem integer zijn, zijn de gebruikergegevens in de objecten eveneens integer. Hierbij dient te worden opgemerkt dat het administratief verwerken van tijdelijke medewerkers en inhuurkrachten, waarbij in- en uitstroom veelvuldig voorkomt, als lastig probleem wordt ervaren. Dit is het resultaat van een discrepantie tussen de gewenste snelheid van het opvoeren van autorisaties in objecten en de minder snelle verwerking van gegevens in HR-systemen (als gevolg van bijbehorende procedures). Alleen autorisaties kunnen toekennen binnen verantwoordelijkheidsgebied Binnen de IAM-omgeving dient een functionaris slechts die autorisaties te kunnen toekennen waartoe deze functionaris is bevoegd. Een afdelingshoofd van bijvoorbeeld de verkoopafdeling mag nooit in staat zijn om autorisaties gerelateerd aan de inkoopafdeling toe te kennen. In een handmatige IAMomgeving houdt dit in dat systeembeheerders controles moeten uitvoeren om met zekerheid vast te kunnen stellen dat de autorisaties door een bevoegde functionaris zijn aangevraagd. In een geautomatiseerde IAM-omgeving houdt dit in dat het al dan niet mogen toekennen van autorisaties, als onderdeel van het van toepassing zijnde autorisatiemodel, op basis van het workflow-mechanisme van het gebruikersbeheer wordt beheerst. Authenticatiebeheer & Verwerken Authenticatiepolicies bepalen op basis van risicoprofiel Het bepalen van de authenticatiepolicies dient altijd te geschieden op basis van het risicoprofiel van de voorgenomen actie of object. Zo dienen acties en objecten te worden geclassificeerd waarbij rekening wordt gehouden met het beleid en de van toepassing zijnde wet- en regelgeving (bijvoorbeeld Wet Bescherming Persoonsgegevens). De bepaalde authenticatiepolicies dienen vervolgens als zodanig in de objecten te worden vastgelegd. Betrouwbare authenticatiemiddelen gebruiken Een gebruiker voorschrijven om conform de vastgelegde authenticatiepolicies op een object aan te loggen betreft slechts een onderdeel van de volledige betrouwbaarheid van een authenticatie. Immers, het authenticatiemiddel zelf dient ook betrouwbaar te zijn. De betrouwbaarheid van een authenticatiemiddel wordt door een aantal factoren bepaald, te weten: Type Een authenticatiemiddel kan zijn gebaseerd op iets dat houder weet (bijvoorbeeld wachtwoord), iets dat de houder bezit (bijvoorbeeld token) en/of iets wat de houder is (bijvoorbeeld biometrie). Aanvraag- en uitgifteproces De wijze hoe een authenticatiemiddel wordt aangevraagd en uitgereikt (bijvoorbeeld per post of op basis van fysieke overhandiging met controle op de identiteit). Productieproces De wijze hoe het authenticatiemiddel wordt geproduceerd (bijvoorbeeld in een al dan niet zwaar beveiligde en gecertificeerde omgeving). Ook hier geldt dat de mate van de betrouwbaarheid van het authenticatiemiddel moet worden bepaald op basis van het risicoprofiel van de voorgenomen actie of het object. Autorisatiebeheer & Verwerken Betrouwbaar autorisatiemodel Het toekennen van autorisaties aan gebruikers, als onderdeel van het gebruikersbeheer, dient altijd te geschieden conform een betrouwbaar autorisatiemodel. Het autorisatiemodel dient op basis van de beleidsuitgangspunten te zijn opgesteld en onderhouden. Bij het opstellen van het autorisatiemodel dienen derhalve de navolgende actoren te worden betrokken: Lijnmanagement Het lijnmanagement heeft doorgaans de behoefte om bepaalde autorisaties in objecten te kunnen toekennen aan zijn medewerkers. Bij het opstellen of wijzigen van het autorisatiemodel zal het lijnmanagement ervoor waken dat het autorisatiemodel alle benodigde autorisaties bezit opdat de medewerkers in staat zijn om hun taken en functies binnen de bedrijfsprocessen uit te voeren. 9 / 18

10 Objecteigenaar (gegevenseigenaar) De objecteigenaar betreft de functionele eigenaar van de informatie waartoe op basis van het nieuwe dan wel gewijzigde autorisatiemodel toegang moet worden verschaft. De objecteigenaar zal er derhalve voor waken dat slechts die autorisaties in objecten worden aangemaakt en door het van toepassing zijnde lijnmanagement mogen worden toegekend waarvoor dat (vanuit het organisatiebeleid) noodzakelijk is. Security Officer / Intern Controller De security officer heeft met betrekking tot het autorisatiebeheer een adviserende en toezichthoudende rol. De security officer waakt ervoor dat gebruikers slechts die autorisaties krijgen toebedeeld waartoe zij zijn gerechtigd en dat de door de organisatie voorgeschreven functiescheiding in de objecten wordt nageleefd. Derhalve zal de security officer er toezicht op houden dat het autorisatiemodel wordt opgesteld conform het organisatiebeleid en de van toepassing zijnde functiescheiding. Echter, uit praktijk komt naar voren dat de security officer niet altijd de aangewezen functionaris is om het beleid te vertalen naar de praktische situatie met betrekking tot bijvoorbeeld functiescheiding. Derhalve kan het noodzakelijk zijn om de interne controller bij het proces te betrekken. Door een betrouwbaar autorisatiemodel te hanteren, waarborgt de organisatie dat de voorgeschreven functiescheiding en de rechtmatigheid van de autorisaties van de gebruikers in haar objecten conform beleid en wet- en regelgeving is. Controle & Extraheren In het kader van wet- en regelgeving is het voor een IAM-omgeving essentieel dat deze controleerbaar is. Binnen een optimaal beheersbare IAM-omgeving bestaat het controleproces zowel uit actieve en constante monitoring alsook controle op basis van periodieke rapportages. Teneinde de van toepassing zijnde verantwoordelijkheden in het kader van de AO/IC te kunnen nemen, dienen de navolgende controles te worden uitgevoerd: Overeenstemming tussen medewerkergegevens in HR-systeem en gebruikers in objecten Controleren dat de gebruikers in objecten te herleiden zijn naar een medewerker in het HRsysteem. Deze controle dient te worden uitgevoerd door de IT-afdeling. Relatie tussen gebruikers en autorisaties Controleren dat gebruikers de juiste autorisaties bezitten. Deze controle dient te worden uitgevoerd door de voor de betreffende medewerker verantwoordelijke lijnmanager. Relatie tussen autorisatiemodel en autorisatiegroepen in objecten Controleren dat in het autorisatiemodel onderkende (functionele) handelingen correct zijn vertaald naar autorisaties (autorisatiegroepen) in objecten. Deze controle dient te worden uitgevoerd door de security officer. Bevoegdheid functionarissen met betrekking tot toekennen autorisaties Controleren dat functionarissen slechts die autorisaties aan gebruikers kunnen toekennen waartoe de betreffende functionarissen zijn bevoegd. Deze controle dient te worden uitgevoerd door de autorisatiemodelbeheerder. Handelingen welke door een gedelegeerde actor zijn uitgevoerd Indien bevoegdheden in het kader van IAM worden gedelegeerd, dan controleren dat de gedelegeerde functionaris de gedelegeerde taken conform de richtlijnen heeft uitgevoerd. Deze controle dient te worden uitgevoerd door de eindverantwoordelijke lijnmanager welke taken heeft gedelegeerd. Doorbroken functiescheidingen Controleren dat functiescheidingen niet, of slechts na expliciete toestemming, zijn doorbroken. Deze controle dient te worden uitgevoerd door de security officer. Voorgeschreven authenticatievoorschriften Controleren dat de authenticatievoorschriften zoals vastgelegd in objecten in overeenstemming zijn met de bepaalde (en dus voorgeschreven) authenticatievoorschriften. Deze controle dient te worden uitgevoerd door de security officer. Techniek Zoals in het inleidende hoofdstuk reeds is aangehaald, kunnen geautomatiseerde hulpmiddelen worden ingezet voor de ondersteuning van de IAM-processen. Met name ten behoeve van het realiseren van de aan de IAM-processen gestelde voorwaarden, kan een geautomatiseerde IAM-omgeving een substantiële bijdrage leveren. Met het oog op een efficiënte en optimale IAM-omgeving kunnen navolgende onderdelen worden geautomatiseerd. 10 / 18

