Toetsingskader voor business intelligence systemen

Maat: px
Weergave met pagina beginnen:

Download "Toetsingskader voor business intelligence systemen"

Transcriptie

1 Toetsingskader voor business intelligence systemen - IT auditor versus BI omgevingen - postgraduate IT-opleiding Vrije Universiteit Amsterdam Gaston Stassen Niels Kappert Assen, maart 2009

2 Colofon Toetsingskader voor business intelligence systemen binnen UVIT Het doel van het onderzoek is te komen tot een auditinstrument dat gebruikt kan worden binnen de UVIT organisatie bij de totstandkoming of beoordeling van een business intelligence systeem, waarbij gebruik wordt gemaakt van een datawarehouse en informatiebeveiliging voldoende wordt belicht. Scriptie Deze scriptie is geschreven in het kader van de afronding van de postgraduate IT-auditopleiding aan de Vrije Universiteit van Amsterdam. Begeleider Vrije Universiteit Dr. A. Shahim RE Begeleider Univé verzekeringen Dhr. W. van Maaren Auteurs Dhr. G.P.G. Stassen Dhr. N. Kappert

3 Voorwoord Beste lezer, voor u ligt onze afstudeerscriptie ter afronding van de postgraduate ITaudit opleiding aan de Vrije Universiteit. De totstandkoming van deze scriptie was een boeiend en tijdrovend proces. Wat is nu precies business intelligence en datawarehousing en wanneer spreekt men over een datawarehouse? Is het nodig om een business intelligence systeem te beoordelen en zo ja, op welke wijze zou een IT auditor dit dan kunnen doen? Allemaal vragen die wij in deze scriptie trachten te beantwoorden. Waarom dit onderwerp? Wij constateren dat steeds meer organisaties gebruik maken van business inteliigence oplossingen. Dit geldt ook voor de organisatie UVIT, een fusieorganisatie tussen Univé, Vgz, Iza en Trias, waarbinnen wij werkzaam zijn. Zowel Univé, VGZ, Iza en Trias hebben hun eigen business intelligence omgevingen. Hierbij is in alle gevallen gebruik gemaakt van een centraal datawarehouse. Als gevolg van de fusie zullen de verschillende IT landschappen geïntegreerd worden. Vanwege de hoge informatiewaarde, de kosten en lange doorlooptijden bij de ontwikkeling en implementatie van dergelijke systemen is het van belang dat de risico s op een afdoende wijze worden beheerst. Daarom wordt binnen UVIT in toenemende mate vanuit het management gevraagd om een audit uit te voeren op dit type systemen. Kortom, wij verwachten dat de IT auditor steeds vaker zal worden geconfronteerd met de vraag om dergelijke systemen te beoordelen. Naast de te verwachte toenemende vraag is er nog een andere reden waarom wij graag meer inzicht willen krijgen in deze materie. Gedurende de reguliere opleiding is weinig tot geen aandacht besteed aan dit onderwerp. Door het kiezen voor business intelligence hebben wij alsnog op een intensieve wijze kennis en ervaring kunnen opdoen rondom dit onderwerp. Wij hopen met dit onderzoek en deze scriptie een bijdrage te hebben geleverd op welke wijze een IT auditor een business intelligence systeem kan beoordelen. Vanzelfsprekend was de totstandkoming van deze scriptie niet mogelijk geweest zonder de inbreng, wijsheid en ondersteuning van de begeleidende coaches. Gaston en Niels

4 Inhoudsopgave 1 Inleiding en onderzoeksopzet Achtergrond Aanleiding Doelstelling onderzoek Onderzoeksvragen Resultaat van het onderzoek Aanpak Reikwijdte Leeswijzer Business intelligence Inleiding Invalshoek business intelligence? Wat is business intelligence? Gericht proces Bijbehorende voorzieningen BI-cyclus Nut en noodzaak van business intelligence Verwachtingspatroon Informatiekloof Karakteristieken van business intelligence systemen Business intelligence systemen versus operationele systemen Datawarehouse concept Welke kwaliteitsaspecten spelen een rol bij informatiesystemen? Kwaliteitsmodellen en informatiebeveiliging Inleiding Kwaliteitsmodellen binnen UVIT Wat is informatiebeveiliging? Kwaliteitsaspecten informatiebeveiliging Waarom informatiebeveiliging? Informatiebeveiliging binnen UVIT Praktijkonderzoek Aanpak Belangrijkste bevindingen en conclusies Mate van belang van de BI systemen voor UVIT De mate waarin aandacht is voor informatiebeveiliging Risicoinventarisatie Het auditinstrument Inleiding Het toetsingskader Samenvatting...31 Literatuurlijst...33 Begrippenlijst...34 Bijlage I: Kenmerken BI systemen UVIT...36 Bijlage II: Scoremodel BI systemen UVIT...37 Bijlage III: Programma workshop...38 Bijlage IV: Overige onderkende risico s...39 Bijlage V: Lijst van betrokken medewerkers...40

