Whitepaper. GRCcontrol

Maat: px
Weergave met pagina beginnen:

Download "Whitepaper. GRCcontrol"

Transcriptie

1 Whitepaper Een pragmatische kijk op integraal Governance, Risicomanagement en Compliance met behulp van GRCcontrol A Keulenstraat 8 E 7418 ET Deventer P Postbus AC Deventer T F E W

2 Managementsamenvatting Continuïteit en de kwaliteit van de dienstverlening, financieel rendement, efficiency en wet- en regelgeving zijn in het verleden altijd al legitieme redenen geweest om risico s te beheersen of goed bestuur uit te voeren. Maatschappelijke verantwoordelijkheid en reputatie bescherming zijn evenzo belangrijk geworden. Vandaag de dag bereiken (mogelijke) incidenten in rap tempo soms ongenuanceerd het brede publiek door Social media zoals twitter, facebook of bijvoorbeeld de pers. Kleine of onbelangrijke incidenten kunnen hierdoor eenzelfde impact hebben als grote of belangrijke. Veel organisaties worstelen dan ook met de vraag hoe dit aan te pakken en waar te beginnen. Enerzijds wordt dit via wet- en regelgeving, richtlijnen en normen opgelegd. Via audits krijgen de wet- en regelgevers, toezichthouders, partners en klanten zekerheden over hoe de organisatie het doet. Denk hierbij bijvoorbeeld aan Governance codes en richtlijnen voor de bestuurlijke processen, voor privacy- en informatiebeveiliging, kwaliteitseisen, certificeringseisen etc. Hierdoor ontstaan er binnen organisaties vaak meerdere managementsystemen om te voldoen aan een specifieke eis maar deze aanpak zorgt voor hoge kosten en in efficiency. Een uitdaging voor veel organisaties is dan ook om de besturing (Governance) op orde te krijgen over een veelvoud van eisen en dit effectief en efficiënt te beheersen zodat het voldoen aan de wet- en regelgeving en normen (Compliance) aangetoond kan worden. Met ondersteunende managementsoftware uit de GRCcontrol software suite wordt een organisatie in staat gesteld deze zaken efficiënt en effectief te organiseren en te beheersen op een procesmatige en risico gedreven aanpak. Ook voor organisaties met een beperkte staf of aanwezige materiekennis of organisaties die geen eigen resources wensen in te zetten voor deze processen. De belangrijkste voordelen van het werken met de GRCcontrol suite zijn: Het eenvoudig koppelen van eisen (controls) uit verschillende normenkaders of wet- en regelgeving aan één GRCcontrol maatregelenset ( Map once, comply to many ). Hierdoor ontstaat een makkelijk te onderhouden compliance raamwerk en worden doublures in maatregelen vermeden. Plan- Do- Check- Act functionaliteit over de GRCcontrol maatregelenset, waardoor onder andere implementatiegegevens (Do) en effectiviteitscores (Check) verwerkt worden in actuele managementinformatie. Snelle invoer, borging en certificering van normen/standaarden, wet- en regelgeving, risicomanagement alsmede geïntegreerde audits, is hiermee mogelijk geworden. Besparing op de inzet van interne resources door automatische en in te plannen implementatie-, controle- en risicoanalysetaken en automatische rapportages zoals managementreviews, verklaring van toepasselijkheid, proces, norm en bijvoorbeeld auditrapportages. Door het telkens toe kunnen voegen van normenkaders en wet- en regelgeving (Plug & play Governance), is het mogelijk de interne beheersing geleidelijk uit te breiden en is een direct grote implementatie niet noodzakelijk. Een grote hoeveelheid beschikbare en uitgewerkte normen en wet- en regelgeving voor allerlei sectoren is beschikbaar, wat implementatieduur en procesborging bespaart. Licenties kunnen in een groeimodel afgenomen worden zodat het aantal gebruikers mee kan groeien met het bereik van het managementsysteem. Hierdoor kan er klein begonnen worden in omvang, impact en kosten. Desondanks is het systeem in structuur en gebruik ook bij uitstek geschikt voor het beheersen van één of een beperkt aantal normen.

3 Inhoudsopgave 1. Inleiding Achtergrond en doelstelling De context vanuit een organisatie Probleemstelling, waar te beginnen? GRC tooling ontwikkelingen Ontstaan van de behoefte en GRC software GRC tooling en raakvlakken met de business vraag Babylonische spraakverwarringen De insteek van de GRCcontrol software suite GRCcontrol Compliance op basis van Map once, comply to many Businessvraag matching met functionaliteit Implementatie- aspecten Baten, lasten en risico s Kwalitatieve voordelen Voordelen in de inzet van middelen Bijlage Overzicht normen en maatregelensets Bijlage GRCcontrol suite packages... 9