11 Procesgang gebruikersbeheer (inclusief koppeling met HR-systeem) Op basis van workflow-mechanisme kan de procesgang van het vastleggen van gebruikergegevens, het toekennen/afnemen van autorisaties en verwerken van de autorisatiewijzigingen in objecten volledig zijn geautomatiseerd (zie figuur 7). Gebruikersbeheer & Verwerken (provisioning) Indiensttreding Wijziging functie Uitdiensttreding 1. Bijwerken HR-systeem (handmatig) 2. Trigger met gegevens naar workflow (automatisch) 3. Bepalen van autorisaties binnen verantwoordelijkheidsgebied (automatisch) 4. Toekennen/ontnemen autorisaties (handmatig) 5. Verwerken in objecten (automatisch) Autorisaties voor gebruiker verwerkt in betrokken objecten Figuur 7 - Geautomatiseerde procesgang gebruikersbeheer Het startpunt van het gebruikersbeheerproces betreft een wijziging in het HR-systeem (1). Nadat een wijziging in het HR-systeem is doorgevoerd, stuurt het HR-systeem direct een geautomatiseerd signaal, vaak aangeduid als trigger, naar het workflow-mechanisme (2). Nadat de functionaris die verantwoordelijk is voor het toekennen/ontnemen van autorisaties door het workflow-mechanisme is geïnformeerd, bepaalt het workflow-mechanisme de autorisaties die binnen het verantwoordelijkheidsgebied van de betreffende functionaris liggen (3). Welke autorisaties door welke functionaris mogen worden toegekend, wordt vastgelegd in het workflow-mechanisme als onderdeel van het autorisatiebeheer. Nadat het workflow-mechanisme de autorisatie binnen het verantwoordelijkheidsgebied van de functionaris heeft bepaald, kan deze functionaris (afhankelijk van de wijziging in het HR-systeem) autorisaties aan gebruikers toekennen dan wel ontnemen (4). De laatste stap binnen het workflow-mechanisme betreft het geautomatiseerd verwerken van de autorisaties in de objecten (5). Door het toepassen van een geautomatiseerd workflow-mechanisme kunnen navolgende voordelen worden behaald: Verhoging efficiëntie Geautomatiseerde verwerking (provisioning) vergt minimale manuele handelingen van systeembeheerders. Dit drukt de kosten en daarnaast worden de doorlooptijden van het toekennen/ontnemen van autorisaties verkort. Verhoging effectiviteit Door de kortere doorlooptijd, beschikken gebruikers sneller over de autorisaties waardoor deze gebruikers zo spoedig als mogelijk kunnen beginnen met hun werkzaamheden. Verhoging beheersbaarheid Het autorisatiemodel wordt bij het toekennen van autorisaties automatisch afgedwongen waardoor wordt gegarandeerd dat autorisaties slechts conform het beleid en de van toepassing zijnde AO/IC worden toegekend/ontnomen. Extraheren en consolideren controle-informatie Op basis van een technisch hulpmiddel kan het proces ten aanzien van het extraheren van informatie uit objecten en het consolideren van deze informatie worden geautomatiseerd opdat alle in het controleproces benodigde informatie centraal kan worden opgevraagd. Voorkomen wordt dat de binnen het controleproces verantwoordelijke functionaris alle objecten afzonderlijk moet benaderen om de vereiste informatie te verzamelen. Daarnaast kan op basis van het geautomatiseerd extraheren van controle-informatie constante monitoring worden uitgevoerd. Het monitoring-proces vergelijkt dan de autorisaties die tijdens het geautomatiseerde gebruikersbeheer aan gebruikers zijn toegekend (SOLL) met de daadwerkelijk toegekende autorisaties in de objecten (IST). 11 / 18

12 Door het extraheren en consolideren van controle-informatie te automatiseren wordt een goed controleerbare IAM-omgeving gerealiseerd waarbij de controleprocessen effectief en efficiënt worden uitgevoerd. Typologieën van een Enterprise Identity & Access Management Met betrekking tot een organisatiebrede IAM, het zogenaamde Enterprise Identity & Access Management (EIAM), kan een aantal verschillende typologieën worden onderkend. Deze paragraaf zet de te onderkennen typologieën uiteen. Onderkende typologieën De wijze van inrichting van het EIAM wordt onder andere beïnvloed door het feit of ICT-objecten al dan niet tussen de verschillende organisatie-eenheden, met ieder hun eigen IAM-omgeving, worden gedeeld. Met andere woorden: worden ICT-objecten al dan niet benaderd door medewerkers van andere organisatie-eenheden. Alvorens de inrichting ten aanzien van het EIAM kan worden vormgegeven, dient de organisatie te bepalen welke typologie voor EIAM wordt gekozen. Indien ICT-objecten slechts worden gebruikt door medewerkers van de organisatie-eenheid welke zelf verantwoordelijk is voor de betreffende IAM-omgeving, dan volstaat een EIAM waarbinnen diverse autonome IAM-omgevingen worden onderkend. De medewerkers worden per organisatie-eenheid in de eigen IAMomgeving geregistreerd. In een situatie waarbij ICT-objecten tussen verschillende organisatie-eenheden moeten worden gedeeld, heeft een organisatie op hoofdlijnen een viertal typologieën voorhanden om dit te realiseren, te weten: Medewerker in elke IAM-omgeving afzonderlijk registreren. Medewerker in elke IAM-omgeving afzonderlijk registreren, gebruikmakend van global identificatie. Federated Identity Management. Centrale overkoepelde IAM-omgeving inrichten. Figuur 8 - niet gedeeld Medewerker in elke IAM-omgeving afzonderlijk registreren In principe betreft dit dezelfde typologie als de typologie waarbij geen objecten tussen organisatieeenheden worden gedeeld. Echter, nu worden de medewerkers welke toegang nodig hebben tot objecten van een andere organisatie-eenheid, binnen de IAMomgeving van de betreffende organisatie-eenheid opnieuw geregistreerd. Een groot voordeel van de voornoemde typologie is dat deze typologie relatief eenvoudig is te implementeren. Immers, de organisatie behoeft geen nieuwe middelen aan te schaffen en geen wijzigingen door te voeren in de bestaande implementatie. Deze typologie is direct te implementeren waardoor medewerkers direct toegang kunnen worden verschaft tot objecten van andere organisatieeenheden. Echter, aan deze typologie kleeft ook een aantal essentiële nadelen, te weten: Figuur 9 - ICT-objecten gedeeld Inefficiënt Het dubbel moeten registreren van medewerkers binnen de verschillende IAMomgevingen is arbeidsintensief en brengt de nodige kosten voor het gebruikers- en authenticatiebeheer met zich mee. Immers, voor elke IAM-omgeving waartoe een medewerker toegang nodig heeft, dient de medewerker te worden geregistreerd en te worden voorzien van een authenticatiemiddel. Gebruikersonvriendelijk en kans op toename beveiligingsincidenten De medewerker wordt per IAM-omgeving voorzien van een apart authenticatiemiddel. Hierdoor groeit de digitale sleutelbos 12 / 18