5 1 Inleiding en onderzoeksopzet 1.1 Achtergrond Business intelligence systemen zijn voornamelijk bedoeld om managers van accurate en relevante informatie te voorzien, waardoor strategische beslissingen worden verbeterd. De consequenties van niet accurate en irrelevante data in deze informatiesystemen kunnen leiden tot foutieve beslissingen die desastreuze gevolgen kunnen hebben voor de bedrijfscontinuïteit van een organisatie. De Univé-VGZ-IZA-Trias organisatie (UVIT) is onderhevig aan een fusie waarbij de verschillende IT landschappen geïntegreerd zullen worden. Dat betekent dat keuzes worden gemaakt welke systemen blijven bestaan en welke systemen uitgefaseerd zullen worden. Bij dit selectietraject zal eveneens een keuze worden gemaakt uit de aanwezige business intelligence systemen. Vanuit het oogpunt van de hoge informatiewaarde, de kosten en lange doorlooptijden die vaak gepaard gaan bij de ontwikkeling en implementatie van deze systemen is het van belang dat de risico s aan dergelijke systemen op een afdoende wijze worden beheerst. Daarom wordt binnen UVIT in toenemende mate vanuit het management gevraagd om een audit uit te voeren op dit type systemen. 1.2 Aanleiding Voor een verzekeraar als UVIT is het zorgvuldig omgaan met informatie van het grootste belang. Dit is niet alleen een verplichting naar de klant, maar eveneens een wettelijke verplichting die wordt gecontroleerd door externe toezichthouders. De afgelopen jaren heeft UVIT een serieuze achterstand opgelopen op het gebied van informatiebeveiliging, waardoor UVIT niet meer voldoet aan de minimale normen. Het is dus zaak om de UVIT organisatie zo snel mogelijk weer op het gewenste niveau te brengen. Wij hopen door middel van dit onderzoek hier een positieve bijdrage aan te leveren. Vanuit de IT-audit discipline dient het beoordelen op een gestructureerde, traceerbare en gefaseerde wijze plaats te vinden. In de literatuur is weinig concreets te vinden over de wijze waarop business intelligence systemen dienen te worden beoordeeld. Dit heeft ons doen besluiten om hier onderzoek naar te doen. 1.3 Doelstelling onderzoek De doelstelling van het onderzoek is het realiseren van een toetsingskader welke gebruikt kan worden binnen de UVIT organisatie bij de totstandkoming of bij de beoordeling van bestaande business intelligence systemen, waarbij met name het aspect informatiebeveiliging voldoende wordt belicht. Dit toetsingskader kan door de IT auditor, maar ook door een business intelligence medewerker gebruikt worden bij de opzet en inrichting van een business intelligence systeem. Uit deze doelstelling is de volgende centrale onderzoeksvraag naar voren gekomen. Op welke wijze kan worden getoetst of aan de eisen wordt voldaan die aan een business intelligence systeem worden gesteld op het gebied van de informatiebeveiliging in opzet, bestaan en werking. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 5-40

6 1.4 Onderzoeksvragen Om op de onderzoeksvraag een antwoord te kunnen geven dienen enkele subvragen beantwoord te worden: Business intelligence 1. Wat wordt verstaan onder business intelligence? 2. Waarom maken organisaties gebruik van business intelligence? 3. Wat verstaan wij onder een business intelligence systeem? 4. Zijn er verschillen te ontdekken tussen business intelligence systemen en de traditionele operationele systemen? 5. Welke rol speelt een datawarehouse binnen een business intelligence systeem? 6. Welke kwaliteitsaspecten spelen een belangrijke rol bij informatiesystemen? Informatiebeveiliging 7. Wat verstaan we onder informatiebeveiliging en welke set van kwaliteitsaspecten spelen hierbij een rol? 8. Welke beveiligingsrisico s spelen een belangrijke rol bij een business intelligence systeem? Auditinstrument 9. Is het nodig om een business intelligence systeem te auditen? 10. Aan welke beveiligingsaspecten moet een business intelligence systeem voldoen? 11. Waaraan moet de inrichting van een business intelligence systeem voldoen? 12. Hoe kan getoetst worden of in een business intelligence systeem de essentiële (kwaliteit)aspecten zijn benoemd of aanwezig zijn? 1.5 Resultaat van het onderzoek Het resultaat van het onderzoek is een toetsingskader waarin de te stellen eisen op het gebied van informatiebeveiliging zijn opgenomen. Het toetsingskader kan gebruikt worden voor bestaande business intelligence systemen of bij de totstandkoming daarvan. Het gaat om een algemeen instrument met normen, uitgewerkt in termen van beheersmaatregelen, die door de organisaties kunnen worden toegepast om de risico s rondom informatiebeveiliging zo goed mogelijk te verkleinen. Het toetsingskader is zowel toepasbaar voor de IT auditor als voor een medewerker die betrokken is bij de opzet en inrichting van een business intelligence systeem. 1.6 Aanpak Om antwoord op de onderzoeksvragen te kunnen geven is tijdens het onderzoek gebruik gemaakt van de volgende onderzoeksmethoden en technieken: Literatuurstudie; Voorbereiden en uitvoeren praktijkonderzoek bij de verschillende organisatieonderdelen van UVIT; Analyseren van de bevindingen op basis van literatuurstudie en praktijkonderzoek; Ontwikkelen van een toetsingskader. De literatuurstudie is uitgevoerd om een beeld te krijgen van het onderzoeksobject, het onderzoeksterrein en de definities van begrippen. Hierbij is gebruik gemaakt van boeken, (vak)literatuur en internet. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 6-40