4 1. Inleiding Continuïteit en de kwaliteit van de dienstverlening, financieel rendement, efficiency en wet- en regelgeving zijn in het verleden altijd al legitieme redenen geweest om risico s te beheersen of goed bestuur uit te voeren. Maatschappelijke verantwoordelijkheid en reputatie bescherming zijn evenzo belangrijk geworden. Vandaag de dag bereiken (mogelijke) incidenten in rap tempo soms ongenuanceerd het brede publiek door Social media zoals twitter, facebook of bijvoorbeeld de pers. Kleine of onbelangrijke incidenten kunnen hierdoor eenzelfde impact hebben als grote of belangrijke. Veel organisaties worstelen dan ook met de vraag hoe dit aan te pakken en waar te beginnen. Enerzijds wordt dit via opgelegde wet- en regelgeving, richtlijnen en normen opgelegd. Via audits krijgen de wet- en regelgevers, toezichthouders, partners en klanten zekerheden over hoe de organisatie het doet. Denk hierbij bijvoorbeeld aan Governance codes en richtlijnen voor de bestuurlijke processen, voor privacy- en informatiebeveiliging, kwaliteitseisen, certificeringseisen etc. Hierdoor ontstaan er binnen organisaties vaak managementsystemen om te voldoen aan een specifieke eis maar deze aanpak zorgt voor hoge kosten en in efficiency. De uitdaging van veel organisaties ligt dan ook om de besturing (Governance) op orde te krijgen over een veelvoud van eisen en dit effectief en efficiënt te beheersen zodat het voldoen aan de wet- en regelgeving en romen (Compliance) aangetoond kan worden. Een belangrijke voorwaarde voor de Governance is het risicomanagementproces. Voor veel organisaties een grote uitdaging want naast procesrisico s (die veelal wel inzichtelijk zijn) moeten ook informatie risico s, die voortkomen uit het gebruik van ICT, beheerst worden. Continue ICT ontwikkelingen als BYOD, Cloud, Outsourcing, Social media, SAAS etc. zorgen ervoor dat dit permanente aandacht vergt, maar veel organisaties merken dat dit complex, kennis- en arbeidsintensief is. Doordat processen soms volledig afhankelijk zijn van de beschikbaarheid van juiste, tijdige en volledige informatie is IT Risicomanagement enorm belangrijk geworden en niet meer weg te denken uit de bedrijfsvoering. Met ondersteunende managementsoftware uit de GRCcontrol software suite wordt een organisatie in staat gesteld deze zaken efficiënt en effectief te organiseren en te beheersen in één managementsysteem, gebaseerd op een procesmatige en risicomanagement aanpak en is eenvoudig inzicht te krijgen in de mate van compliance over een veelvoud aan normen, standaarden, richtlijnen en wet- en regelgeving. Ook voor organisaties met een beperkte staf of aanwezige materiekennis Achtergrond en doelstelling Deze Whitepaper geeft u inzicht in de aspecten die relevant zijn voor het maken van een strategische keuze of u ondersteunende software kunt toepassen. Deze aspecten zijn dermate complex, overlappend of onbekend, wat het moeilijk maakt de juiste keuze te maken op basis van de juiste informatie en uitgangspunten. Deze Whitepaper tracht u hierbij te ondersteunen waarbij wij naast de voordelen en eventuele nadelen, ook de kosten en opbrengsten onder de aandacht brengen die een belangrijk onderdeel zijn voor het maken van uw eigen business case en keuzes. Pagina 1 van 9

5 Ziet u ook door de bomen het bos niet meer? 2. De context vanuit een organisatie De meeste organisaties staan voor grote uitdagingen om met minder budget toch adequate maatregelen te nemen, om de risico's in een toenemende digitale dienstverlening en communicatie te beheersen en te voldoen aan wet- en regelgeving, normen en richtlijnen. Dit gebeurt meestal om aan klanten, ketenpartners of bijvoorbeeld patiënten of burgers de vertrouwelijkheid en beschikbaarheid van informatie te waarborgen vanuit een maatschappelijke verantwoordelijkheid of bescherming van simpelweg de reputatie of bedrijfsdoelstellingen. Hierbij verschilt het vrijwel niet of de uitgangspunten een commerciële insteek hebben of een publieke. Vrijwel altijd geldt dat informatiebeveiliging een belangrijke randvoorwaarde is in het streven en leveren van betrouwbare, transparante en toegankelijke diensten of het creëren van producten, vooral als dit digitale dienstverlening betreft of afhankelijk is van ICT. Daarnaast zijn de bestuurs- of bedrijfsprocessen vrijwel onmogelijk te realiseren zonder het toepassen van ICT. Uitval van computersystemen, het in verkeerde handen vallen van gegevensbestanden of misbruik van vertrouwelijke gegevens, kunnen ernstige gevolgen hebben voor bedrijven, zorg- en bijvoorbeeld overheidsinstellingen en hun klanten, patiënten of burgers. Denk hierbij aan bijvoorbeeld imagoschade, politieke consequenties, levensbedreigende situaties of claims of het niet kunnen naleven van wet- en regelgeving. Door het moeten naleven van wet- en regelgeving, die de kwaliteit en bijvoorbeeld de privacy- en informatiebeveiliging moeten waarborgen wordt steeds meer directief standaarden en normen oplegt. Enkele voorbeelden hiervan zijn bijvoorbeeld de ISO- NEN voor informatiebeveiliging, de Wet Bescherming Persoonsgegevens of richtlijnen voor Webapplicaties die DigiD gebruiken voor authenticatie. Door de veelheid aan wet- en regelgeving en normen wordt het steeds complexer dit te organiseren, te beheersen en aantoonbaar te maken. In de praktijk wordt er hierdoor vaak gekozen om voor elk van deze relevante normen een separate managementsysteem in te richten. Zo ontstaan er meerdere Plan- Do- Check- Act cyclussen wat het inzicht en overzicht niet ten goede komen en waardoor we bij audits vaak naar zaken kijken die ook bij andere audits ook al aan bod zijn gekomen. Hierdoor Act Organisa(e Check Do $$ $$ $$ $$ Act $$ Plan Check Do $$ Act Plan $$ $$ Check Maatregelenset ISO27002 Plan Maatregel Maatregel Maatregel Maatregelenset WBP Maatregel Maatregel Maatregel $$ Maatregel $$ Maatregel Maatregelenset Maatregel $$ Maatregel ISO9001 $$ Maatregel Maatregel $$ Maatregel Maatregel Maatregel Maatregel Maatregel Do $$ $$ Maatregel Maatregel Maatregel Maatregel Maatregel ISO$27001$ X$133$ worden er zaken dubbel gedaan, onnodig interne en externe resources gebruikt en hogere kosten gemaakt. WBP$ X$31$ ISO$9001$ X$$51$ GITC$ X$19$ Pagina 2 van 9