13 van de medewerker. Indien deze authenticatiemiddelen een gebruikersnaam/wachtwoordcombinatie betreffen, bestaat het risico dat de medewerker zwakke wachtwoorden kiest, deze opschrijft of hergebruikt. Dit houdt in dat de kans op misbruik van het wachtwoord toeneemt. Relatie met HR-systeem onvoldoende gewaarborgd Een medewerker wordt binnen een IAMomgeving van een andere organisatie-eenheid geregistreerd, terwijl de levenscyclus van deze medewerker alleen in het HR-systeem van de organisatie-eenheid wordt beheerd waar de medewerker oorspronkelijk werkzaam is. Indien de medewerker uit dienst treedt en de bijbehorende autorisaties moeten worden ingetrokken, is dit niet direct zichtbaar voor de organisatie-eenheid waar de medewerker niet werkzaam voor is. Derhalve dient hiertoe een separaat proces te worden ingericht dat erop is gericht om wijzigingen in het HR-systeem kenbaar te maken aan de andere organisatie-eenheden. Hierbij bestaat het risico dat de uitdiensttreding van een medewerker niet, of niet tijdig, bekend is bij de andere organisatie-eenheid. Integrale controle complex Daar de IAM-omgevingen autonoom functioneren, niet technisch aan elkaar zijn verbonden en medewerkers dubbel en met verschillende gebruikersidentificaties (een medewerker bezit binnen de verschillende IAM-omgevingen over verschillende gebruikeridentificaties) zijn geregistreerd, is het moeilijk om een effectieve integrale controle te bewerkstelligen. Daar er verschillende gebruikersidentificaties worden gehanteerd, is het bijna onmogelijk om effectieve global reporting te ondersteunen. Teneinde aan deze verplichting tegemoet te komen dient de organisatie additionele organisatorische en procesmatige maatregelen te treffen. Medewerker in elke IAM-omgeving afzonderlijk registreren, gebruikmakend van global identificatie Deze typologie betreft dezelfde als de vorige typologie, met dien verstande dat gebruik wordt gemaakt van een organisatieoverkoepelende unieke gebruikersidentificatie ( global identificatie). Door binnen de diverse organisatie-eenheden door de gehele organisatie heen een unieke gebruikersidentificatie voor medewekers te hanteren, is het makkelijker om global reporting te ondersteunen. Immers, gebruikers kunnen binnen de gehele organisatie uniek worden geïndentificeerd. Federated Identity Management Een andere mogelijke typologie betreft een oplossing gebaseerd op het Federated Identity Management (FIM)-principe. Bij een FIM-oplossing blijven de diverse IAM-omgevingen in principe autonoom functioneren. Echter, een authenticatie-oplossing, zoals geïmplementeerd door een bepaalde organisatie-eenheid, kan door een andere organisatie-eenheid worden hergebruikt (zie figuur 10). Resumerend betekent dit dat de organisatie-eenheid waarvoor de betreffende medewerker werkzaam is, de medewerker authenticeert (1), waarna de identificatiegegevens en eventueel additionele attributen (bijvoorbeeld de afdeling waar de medewerker werkzaam is) van deze geauthenticeerde medewerker worden doorgespeeld aan een andere organisatie-eenheid (2). De ontvangende organisatie-eenheid kan steunen op de reeds door de andere organisatie-eenheid uitgevoerde authenticatie. De ontvangende organisatie-eenheid behoeft slechts op basis van de ontvangen gegevens te bepalen of deze medewerker al dan niet toegang mag worden verschaft tot bepaalde objecten (3/4). 13 / 18

14 4. Toegang verschaffen 1. Authenticeren 2. Gebruikersidentificatie+ additionele gegevens 3. Bepalen autorisaties Figuur 10 Federated Identity Management In de meest eenvoudige vorm kan de ontvangende organisatie-eenheid op basis van de ontvangen additionele gegevens bepalen of de medewerker toegang mag worden verschaft. Indien een medewerker bijvoorbeeld werkzaam is voor een bepaalde afdeling van een organisatie-eenheid, dan kan dit automatisch leiden tot de toegang tot objecten die bij de afdeling behoren van de andere organisatie-eenheid. In een meer complexere FIM-omgeving kunnen de autorisaties van de medewerkers van andere organisatie-eenheden op basis van de bestaande IAM-processen expliciet worden toegekend dan wel worden ontnomen. Een FIM-architectuur levert een organisatie de navolgende voordelen op: Verlaging operationele kosten In relatie tot de vorige oplossing, behoeft een medewerker bij een FIM-oplossing niet binnen elke IAM-omgeving opnieuw te worden geregistreerd en te worden voorzien van een apart authenticatiemiddel. Gebruikersvriendelijk en betere risicobeheersing De medewerker bezit slechts één authenticatiemiddel (of een minimaal aantal authenticatiemiddelen) voor de toegang tot objecten binnen de verschillende IAM-omgevingen. Daar de medewerker niet is voorzien van een diversiteit aan authenticatiemiddelen en de medewerker zich bewust is van het feit dat het authenticatiemiddel kan worden toegepast binnen diverse IAM-omgevingen, zal de medewerker geneigd zijn het authenticatiemiddel met de nodigde voorzichtigheid te behandelen. Hierdoor wordt misbruik zoveel mogelijk voorkomen. Bij uitdiensttreding toegangontzegging gewaarborgd De organisatie-eenheid waarvoor de medewerker oorspronkelijk werkzaam is, is verantwoordelijk voor het authenticeren en het beheer van het authenticatiemiddel van de medewerker. Indien de medewerker uit dienst treedt, dan zal dit als zodanig in het HR-systeem van de betreffende organisatie-eenheid worden geregistreerd. Dit zal automatisch leiden tot het proces dat verantwoordelijk is voor het intrekken van het authenticatiemiddel. Doordat de medewerker niet meer kan worden geauthenticeerd, heeft de medewerker binnen een FIM-omgeving ook geen toegang meer tot objecten. Naast de genoemde voordelen, kent een FIM-oplossing ook een aantal nadelen, te weten: Inrichten afsprakenstelsel Ten behoeve van een effectieve FIM-oplossing dient een afsprakenstelsel te worden ingericht. Hierbij betreft de aansprakelijkheid een essentieel aandachtspunt. Immers, welke organisatie-eenheid is verantwoordelijk voor schade die voortvloeit uit het onterecht toegang verschaffen tot bepaalde objecten? Alle afspraken en service levels dienen te worden vastgelegd in respectievelijk contracten en service level agreements (SLA s). Integrale controle complex Daar er binnen een FIM-omgeving ook autonome IAM-omgevingen worden onderkend, geldt ook voor deze typologie dat de integrale controle complex is. Teneinde aan de verplichting hieromtrent te kunnen voldoen, dienen additionele organisatorische en procesmatige maatregelen te worden getroffen. Echter, door gebruikersidentificaties te hergebruiken, is het wel mogelijk om global reporting te ondersteunen. 14 / 18

15 Locaal beheer van autorisaties Ofschoon een medewerker bij uitdiensttreding geen toegang meer heeft tot objecten van andere organisatie-eenheden, zijn de gebruikersidentiteit en de autorisaties nog wel in de objecten van deze organisatie-eenheden aanwezig. Teneinde vervuiling tegen te gaan en te waarborgen dat slechts rechtmatige autorisaties aan gebruikers in objecten zijn toegekend, dient een separaat proces te worden ingericht opdat de gebruikersidentiteiten en de autorisaties bij een wijziging in het HR-systeem daadwerkelijk in de objecten van de andere organisatie-eenheden worden verwerkt. Organisatie Centrale IAM-omgeving Als laatste is een typologie voorhanden welke uitgaat van een centrale IAM-omgeving, waarbij de uitvoering van de IAMprocessen decentraal is belegd. Hierbij voorziet de centrale organisatie in een technische IAM-infrastructuur die een workflow-mechanisme ondersteunt voor het gebruikersbeheer en het extraheren en consolideren van controle-informatie. De verschillende organisatie-eenheden kunnen van deze gemeenschappelijke IAM-infrastructuur gebruikmaken ten behoeve van het uitvoeren van de onderkende IAM-processen. IAM-uitvoering IAM-uitvoering IAM-uitvoering Centrale IAM-omgeving Figuur 11 - Centrale IAM-omgeving Een centrale IAM-omgeving heeft de navolgende voordelen: Uniform proces voor toekennen/ontnemen autorisaties afdwingen Daar gebruik wordt gemaakt van een centrale IAM-infrastructuur, kan op centraal niveau de workflow voor het gebruikersbeheer worden gedefinieerd en op basis van het technische hulpmiddel worden afgedwongen. Integrale controle mogelijk Daar gebruik wordt gemaakt van een centraal technisch hulpmiddel voor het extraheren van controle-informatie is het mogelijk om op centraal niveau, over alle organisatie-eenheden heen, global reporting te ondersteunen en een effectieve en efficiënte controle uit te voeren. Zo is het ook mogelijk om eenvoudig te controleren of binnen de diverse organisatie-eenheden door de gehele organisatie heen de voorgeschreven functiescheiding is gewaarborgd. Op basis van standaard gebruikersbeheerproces medewerkers van andere organisatie-eenheden toegang verschaffen Op het moment dat een medewerker toegangsrechten nodig heeft tot een object van een andere organisatie-eenheid, dan kan de verantwoordelijke functionaris de autorisaties eenvoudig op basis van standaard gebruikersbeheerprocessen aan de betreffende medewerker toekennen. Immers, de medewerker is binnen de centrale IAM-infrastructuur bekend bij alle organisatie-eenheden. Relatie HR-systeem goed gewaarborgd De centrale IAM-infrastructuur kan ervoor zorgdragen dat op het moment dat er wijzigingen worden doorgevoerd in een HR-systeem de gebruikersidentiteiten en autorisaties van alle aangesloten objecten (van de verschillende organisatie-eenheden) worden bijgewerkt. Naast de voordelen, kunnen in het kader van een centrale IAM-omgeving de navolgende nadelen worden onderkend: Lange doorlooptijd alvorens oplossing beschikbaar is Het inrichten van een organisatiebrede IAM-omgeving vergt een lange doorlooptijd. Dit kan verstorend werken op het moment dat op korte termijn behoefte is om medewerkers van andere organisatie-eenheden toegang te vershaffen tot objecten. Hoge investering centrale IAM-infrastructuur en (mogelijke) desinvestering bestaande IAMomgevingen Het voor de gehele organisatie inrichten van een IAM-omgeving brengt de nodige inspanning en kosten met zich mee. Daarnaast hebben de diverse organisatie-eenheden doorgaans reeds een vorm van IAM ingericht waarbij gebruik wordt gemaakt van technische hulpmiddelen. Op het moment dat een nieuwe centrale infrastructuur wordt geïmplementeerd, dienen de bestaande oplossingen te worden uitgefaseerd wat een desinvestering kan betekenen. 15 / 18