6 3. Probleemstelling, waar te beginnen? In de inleiding is al toegelicht dat het voor veel organisaties een uitdaging is om een veelheid aan normen, standaarden en wet- en regelgeving te beheersen en de kosten beperkt te houden. Een belangrijk aspect hierbij is om vast te stellen vanuit welke behoefte of noodzaak dit inzicht gegeven dient te worden. In grote lijn zijn er drie hoofd aspecten die hierbij een rol kunnen spelen, al dan niet gecombineerd met elkaar: Governance - Het goed besturen van de organisatie of onderdelen ervan, (deel)processen of managementprocessen. Risk management - Het nemen van beslissingen en maatregelen gefundeerd op een risicoafwegingsproces. Compliance - Aantoonbaar maken of men voldoet aan wet- of regelgeving, opgelegde normenkaders, richtlijnen, eisen etc. Als een organisatie de zaken ten aanzien van deze drie hoofdaspecten op orde heeft, kunnen we stellen dat de interne beheersing op orde is, oftewel dat men In is. Niet altijd is een vraag naar ondersteunende software direct te herleiden naar één van deze hoofdaspecten. Onderstaand geven wij u een overzicht van de meeste vraagstellingen die wij vernemen vanuit de markt om tot een aanschaf van ondersteunende tooling over te gaan: a) Onze organisatie moet voldoen aan een bepaalde norm of standaard zoals de ISO 27001, NEN7510, ISO 9001, PCI DSS. Wij constateren of denken dat wij de veelheid van implementatietaken, audits, uit te voeren risicoanalyses, risicoafwegingen, rapportages etc. niet kunnen uitvoeren zonder ondersteunende tooling. b) Wij hebben moeite de veelheid aan normen, richtlijnen etc. te beheersen, dit doen wij nu met Excel, maar dit is onbeheersbaar in verband met foutgevoeligheid en is arbeidsintensief etc. Onze accountant, toezichthouders en/of certificerende instellingen zorgen voor een grote druk om de compliance aan te tonen. c) Wij willen/moeten als organisatie streven naar interne beheersing. d) Wij hebben al de procesbesturing redelijk op orde, maar kunnen tactische beheersprocessen zoals privacy- en informatiebeveiliging, business continuïty etc. niet in de bestaande tooling kwijt en zoeken aanvullende tooling. Door de raakvlakken met de aspecten Governance, Risk Management en/of Compliance in kaart te brengen vanuit deze vraagstellingen, wordt meer inzicht verkregen in de benodigde functionaliteit van ondersteunende software. Elk van deze vraagstellingen zullen wij één voor één trachten te adresseren naar deze aspecten in hoofdstuk 6. Pagina 3 van 9