16 Single-Point-of-Failure (SPOF) Bij een centrale IAM-omgeving is de organisatie volledig afhankelijk van de beschikbaarheid van de gemeenschappelijke IAM-infrastructuur. Mocht de IAM-infrastructuur niet beschikbaar zijn, dan betekent dit bijvoorbeeld dat autorisaties die direct van een medewerker moeten worden ontnomen niet tijdig in objecten worden ingetrokken. Derhalve dient de organisatie altijd te zorgen voor alternatieve (nood)procedures opdat de IAMprocessen doorgang kunnen vinden. Kiezen typologie In de meest optimale situatie beschikt een organisatie over één centrale IAM-omgeving, welke ondersteuning biedt aan alle locale IAM-processen. Maar - zoals reeds naar voren kwam - is het niet realistisch om een dergelijke oplossing een-twee-drie te implementeren. Daarnaast kan het zijn dat de kosten gekoppeld aan de implementatie van een organisatiebrede IAM-infrastructuur niet opwegen tegen de baten. Derhalve dient de organisatie eerste te bepalen welke typologie wenselijk is, en hoe tot deze typologie moet worden gekomen. In praktijk beschikken de organisatie-eenheden reeds over enige vorm van IAM. Afhankelijk van het feit of medewerkers al dan niet toegang moeten hebben tot objecten van andere organisatie-eenheden, is de vraag voor welke typologie wordt gekozen. Indien objecten niet worden gedeeld, kan worden volstaan met een typologie die bestaat uit verschillende autonome IAM-omgevingen waarbij op basis van organisatorische en procesmatige maatregelen verantwoordelijkheid wordt afgelegd aan de centrale afdeling van de organisatie. Indien objecten wel worden gedeeld, dan dient de organisatie te kiezen voor een typologie waarbij dit mogelijk is. In eerste instantie kan, indien de behoefte groot is om medewerkers op korte termijn toegang te verschaffen tot objecten van andere organisatieeenheden, voor de typologie worden gekozen waarbij medewerkers per organisatie-eenheid worden geregistreerd. Vervolgens kan dan worden doorgegroeid naar een FIM-oplossing en/of een centrale IAM-omgeving. Indien binnen de organisatie grote behoefte is aan een effectieve en efficiënte integrale controle en global reporting, dan ontkomt een organisatie er bijna niet aan om door te groeien naar een centrale IAM-omgeving. Een oplossing gebaseerd op FIM is met name wenselijk in die situaties waarbij de organisatie wordt geconfronteerd met hoge kosten voor het beheren van authenticatiemiddelen. Inrichting van een Enterprise Identity & Access Management Nu inzichtelijk is met welke verplichtingen en behoeften een organisatie wordt geconfronteerd, welke weerslag dit heeft op IAM en welke typologieën voor EIAM mogelijk zijn, rijst de vraag op hoe een organisatie met heterogene ICT-omgevingen haar EIAM moet inrichten. Binnen het model EIAM, wordt de rol van de centrale afdeling en de rol van de locale organisatie-eenheden beschreven. Waar van toepassing wordt een onderscheid gemaakt tussen de verschillende typologieën. Organisatie Ten eerste dient de organisatie een overkoepelend EIAM-beleid te formuleren waarin de strategie met betrekking tot EIAM uiteen is gezet. Een essentieel onderdeel vormt de typologie welke wordt gekozen en de wijze hoe tot deze typologie moet worden gekomen. Het beleid dient kaderstellend te zijn voor het locale beleid en de uitvoering van de operationele IAM-processen teneinde de conformiteit ten aanzien van de verplichtingen en behoefte te garanderen. Een belangrijk onderdeel betreft het bepalen en beleggen van de centrale en locale verantwoordelijkheden. Voor alle typologieën geldt dat de centrale afdeling verantwoordelijk is voor het in kaart brengen van de verplichtingen en bijbehorende maatregelen die voor de gehele organisatie van toepassing zijn. Daarnaast is het de verantwoordelijkheid van de betreffende organisatie-eenheid (of een aangewezen organisatie-eenheid per regio) om de verplichtingen met betrekking tot locale wet- en regelgeving in kaart te brengen en de bijbehorende maatregelen te implementeren. Indien binnen de typologie autonome IAM-omgevingen worden onderkend, dan dient per organisatieeenheid een verantwoordelijke functionaris te zijn aangewezen, welke eigenaar is van de gehele locale 16 / 18

17 IAM-omgeving (techniek en processen). Op basis van organisatorische en procesmatige maatregelen wordt deze locale functionaris verplicht om omtrent de locale IAM-bedrijfsvoering verantwoording af te leggen aan de centrale afdeling. Voorgaande wordt bewerkstelligd door de uit de IAMcontroleprocessen voortvloeiende rapportages aan de centrale afdeling ter beschikking te stellen. Indien er zich afwijkingen voordoen, kan de centrale afdeling direct en effectief bijsturen. Ofschoon bij een centrale IAM-omgeving een aantal controles centraal kunnen worden opgepakt (bijvoorbeeld controle op naleving van functiescheiding en rechtmatigheid van autorisaties binnen IAM-omgeving), ontkomt een organisatie-eenheid er niet aan om ook zelf een aantal controles uit te voeren. Immers, de centrale afdeling heeft onvoldoende inzicht in locale verplichtingen. Processen De rol van de centrale afdeling van de organisatie dient dieper te gaan dan slechts het opstellen van een beleid. De centrale afdeling dient de locale afdelingen eveneens richtlijnen met betrekking tot de bij de locale IAM-omgeving betrokken processen voor te schrijven. Hiertoe zal de centrale afdeling richtlijnen in het kader van de AO/IC opstellen ten behoeve van het gebruikersbeheer, autorisatiebeheer, authenticatiebeheer en de controleprocessen. In deze richtlijnen dienen de voorwaarden waaraan een beheersbare IAM-omgeving dient te voldoen, zoals eerder in dit artikel uiteengezet, te zijn geïncorporeerd. Bij een typologie die uitgaat van een centrale IAM-omgeving, kan een aantal van deze richtlijnen op basis van de centrale IAM-infrastructuur worden afgedwongen, zoals de procesgang van de IAM-processen. Daarnaast dienen richtlijnen beschikbaar te zijn inzake de rapportages welke in het kader van EIAM moeten worden geproduceerd. Voor de typologieën waarbinnen autonome IAM-omgevingen worden onderkend dient speciaal aandacht te worden besteed aan de rapportages die de locale afdelingen aan de centrale afdeling beschikbaar moeten kunnen stellen in het kader van algemene verplichtingen, zoals SOx. Het bepalen van rapportages welke in het kader van de locale wet- en regelgeving moeten worden geproduceerd, valt onder de verantwoordelijkheid van de functionaris welke verantwoordelijk is voor de locale IAM-omgeving. Techniek Bij de typologie die uitgaat van een centrale IAM-omgeving, zal binnen de organisatie gebruik worden gemaakt van dezelfde techniek en protocollen. De centrale afdeling zal voorzien in een centrale IAM-infrastructuur waar de organisatie-eenheden op moeten aansluiten. Hierbij zal de centrale afdeling architectuurprincipes voorschrijven die met name zijn gericht op de wijze hoe de locale HR-systemen en objecten van de verschillende organisatie-eenheden op de centrale infrastructuur moeten worden aangesloten. Tevens zal de centrale afdeling de procesgang van de IAM-processen op basis van de centrale IAM-infrastructuur afdwingen. Bij typologieën met autonome IAM-omgevingen, bestaat de rol van de centrale afdeling met name uit het voorschrijven van architectuurprincipes die moeten waarborgen dat de locale IAM-omgevingen de verplichtingen en behoefte van de organisatie nakomen. Teneinde te waarborgen dat de technische omgeving in overeenstemming functioneert met het gestelde beleid, dienen de architectuurprincipes een aantal aspecten te adresseren, te weten: Definitie van gebruikersidentiteiten Binnen een EIAM is het cruciaal dat gebruikers uniek kunnen worden herleid naar een fysieke identiteit. Derhalve moet worden voorkomen dat binnen de diverse locale IAM-omgevingen door de gehele organisatie heen dezelfde gebruikersidentiteiten worden uitgegeven. De centrale afdeling moet voorzien in een gebruikersidentificatiemodel ten behoeve van het waarborgen van de uniciteit van de organisatiebreed uit te geven gebruikersidentiteiten. Een mogelijke oplossing kan zijn dat locale IAM-omgevingen worden verplicht om een voorgeschreven syntax te hanteren en om standaard een unieke code voor de gebruikersidentiteit te plaatsen (bijvoorbeeld landcode). Beveiliging Zoals dat voor alle objecten binnen een organisatie van toepassing is, dient ook de beveiliging van de geautomatiseerde hulpmiddelen binnen de IAM-omgeving te voldoen aan de gestelde beveiligingseisen van de organisatie. Ten eerste is het essentieel dat er architectuurprincipes worden opgesteld met betrekking tot de autorisaties binnen de 17 / 18

18 geautomatiseerde hulpmiddelen, het autorisatiemodel van de geautomatiseerde IAM-omgeving zelf. Hierbij dienen algemene uitgangspunten te worden nageleefd (bijvoorbeeld functiescheiding tussen auditors, gebruikers en beheerders). Ten tweede dienen architectuurprincipes te worden opgesteld ten behoeve van het beveiligen van de koppelingen (bijvoorbeeld in geval van geautomatiseerde provisioning) binnen de IAM-omgeving. Zo dient voor de koppelingen te worden gewaarborgd dat de authenticiteit, integriteit, beschikbaarheid en vertrouwelijkheid in overeenstemming zijn met de behoefte van de organisatie. Technische standaarden De technische hulpmiddelen dienen flexibel te zijn opdat nieuwe toepassingen, die noodzakelijk zijn voor de bedrijfsvoering, eenvoudig op de locale IAMomgeving kunnen worden aangesloten en derhalve direct worden meegenomen in de beheersbare IAM-omgeving. Hiertoe dienen technische standaarden worden voorgeschreven waaraan de locale IAM-omgevingen moeten kunnen voldoen. Uitwisselbaarheid van gebruiker- en authenticatiegegevens (FIM-oplossing) Teneinde de interoperabiliteit van gebruiker- en authenticatiegegevens binnen een FIM-implementatie te garanderen, dienen in de architectuurprincipes standaarden te worden voorgeschreven welke minimaal moeten worden ondersteund door de locale IAM-omgeving op het gebied van het uitwisselen van gebruiker- en authenticatiegegevens (bijvoorbeeld SAML). Conclusie Het ICT-landschap van grote organisaties blijft groeien en wordt steeds complexer. Tegelijkertijd wordt de organisatie geconfronteerd met tal van wetten en regels welke van invloed zijn op het IAM en blijft het drukken van de kosten in het kader van het beheer, door efficiënt te opereren, een prominente organisatiebehoefte. Voorgaande roept om een model teneinde een betrouwbare, effectieve, efficiënte organisatiebrede IAM-omgeving te realiseren. In dit artikel is uiteengezet welke componenten binnen een IAM-omgeving kunnen worden onderkend en aan welke voorwaarden deze componenten moeten voldoen teneinde een beheersbare IAMomgeving te kunnen bewerkstelligen. De conclusie van de schrijver van dit artikel is dat ten behoeve van het bereiken van een beheersbare IAM-omgeving een centrale IAM-omgeving voor de gehele organisatie de meeste wenselijke en optimale oplossing is. Echter, omdat het implementeren van een centrale IAM-oplossing de nodige investeringen en mogelijke desinvesteringen van reeds bestaande locale IAM-omgevingen met zich meebrengt, realiseert de schrijver zich dat het meest optimale model voor veel organisaties op korte termijn een utopie betreft. Derhalve heeft dit artikel ook een model uiteengezet, dat weliswaar minder efficiënt is ingericht, waarbij de organisatie op basis van een beleid, richtlijnen en architectuurprincipes een beheersbare IAM-omgeving kan realiseren. Als onderdeel van dit beleid is het essentieel dat de locale organisatie-eenheden op basis van hun IAM-controleprocessen en bijbehorende rapportages verantwoording afleggen over hun locale IAM-omgeving opdat de centrale afdeling, indien noodzakelijk, direct en effectief kan bijsturen. Literatuur [1] M. Verbree en P.E. van der Hulst, Federated Identity Management: het einde van de digitale sleutelbos?, Compact (2005/3), TIEM (november 2006), GVIB Informatiebeveiliging (april 2007). [2] Platform Informatiebeveiliging, Studie Role Based Access Management (2005). [3] J.A.M. Hermans, D.B. van Ham en J. ter Hart, Globalisering en de complexiteit van logische toegang (Compact 2006/3). 18 / 18

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Identity Management Gebruikers en Rechten in Beheer (GRiB)

Identity Management Gebruikers en Rechten in Beheer (GRiB) Identity Management Gebruikers en Rechten in Beheer (GRiB) Meer grip op hoe we regelen wie wat mag P.J.M. Poos (Piet) Programma manager SNS REAAL organisatie Raad van Bestuur Groepsstaven SNS Bank REAAL

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

De veranderingen die SOA brengt toegespitst op IAM

De veranderingen die SOA brengt toegespitst op IAM De veranderingen die SOA brengt toegespitst op IAM Scriptie ter afsluiting van de postgraduate IT Audit Opleiding aan de Vrije Universiteit Amsterdam Auteur: Student nr.: Scriptiebegeleider VU Scriptiebegeleider

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

KPMG s Identity and Access Management Survey 2008

KPMG s Identity and Access Management Survey 2008 42 KPMG s Identity and Access Survey 2008 Ing. John Hermans RE, Emanuël van der Hulst, Pieter Ceelen MSc en Geo van Gestel MSc Ing. J.A.M. Hermans RE is director bij KPMG IT Advisory te Amstelveen. Binnen

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen ACCESS GOVERNANCE PIZZASESSIE Arnout van der Vorst & Tjeerd Seinen AGENDA PIZZASESSIE ACCESS GOVERNANCE 17:30 Conceptuele schets Access Governance 18:30 Pizza 19:15 Product demo 20:15 Borrel ACCESS GOVERNANCE

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Functieprofiel: Beheerder ICT Functiecode: 0403

Functieprofiel: Beheerder ICT Functiecode: 0403 Functieprofiel: Beheerder ICT Functiecode: 0403 Doel Zorgdragen voor het doen functioneren van ICT-producten en de ICTinfrastructuur en het instandhouden van de kwaliteit daarvan, passend binnen het beleid

Nadere informatie

BPM voor Sharepoint: het beste van twee werelden

BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden Analisten als Gartner en Forrester voorzien dat Sharepoint dé standaard wordt voor document management

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Protocol gebruik dienstauto's en elektronische rittenregistratie Omgevingsdienst Groningen