7 4. GRC tooling ontwikkelingen 4.1. Ontstaan van de behoefte en GRC software In 2002 werd in de Verenigde Staten de Sarbanes- Oxley Act actief. Deze wetgeving had als doel een verscherpt toezicht op Corporate Governance. Het begrip Governance hebben we in de vorige paragraaf al toegelicht. Met Corporate Governance spreken we over de mate van besturing van een organisatie die goed, efficiënt en verantwoord geleid dient te worden alsmede het kunnen afleggen van verantwoording over het gevoerde beleid richting belanghebbenden waaronder de eigenaren, aandeelhouders, werknemers, afnemers en de samenleving als geheel. De Sarbanes- Oxley Act was een direct gevolg van het faillissement van het Amerikaanse Enron. Dit bedrijf ontdook de belasting, hield verliezen uit de boeken, financierde verkiezingscampagnes van presidentskandidaten, stond voor 20 miljard rood, waar managers voor miljoenen in hun zak stopten en waarvan de accountant een goedkeurende verklaring voor de jaarrekening had afgegeven, terwijl overduidelijk was dat een en ander niet klopte. Door dit falen van interne en externe controles wilde de VS via een wet deugdelijk ondernemingsbestuur afdwingen met name gericht op beursgenoteerde onderneming. Het aantonen van deze Corporate Governance, de interne beheersing, bleek echter een complexe zaak. Ondersteunende tooling bleek nodig om de wijze van uitvoering en naleving aan te tonen. Dit was het startpunt voor sommige organisaties om onder de noemer GRC software te ontwikkelen die ondersteuning gaf in het verzorgen van deze gewenste interne beheersing GRC tooling en raakvlakken met de business vraag In de afgelopen jaren zijn er diverse GRC pakketten op de markt beschikbaar gekomen. Wij zullen niet op deze pakketten ingaan, maar op de volgende uitgangspunten die belangrijk zijn voor het maken van een beoordeling in een selectie. Ten eerste het toepassen van de term GRC voor het aanduiden van software. Het veronderstelt dat een applicatie zowel de Governance (besturing) ondersteunt alsmede Risicomanagementprocessen en Compliance (naleving). Dit is in lang niet alle gevallen zo. Zo zijn er pakketten die vooral meer een Compliance insteek hebben en eigenlijk niets of zeer beperkte functionaliteit bieden voor Governance of Risicomanagement. De meeste GRC pakketten hebben als doel de gehele organisatie te willen beheersen/besturen. De aanschaf van dergelijke pakketten is een zeer strategische beslissing en meestal voor enkele jaren. Dergelijke investeringen zijn meestal hoog en gaan gepaard met de inzet van de nodige interne en externe resources en hebben een hoge impact op de organisatie en additionele implementatiekosten. Organisaties die nog niet de gehele organisatie wensen te besturen door dergelijke software, kopen dan teveel functionaliteit of een te complex en te duur pakket. Act Check Informa(e beveiliging Proces besturing Beleiden Strategie Corporate governance Kwaliteit Sector Richtlijnen Business Con(nuity Weten regelgeving Milieu Privacy Organisa(e richtlijnen Plan Do Pagina 4 van 9

8 4.3. Babylonische spraakverwarringen De reikwijdte van GRC in een organisatie kan erg groot zijn, het kan vrijwel alles omvatten. Vanuit enkel een informatiebeveiligingsperspectief is deze reikwijdte al groot, omdat informatie door de gehele organisatie wordt verwerkt en gecommuniceerd. GRC gaat nog een stap verder. GRC behelst immers ook andere deelgebieden of managementprocessen zoals Business Continuïty Management, Kwaliteitsmanagement, Compliance management, Corporate Governance, Juridische aspecten etc. Elk van deze deelgebieden en betrokkenen kijken veelal anders aan tegen bepaalde terminologie of de uitvoering van deze zaken. Begrippen als Governance, control framework, controle raamwerk, audit raamwerk, compliance framework, controls, maatregelen, normen, risicoanalyses, standaarden, compliance etc. zijn voor velerlei uitleg vatbaar of worden met elkaar verward, of vanuit een culturele achtergrond anders ervaren en uitvoeren. Misvattingen op deze terreinen kunnen een implementatie negatief beïnvloeden, het is dus zaak hier goed bij stil te staan in het selectietraject De insteek van de GRCcontrol software suite De GRCcontrol software suite heeft niet als uitgangspunt om direct de gehele organisatie te kunnen of te willen beheersen. Wij nemen hierbij een uitgangspunt om dit op basis van Plug & Play te kunnen realiseren. U bepaalt zelf de mate waarin en het tempo. Hierbij is de insteek dat de software alle taken en activiteiten beheerst voor het beheren van een managementsysteem, gebaseerd op normenkaders, wet- en regelgeving en procesbesturing. Dit alles wordt ondergebracht onder één Plan- Do- Check- Act cyclus. Of dit nu informatiebeveiliging betreft, kwaliteit of toetsing op basis van een normenkader van een toezichthouder of van uw accountant. Corporate governance Corporate governance Act Check Do Proces besturing Beleiden Strategie Plan Informa(e beveiliging Kwaliteit Sector Richtlijnen Business Con(nuity Weten regelgeving Milieu Privacy Organisa(e richtlijnen Act Informa(e beveiliging Check Proces besturing Beleiden Strategie Plan Kwaliteit Sector Richtlijnen Do Business Con(nuity Weten regelgeving Milieu Privacy Organisa(e richtlijnen Door het bereik van het managementsysteem te vergroten door bijvoorbeeld een extra norm op te nemen in de PDCA- cyclus, wordt de interne beheersing, de Governance vergroot. Door deze Plug & Play mogelijkheden kunt u geleidelijk, kosten efficiënt en met een lagere organisatorische impact toewerken naar steeds meer beheersing. Pagina 5 van 9