Protocol gebruik dienstauto's en elektronische rittenregistratie Omgevingsdienst Groningen Protocol gebruik dienstauto's en elektronische rittenregistratie Omgevingsdienst Groningen Het Algemeen Bestuur van de Omgevingsdienst Groningen, Overwegende dat het wenselijk is een regeling vast te stellen

Nadere informatie

Privacyreglement EVC Dienstencentrum

Privacyreglement EVC Dienstencentrum PRIVACYREGLEMENT Privacyreglement EVC Dienstencentrum De directie van het EVC Dienstencentrum: Overwegende dat het in verband met een goede bedrijfsvoering wenselijk is een regeling te treffen omtrent

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012 Uitkomsten onderzoek Controle en Vertrouwen 7 mei 2012 Voorwoord Onderwerp: resultaten onderzoek Controle en Vertrouwen Geachte heer, mevrouw, Hartelijk dank voor uw medewerking aan het onderzoek naar

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

Zou het niet iedeaal zijn

Zou het niet iedeaal zijn Zou het niet iedeaal zijn ...als op de eerste werkdag van een nieuwe medewerker alles klaarstaat?! Er zal geen discussie over bestaan. Het zou ideaal zijn wanneer alle voorzieningen op de eerste werkdag

Nadere informatie

Privacyreglement KOM Kinderopvang

Privacyreglement KOM Kinderopvang Privacyreglement KOM Kinderopvang Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van KOM Kinderopvang. 1. Algemene bepalingen & begripsbepalingen

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Access Governance: een einde aan de worsteling rondom autorisatiemanagement?

Access Governance: een einde aan de worsteling rondom autorisatiemanagement? 22 Het beheersen van de toegang met betrekking tot applicaties en systemen en het hierover verantwoording kunnen afleggen, is voor veel organisaties een uitdaging. In dit artikel wordt een praktische aanpak

Nadere informatie

Protocol. de Inspectie voor de Gezondheidszorg. de Nederlandse Zorgautoriteit

Protocol. de Inspectie voor de Gezondheidszorg. de Nederlandse Zorgautoriteit Protocol tussen de Inspectie voor de Gezondheidszorg en de Nederlandse Zorgautoriteit inzake samenwerking en coördinatie op het gebied van beleid, regelgeving, toezicht & informatieverstrekking en andere

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

PRIVACYREGLEMENT DIFFERENCE4YOU

PRIVACYREGLEMENT DIFFERENCE4YOU PRIVACYREGLEMENT DIFFERENCE4YOU VERSIE 1, oktober 2006. Aangepast 29 augustus 2012 PRIVACYREGLEMENT DIFFERENCE4YOU De directie van Difference4you: Overwegende dat het in verband met een goede bedrijfsvoering

Nadere informatie

De Beheerorganisatie. Rules & Regulations bepalingen. emandate Service Provider. Versie : 1.0 Datum : februari 2015. emandates

De Beheerorganisatie. Rules & Regulations bepalingen. emandate Service Provider. Versie : 1.0 Datum : februari 2015. emandates De Beheerorganisatie Rules & Regulations bepalingen emandate Service Provider Versie : 1.0 Datum : februari 2015 INHOUDSOPGAVE 1 Algemeen... 3 2 Organisatie... 4 3 Proces... 5 3.1 Aangaan van overeenkomsten...

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Inleiding... 3. 1. Inloggen... 4. 2. Generieke apps... 4. App Mijn goedkeuringen... 5. App Delegatie... 8. 3. Self Service... 9

Inleiding... 3. 1. Inloggen... 4. 2. Generieke apps... 4. App Mijn goedkeuringen... 5. App Delegatie... 8. 3. Self Service... 9 INHOUDSOPGAVE Inleiding... 3 1. Inloggen... 4 2. Generieke apps... 4 App Mijn goedkeuringen... 5 App Delegatie... 8 3. Self Service... 9 Basisgegevens medewerker wijzigen... 12 Aanvragen autorisatie...

Nadere informatie

Hoofdlijnen Corporate Governance Structuur Stek

Hoofdlijnen Corporate Governance Structuur Stek Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe

Nadere informatie

Context Informatiestandaarden

Context Informatiestandaarden Context Informatiestandaarden Inleiding Om zorgverleners in staat te stellen om volgens een kwaliteitsstandaard te werken moeten proces, organisatie en ondersteunende middelen daarop aansluiten. Voor ICT-systemen

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 Principles of Fund Governance Pag. 1/5 1. INLEIDING Commodity Discovery Management B.V. (de Beheerder ) is de beheerder

Nadere informatie

Ordening van processen in een ziekenhuis

Ordening van processen in een ziekenhuis 4 Ordening van processen in een ziekenhuis Inhoudsopgave Inhoud 4 1. Inleiding 6 2. Verantwoording 8 3. Ordening principes 10 3.0 Inleiding 10 3.1 Patiëntproces 11 3.2 Patiënt subproces 13 3.3 Orderproces

Nadere informatie

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010 Procedure Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk Auteur: Breeman Datum document: 16 mei 2007 Versie: 3.0 Status: Definitief Datum afdruk: 14 april 2010 Periodieke en specifieke rapportages

Nadere informatie

Functieprofiel: Teamleider Functiecode: 0203

Functieprofiel: Teamleider Functiecode: 0203 Functieprofiel: Teamleider Functiecode: 0203 Doel Plannen en organiseren van de werkzaamheden en aansturen van de medewerkers binnen een team, binnen het vastgestelde beleid van een overkoepelende eenheid

Nadere informatie

Identity & Access Management. operational excellence of in control?

Identity & Access Management. operational excellence of in control? Compact 2005/3 Identity & Access Management: operational excellence of in control? Ing. J.A.M. Hermans RE en drs. J. ter Hart Identity & Access Management staat binnen de meeste organisaties volop in de

Nadere informatie

De CIO is de BPMprofessional van de toekomst

De CIO is de BPMprofessional van de toekomst De CIO is de BPMprofessional van de toekomst De CIO is de BPM-professional van de toekomst CIO s hebben een enorme klus te klaren. Vrijwel iedere organisatie schreeuwt om een flexibeler IT-landschap dat

Nadere informatie

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15 Proceduresops Pagina : 1/9 Procedure Waarborgen van privacy Proceduresops Pagina : 2/9 Ingangsdatum: januari 2011 1. Doel... 3 2. Procedure... 3 2.1 Algemeen... 3 2.2 Regelgeving om de privacy te waarborgen...

Nadere informatie

VDZ Verzekeringen. Beloningsbeleid

VDZ Verzekeringen. Beloningsbeleid VDZ Verzekeringen Beloningsbeleid 2014 INHOUD 1. Inleiding... 3 Toezicht... 3 Inwerkingtreding... 3 2. Definities en begrippen... 3 De categorieën van medewerkers... 3 Beloning... 4 Vaste beloning... 4

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten.

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten. VERSIE 2.2 Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten. 1. Inhoudsopgave 1. Inhoudsopgave 1 2. Doelstellingen en Uitgangspunten 2 Algemene Doelstelling

Nadere informatie

Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011

Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011 REGELING Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011 Gelet op de artikelen 36, derde lid, 61 en 68, eerste lid, van de Wet marktordening gezondheidszorg (Wmg), stelt de Nederlandse

Nadere informatie

De visie van Centric op datamanagement

De visie van Centric op datamanagement De visie van Centric op datamanagement De vijf elementen om optimaal invulling te geven aan datamanagement Inhoudsopgave 1 Inleiding 2 2 Wat is datamanagement? 2 2.1 Actuele en statische data 3 3 De vijf

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen Privacyreglement verwerking persoonsgegevens ROC Nijmegen Laatstelijk gewijzigd in april 2014 Versie april 2014/ Voorgenomen vastgesteld door het CvB d.d. 12 juni 2014 / Instemming OR d.d. 4 november 2014

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Internetsoftware voor het opsporen en oplossen van knelpunten

Internetsoftware voor het opsporen en oplossen van knelpunten Inhoud: Wat is Regis t? 3 Regis t als basis voor de RI&E 4 De RI&E en uw organisatie 4 De RI&E applicatie bestaat uit de volgende onderdelen 5 Doorgroeien naar een volwaardig Risk-Managementsysteem? 6

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Functieprofiel: Controller Functiecode: 0304

Functieprofiel: Controller Functiecode: 0304 Functieprofiel: Controller Functiecode: 0304 Doel Bijdragen aan de formulering van het strategische en tactische (financieel-)economische beleid van de instelling of onderdelen daarvan, alsmede vorm en

Nadere informatie

Checklist voor interviews en workshops

Checklist voor interviews en workshops 1 Bijlage 6 Checklist voor interviews en workshops Hoe komen we aan de nodige informatie over de vast te leggen processen en procedures? In deze bijlage beschrijven we waar informatie aanwezig is en hoe

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Rampen- en Crisisbestrijding: Wat en wie moeten we trainen

Rampen- en Crisisbestrijding: Wat en wie moeten we trainen Kenmerken van rampen- en crisisbestrijding Crisissen of rampen hebben een aantal gedeelde kenmerken die van grote invloed zijn op de wijze waarop ze bestreden worden en die tevens de voorbereiding erop

Nadere informatie

Uitwerking onderdelen werkplan

Uitwerking onderdelen werkplan Uitwerking onderdelen werkplan Het Nationaal Platform Data Model (NPDM) heeft een werkplan opgesteld om richting te geven aan de activiteiten voor de komende maanden en inzicht te krijgen in de benodigde

Nadere informatie

Administrateur. Context. Doel. Rapporteert aan/ontvangt hiërarchische richtlijnen van: Directeur dienst Afdelingshoofd

Administrateur. Context. Doel. Rapporteert aan/ontvangt hiërarchische richtlijnen van: Directeur dienst Afdelingshoofd Administrateur Doel Realiseren van beheersmatige, adviserende en managementondersteunende administratieve werkzaamheden ten behoeve van de instelling, dan wel onderdelen daarvan, binnen vastgestelde procedures

Nadere informatie

Optimaliseren afsluiten rapportage proces: juist nu!

Optimaliseren afsluiten rapportage proces: juist nu! 18 Optimaliseren afsluiten rapportage proces: juist nu! Belang van snelle en betrouwbare informatie groter dan ooit Drs. Wim Kouwenhoven en drs. Maarten van Delft Westerhof Drs. W.P. Kouwenhoven is manager

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Resultaatgerichte monitoring in het Amphia Ziekenhuis

Resultaatgerichte monitoring in het Amphia Ziekenhuis Resultaatgerichte monitoring in het Amphia Ziekenhuis Ketenmonitoring binnen het ziekenhuis ValueBlue is gespecialiseerd in het inrichten van ketenmonitoring voor organisaties, waaronder ook ziekenhuizen.

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Handleiding voor beheerders SesamID

Handleiding voor beheerders SesamID Handleiding voor beheerders SesamID Versie 3.0 Mei 2013 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit

Nadere informatie

Privacy Reglement van MAMSA

Privacy Reglement van MAMSA Privacy Reglement van MAMSA Preambule Dit reglement beoogt het juiste gebruik van alle persoonsgegevens waarvan MAMSA of een van haar samenwerkingspartners kennis draagt alsmede alle tot een persoon te

Nadere informatie

Beleid inzake belangenconflicten

Beleid inzake belangenconflicten Beleid inzake belangenconflicten 2 Wat zijn belangenconflicten Bij het verrichten van beleggingsdiensten en activiteiten kunnen zich belangenconflicten voordoen tussen onder andere een financiële instelling

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

Artikel 2 Reikwijdte Deze regeling is van toepassing op de controle van het gebruik van digitale bedrijfsmiddelen door medewerkers van DNB.

Artikel 2 Reikwijdte Deze regeling is van toepassing op de controle van het gebruik van digitale bedrijfsmiddelen door medewerkers van DNB. DE NEDERLANDSCHE BANK N.V. Regeling privacy bij controle gebruik digitale bedrijfsmiddelen Interne regeling van De Nederlandsche Bank N.V. van 12 december 2007 houdende regels voor de controle op het gebruik

Nadere informatie

Kernwaarden versus principes. Johan Hobelman Nieuwegein, november 2011

Kernwaarden versus principes. Johan Hobelman Nieuwegein, november 2011 Kernwaarden versus principes Johan Hobelman Nieuwegein, november 2011 Enkele definities van architectuurprincipes: Fundamentele organisatiespecifieke keuzes Richtinggevende afspraken Regels en richtlijnen

Nadere informatie

Procesmanagement. Hoe processen beschrijven. Algra Consult

Procesmanagement. Hoe processen beschrijven. Algra Consult Procesmanagement Hoe processen beschrijven Algra Consult Datum: juli 2009 Inhoudsopgave 1. INLEIDING... 3 2. ORGANISATIE VAN PROCESMANAGEMENT... 3 3. ASPECTEN BIJ HET INRICHTEN VAN PROCESMANAGEMENT...

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

Bouwfonds Investment Management Belangenconflictenbeleid (Samenvatting)

Bouwfonds Investment Management Belangenconflictenbeleid (Samenvatting) Bouwfonds Investment Management Belangenconflictenbeleid (Samenvatting) October 2013 Bouwfonds Investment Management Belangenconflictenbeleid (Samenvatting) Inhoudsopgave 1. Inleiding 3 2. Belangenconflicten

Nadere informatie

SesamID Gebruikershandleiding

SesamID Gebruikershandleiding SesamID Gebruikershandleiding Documentnummer 3.0 Mei 2013 KPN Lokale Overheid 1 van 14 Inhoudsopgave Hoofdstuk 1. Introductie 3 Hoofdstuk 2. Aanmaken account 4 Hoofdstuk 3. Activeren account 5 Hoofdstuk

Nadere informatie

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting

Nadere informatie

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:

Nadere informatie