9 Meer inzicht en controle 5. GRCcontrol Compliance op basis van Map once, comply to many Een van de belangrijkste uitgangspunten van onze software is dat een control framework en compliance framework nagenoeg hetzelfde zijn. Via onze Compliance Mapper bieden wij de mogelijkheid een control framework en/of compliance framework volledig in te richten. Deze inrichting is gebaseerd op een mapping van controls (eisen) uit normen aan een maatregel uit een maatregelenset. Deze maatregelenset is de concrete vertaling van eisen of hoe de organisatie de dingen doet. Zo heeft elke organisatie zijn eigen invulling van een back- up richtlijn of procedures, of bijvoorbeeld een gedragscode. In de GRCcontrol suite kunt u zoveel normen(kaders) toevoegen als u maar wenst. Per norm kunt u de controls wel of niet van toepassing verklaren en vervolgens kunt u een control koppelen aan één of meerdere concrete maatregelen uit de maatregelenset zodra u deze van toepassing heeft verklaard. Deze mapping doet u in principe eenmalig. Hierdoor heeft u automatisch de vertaling gemaakt van controls naar de concrete invulling van de organisatie door de koppeling van deze controls aan concrete maatregelen. Door dit Map once, comply to many principe hoeven we onze aandacht alleen te richten op de maatregel. Hierdoor is compliance management een automatische afgeleide geworden van de implementatiestatus en effectiviteit van de maatregelen uit de maatregelenset. Audits op normen of normcontrols zijn hierdoor niet meer nodig. GRCcontrol!suite! Organisa(e Onderdelen Medewerkers Processen Middelen Incidenten Documenten Act Dashboards,! opvolgtaken!&! Rapportages:! Norm,!proces! middel!of!incident! Interne!&!Externe! audits!op! maatregelen!en! normen! Check Module!! IT!Risk! management! Module!! FMEA!! Plan Handma?ge! selec?e!van! maatregelen!of! o.b.v.!risicoanalyse!! en!risicoafweging! Maatregel! implementa?e!&! status! Do Modules!Ext.! Dashboards! en!bibliotheek! Maatregelenset!!!!!!!!!! Maatregel Maatregel Maatregel Maatregel Maatregel Maatregel Maatregel Maatregel NEN !ctrl! WBP 13 31!ctrl!!! HKZ 86!ctrl! GITC 19!ctrl! Pagina 6 van 9

10 5.1. Businessvraag matching met functionaliteit Om onze doelstelling aan te geven met onze GRCcontrol software suite kunnen we het beste de vraagstellingen uit hoofdstuk 3 als uitgangspunt nemen, afgezet tegen de aspecten Governance, Risk Management en Compliance. Business vraag Onze organisatie moet voldoen aan een bepaalde norm of standaard zoals de ISO 27001, NEN7510, ISO 9001, PCI DSS. Wij constateren of denken dat wij de veelheid van implementatietaken, audits, uit te voeren risicoanalyses, risicoafwegingen, rapportages etc. niet kunnen uitvoeren zonder ondersteunende tooling. Wij hebben moeite de veelheid aan normen, richtlijnen etc. te beheersen, dit doen wij nu met Excel, maar dit is onbeheersbaar in verband met foutgevoeligheid en is arbeidsintensief etc. Onze accountant, toezichthouders en/of certificerende instellingen zorgen voor een grote druk om de compliance aan te tonen. Governance (PDCA) GRCcontrol Risk Management Compliance Wij willen/moeten als organisatie streven naar interne beheersing. Wij hebben al de procesbesturing redelijk op orde, maar kunnen tactische beheersprocessen zoals privacy- en informatiebeveiliging, business continuïty etc. niet in de bestaande tooling kwijt en zoeken aanvullende tooling Implementatie- aspecten Door de opzet van onze software verdienen de volgende zaken aandacht bij een implementatietraject. Bij de invoering wordt er veel tijd bespaard door de volgende zaken: Het systeem is gebaseerd op de Plan- Do- Check- Act cyclus en sluit volledig aan op standaarden zoals de ISO norm, NEN7510, ISO 9001 etc. De software dwingt een structurele werkwijze af en ondersteunt optimaal de procesborging. Beschikbaarheid van een veelheid aan normenkaders, standaarden en maatregelsets 1. Eenvoudiger compliance management om control frameworks en normenkaders in te richten op basis van de Map once, comply to many methodiek die maatregelen koppelt aan normcontrols, processen of middelen in plaats van het werken vanuit controls. Het werken vanuit s is veel arbeidsintensiever is en moeilijker te onderhouden. De meegeleverde maatregelen zijn voorzien van Best practices zoals BIV coderingen en mappings met Middel typen en Dreigingen die eveneens meegeleverd worden zoals bijvoorbeeld de MAPGOOD dreigingen. De opzet, bestaan en werking van een managementsysteem is veel sneller aan te tonen, waardoor de doorlooptijden en benodigde resources verminderd worden. Standaard aanwezige rapportage templates. Voortgangsindicatoren door middel van dashboards. 1 Zie bijlage 'Overzicht normen en maatregelen Pagina 7 van 9

11 Uitsmering van kosten en organisatie impact 6. Baten, lasten en risico s 6.1. Kwalitatieve voordelen Uit de implementatie- aspecten uit paragraaf 6.6 zijn tevens de volgende voordelen af te leiden: Unieke opzet gebaseerd op maatregelen uit één maatregelenset die gekoppeld worden aan één of meerdere controls uit meerdere normen ( Map once, comply to many ). Maatregelenset wordt vervolgens opgenomen in een Plan- Do- Check- Act cyclus waardoor er één efficiënt en effectief managementsysteem ontstaat voor Governance, Risicomanagement en Compliance over een veelvoud van normen. Structurele opbouw en werkwijze gebaseerd op de Plan- Do- Check- Act cyclus, welke aansluit op de meeste Managementsystemen, normen en Governance behoeften. De software dwingt een structurele werkwijze af en ondersteunt optimaal de procesborging. Verkorte implementatieduur door beschikbaarheid van grote hoeveelheid uitgewerkte normen wet- en regelgeving en maatregelensets. Eenvoudiger compliance management om control frameworks en normenkaders in te richten op basis van de Map once, comply to many methodiek die maatregelen koppelt aan normcontrols, processen of middelen in plaats van het werken vanuit controls dat veel arbeidsintensiever is en moeilijker te onderhouden. Geïntegreerde Compliance en Governance structuur vanuit één maatregelenset maakt geïntegreerde Auditing mogelijk. Andere voordelen zijn: Nederlandstalig systeem, ook beschikbaar in het Engels. Wordt geleverd door een kennispartij die niet alleen een softwarelicentie levert, maar aanvullende consultancy kan bieden en opleidingen. Standaard pakketsamenstellingen beschikbaar, QAcontrol voor Kwaliteitsmanagement, ISMScontrol voor informatiebeveiliging en ERMcontrol voor Enterprise Riskmanagement. Optionele modules leverbaar voor Extended Dashboarding, FMEA risicomanagement en een bibliotheekfunctie Voordelen in de inzet van middelen Het toepassen van de GRCcontrol suite zorgt voor een verminderende: Inzet van interne resources door een structurele taakbesturing, waarbij de directe voordelen in tijd liggen door: o Geïntegreerde Risicomanagement module o Automatische workflow o o Efficiënte taak gestuurde implementatie en controle/interne audittaken Standaard rapportages (Verklaring van toepasselijkheid, managementreview, audit, proces, norm en maatregelenset) Verlaging van externe auditkosten door het combineren van verschillende managementsystemen in één managementsysteem. Certificeringskosten zullen hierdoor bijvoorbeeld ook lager uitvallen omdat een geïntegreerde certificeringsaudit en controle audits hierdoor ook mogelijk worden. Pagina 8 van 9

12 Via een Bottom- up benadering kan er eventueel klein begonnen worden door het bereik van het managementsysteem te laten groeien door het telkens toevoegen van normenkaders en wet- en regelgeving in het systeem (Plug en Play Governance). Door deze aanpak wordt het mogelijk in fases de interne beheersing uit te breiden waardoor een directe grote implementatie niet noodzakelijk is en ook licenties in een groeimodel afgenomen kunnen worden Bijlage Overzicht normen en maatregelensets ISO ISO ISO 9001 ISO ISO WBP AV23 WBP (CBP RS 2013) PCI DSS COBIT 5.0 DNB- IT ICT beveiligingsrichtlijnen voor web applicaties Basis set ISAE 3402 Beschikbare normenkaders General IT controls ISAE 3402 NEN7510 HKZ NIAZ ZSP JCI BAG GBA SUWI RLB SUWI Audit PUN Beschikbare maatregelensets ISO NEN7510 PCI DSS Geïntegreerde Maatregelenset (GMS), een samengestelde maatregelenset is, die afgeleid is van ISO 27002, ISO 9001 en ISO Bijlage GRCcontrol suite packages PDCAcontrol Basis pakket QAcontrol Package ISMScontrol Package ERMcontrol Package PDCA basis systeem IT Risicomanagement module - - FMEA module Extended Dashboard module Bibliotheek module Meegeleverde normen - ISO 9001, HKZ of NIAZ WBP RS2013 ISO of NEN7510 WBP- RS2013 Meegeleverde maatregelenset - GMS ISO of NEN7510 of GMS ISO of NEN7510 WBP- RS2013 ISO of NEN7510 of GMS Pagina 9 van 9

13 Over CompLions CompLions is gespecialiseerd in interne beheersing, privacy- en informatiebeveiliging, business continuïty, kwaliteitsmanagement, risicomanagement en compliance. Wij ondersteunen onze klanten in bijvoorbeeld het inbedden van risicomanagementprocessen, het implementeren en het behalen van certificering voor normenkaders en wet- en regelgeving zoals ISO en NEN7510 voor informatiebeveiliging, ISO voor business continuïty, ISAE 3402 voor Assurance, Wet Bescherming Persoonsgegevens etc. Dit doen wij middels consultancy diensten zoals het uitvoeren van bijvoorbeeld risicoanalyses, risicobewustwording programma s, opstellen van beleid en richtlijnen alsmede het leveren van ondersteunende software zoals onze GRCcontrol suite. Tevens bieden wij ondersteuning aan uw operationele organisatie middels abonnementen en outsourcingsdiensten, zoals onze Security Officer as a Service dienst of ISMS Business Proces Outsourcing. CompLions B.V. A Keulenstraat 8 E 7418 ET Deventer P Postbus AC Deventer T F E W

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief Tijd voor verandering: Lean Security Simpeler, sneller, goedkoper, flexibeler en toch effectief Lean Security Mei 2013 Informatiebeveiliging Het inrichten van informa>ebeveiliging blijkt iedere keer weer

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode!

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode! Dragon1 EA Tool Business case webbased EA tool Een webbased EA tool geschikt voor elke architectuurmethode! uw organisatie, datum, versie #.#, documentstatus eigenaar/budgetverantwoordelijke: Kies op deze

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

TPSC Cloud, Collaborative Governance, Risk & Compliance Software,

TPSC Cloud, Collaborative Governance, Risk & Compliance Software, TPSC Cloud, Collaborative Governance, Risk & Compliance Software, Wij geloven dat we een belangrijke bijdrage kunnen leveren aan betere & veiligere zorg. The Patient Safety Company TPSC levert al meer

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Vertrouwen in ketens. Jean-Paul Bakkers

Vertrouwen in ketens. Jean-Paul Bakkers Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management

Nadere informatie

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1 Amersfoort, april 2013; versie 1.1 COMMUNIQUÉ Inleiding Vanuit de markt rijst steeds vaker de vraag hoe ICT binnen bedrijfsomgevingen veilig en betrouwbaar gegarandeerd kan blijven. Binnenkort zullen ongetwijfeld

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

NieuwsBrief. CompLions. Inhoudsopgave. 2012-nr.03. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen.

NieuwsBrief. CompLions. Inhoudsopgave. 2012-nr.03. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen. 2012-nr.03 NieuwsBrief Geachte lezer, Welkom bij deze derde nieuwsbrief van CompLions in 2012. De afgelopen maanden zijn turbulent op economisch

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014 Dienstverlening Procesmanagement Informatiemanagement 18 september 2014 Veel vragen gesteld en beantwoord, zoals: Wat draagt informatiemanagement bij aan dienstverlening? Visie dienstverlening en digitaal

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Charco & Dique. Compliance en risk management voor trustkantoren. Risk Management & Compliance

Charco & Dique. Compliance en risk management voor trustkantoren. Risk Management & Compliance Compliance en risk management voor trustkantoren Wij helpen trustkantoren om in een dynamische omgeving een goede reputatie te houden of op te bouwen Charco & Dique Risk Management & Compliance Charco

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL 26 BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL De invoering van een geïntegreerd risicomodel leidde tot versterking van de interne beheersing bij Kempen & Co. Een risicomodel waarin risk, compliance

Nadere informatie

Gebaseerd op ISO High Level Structure

Gebaseerd op ISO High Level Structure H E T MO L E N MO D E L Gebaseerd op ISO High Level Structure WHITEPAPER I NL E I DI NG De High Level Structure, die door de International Standards Organization (ISO) geïntroduceerd is in 2008, had de

Nadere informatie

De nieuwe ISO-normen: meer dan KAM-management alleen!

De nieuwe ISO-normen: meer dan KAM-management alleen! De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Comm ant & Bouw. Comm ant helpt ons écht procesgericht te werken. K l a n t c a s e

Comm ant & Bouw. Comm ant helpt ons écht procesgericht te werken. K l a n t c a s e Methode en web-based software voor proces en resultaatverbetering Comm ant & Bouw Comm ant helpt ons écht procesgericht te werken. K l a n t c a s e Frans Münninghoff Sandra Steijvers Heijmans gebruikt

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

BUSINESS CONTINUITEIT

BUSINESS CONTINUITEIT BUSINESS CONTINUITEIT BUSINESS CONTINUITY MANAGEMENT Tine Bernaerts, Consultant risk management, Amelior Business Continuity Management volgens ISO 22301: Societal Security Business Continuity Management

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

Gegevensbescherming & IT

Gegevensbescherming & IT Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Portfoliomanagement. Management in Motion 7 maart 2016

Portfoliomanagement. Management in Motion 7 maart 2016 Portfoliomanagement Management in Motion 7 maart 2016 PMO Institute Julianalaan 55 3761 DC Soest I: www.pmoinstitute.com I: www.thinkingportfolio.nl E: info@pmoinstitute.com Tjalling Klaucke E: tj.klaucke@pmoinstitute.com

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users Acceptatiemanagement meer dan gebruikerstesten bridging it & users Consultancy Software Training & onderzoek Consultancy CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

process mapping, waarom?

process mapping, waarom? process mapping 1 process mapping, waarom? systeem van bedrijfsprocessen, mensen, middelen, wetgeving centraal stellen samenhang tussen alle aspecten processen wetgeving systemen informatie documentatie

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

STP & COMPLIANCE. Doel van deze Whitepaper. Inleiding. Probleemstelling. ELEMENTS VOLMACHT - STP & Compliance 1

STP & COMPLIANCE. Doel van deze Whitepaper. Inleiding. Probleemstelling. ELEMENTS VOLMACHT - STP & Compliance 1 STP & COMPLIANCE Versie 1.0 Inleiding Faster Forward lanceert Elements Volmacht. Een nieuwe generatie volmacht schade software waar de markt eigenlijk al jaren op wacht. De volmacht module is onderdeel

Nadere informatie

IT voor Controllers Mark Vermeer, CIO

IT voor Controllers Mark Vermeer, CIO IT voor Controllers Mark Vermeer, CIO 1 Rotterdam getallen Rotterdam: 620.000 inwoners, 50% autochtoon 173 nationaliteiten 3,4 miljard 11.000 fte IT 100 mln 400+ IT staf 5 clusters, SSC en bestuursstaf

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management PMO IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. PMO PROJECT MANAGEMENT OFFICE Een Project Management Office voorziet projecten,

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Energiezorg management systeem. Symposium Groene ICT

Energiezorg management systeem. Symposium Groene ICT Energiezorg management systeem Symposium Groene ICT Voorstellen Marco Kappe Directeur Service Delivery Vancis 2 fysieke datacenters Housing van de (nationale supercomputer) Leveren van Co locatie Leveren

Nadere informatie

Bisnez Management. Een kennismaking

Bisnez Management. Een kennismaking Bisnez Management Een kennismaking Bisnez staat voor 2 Wie zijn wij Een projectmanagement en adviesbureau met 35 medewerkers Ervaren, vindingrijk en geselecteerd op het vermogen om het verschil te kunnen

Nadere informatie

BPM voor Sharepoint: het beste van twee werelden

BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden Analisten als Gartner en Forrester voorzien dat Sharepoint dé standaard wordt voor document management

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Privacy aspecten van apps

Privacy aspecten van apps Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: vanderveen@considerati.com t : @pvdveee Over Considerati Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

SURF Juridisch normenkader cloudservices WHAT S NEXT @ SURFCONEXT

SURF Juridisch normenkader cloudservices WHAT S NEXT @ SURFCONEXT SURF Juridisch normenkader cloudservices WHAT S NEXT @ SURFCONEXT Olga Scholcz Juridisch Adviseur 24 november 2015 Anand Sheombar Contractmanager SURF Normenkader Betreft contractuele bepalingen die worden

Nadere informatie

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde. 1 Q&A Volmachten Q Onder welke voorwaarden staat het een verzekeraar vrij om een volmacht te verlenen aan een gevolmachtigde agent (GA) voor het namens en voor rekening van de verzekeraar sluiten van verzekeringen?

Nadere informatie

PLANON E-LEARNINGSERVICE. Breid uw kennis van Planon uit met realtime toegang tot innovatieve e-learningcursussen

PLANON E-LEARNINGSERVICE. Breid uw kennis van Planon uit met realtime toegang tot innovatieve e-learningcursussen PLANON E-LEARNINGSERVICE Breid uw kennis van Planon uit met realtime toegang tot innovatieve e-learningcursussen De Planon e-learningservice biedt onder meer de volgende modules: Algemene e-learning Domeinspecifieke

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Beveiliging is meer dan een slot op je computerruimte Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Doel en Agenda Aan de hand van de ontwikkelingen in de zorg wordt een globaal en praktisch beeld

Nadere informatie

Workshop Pensioenfondsen. Gert Demmink

Workshop Pensioenfondsen. Gert Demmink Workshop Pensioenfondsen Gert Demmink 13 november 2012 Integere Bedrijfsvoering Integere bedrijfsvoering; Bas Jennen Bestuurderstoetsingen; Juliette van Doorn Integere bedrijfsvoering, beleid & uitbesteding

Nadere informatie

Lean Six-Sigma. HealthRatio Operational Excellence

Lean Six-Sigma. HealthRatio Operational Excellence Lean Six-Sigma HealthRatio Operational Excellence De zorg werkt in een roerige omgeving Veel veranderingen leggen extra druk op zorginstellingen om goedkoper, efficiënter en transparanter te kunnen werken.

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Software als Service *

Software als Service * Software als Service * Een nieuw tijdperk voor testen? Wijnand Derks Telematica Instituut wijnand.derks@telin.nl * Deze presentatie is gebaseerd op het rapport: Roadmap Software als Service, i.s.m. TNO

Nadere informatie

NTA 8620 en de relatie met andere normen voor managementsystemen

NTA 8620 en de relatie met andere normen voor managementsystemen NTA 8620 en de relatie met andere normen voor managementsystemen Dick Hortensius NEN Milieu&maatschappij Herziening NTA 8620 1 Inhoud Aanleiding en aanpak herziening NTA Belangrijkste aandachtspunten Afstemming

Nadere informatie