7 Na de literatuurstudie is gestart met het voorbereiden van het praktijkonderzoek. Het praktijkonderzoek heeft zich gericht op de verschillende business intelligence systemen binnen de organisatieonderdelen van UVIT. Op basis van de bestudeerde literatuur is een workshop georganiseerd met de verantwoordelijke beheerders en managers van deze systemen met als doel: Vaststellen of er naast de elementen genoemd in de literatuur nog elementen van de praktijk naar voren komen die relevant zijn voor het onderzoek; Nagaan of de bestudeerde literatuur toegepast is binnen de verschillende business intelligence systemen; Vaststellen in welke mate informatiebeveiliging een rol speelt bij de verschillende business intelligence systemen; Inventariseren van risico s en het bedenken van beheersmaatregelen om de onderkende risico s zoveel mogelijk te verkleinen. Voorts hebben we gebruik gemaakt van vragenlijsten en scoremodellen met als doel inzicht te krijgen in de wijze waarop en in welke mate informatiebeveiliging een rol speelt bij de verschillende business intelligence systemen. 1.7 Reikwijdte De reikwijdte van het onderzoek is als volgt afgebakend: Vanuit de IT audit discipline is informatiebeveiliging een belangrijk en actueel onderwerp. In dit onderzoek zal dan ook de focus vooral liggen op dit aspect; Het onderzoek zal zich beperken tot de vier fusie partners van UVIT. Het betreft hier de volgende partners Univé, Vgz, Iza en Trias; Wij richten ons in het onderzoek op de business intelligence systemen waarbij gebruik wordt gemaakt van een centraal datawarehouse; De bronsystemen blijven buiten bereik van het onderzoek. 1.8 Leeswijzer De leeswijzer beschrijft de gekozen structuur van de scriptie en geeft aan waar welke informatie te vinden is. In hoofdstuk 2 wordt het begrip business intelligence vanuit twee invalshoeken beschreven. Het begrip business intelligence wordt gedefinieerd zoals deze in dit onderzoek zal worden gehanteerd. Nut en noodzaak evenals de karakteristieken komen in dit hoofdstuk aan bod. Hoofdstuk 3 staat in het teken van informatiebeveiliging en de kwaliteitsmodellen die gebruikt worden binnen de organisatie UVIT. Vervolgens wordt in hoofdstuk 4 het praktijkonderzoek toegelicht. De aanpak, de resultaten, bevindingen en conclusies worden in dit hoofdstuk beschreven. In hoofdstuk 5 wordt het auditinstrument beschreven en nader toegelicht. Het betreft hierbij een toetsingskader waarin de te stellen eisen op het gebied van informatiebeveiliging zijn opgenomen. Het laatste hoofdstuk omvat een managementsamenvatting en beschrijft de aanleiding, doel en aanpak van het onderzoek evenals de belangrijkste bevindingen en conclusies die gedurende het onderzoek naar voren zijn gekomen. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 7-40

8 2 Business intelligence 2.1 Inleiding De afgelopen jaren is business intelligence in vele organisaties snel ingeburgerd geraakt. Mede onder druk van toenemende concurrentie, wet- en regelgeving en strengere eisen van de externe toezichthouders zoals De Nederlandsche Bank, AFM, NMa en overige instanties heeft het bedrijfsleven steeds meer behoefte aan gedetailleerde informatie over de eigen bedrijfsvoering. Het niet voldoen aan deze eisen kan in extreme gevallen leiden tot sancties voor de individuele bestuurders. Het is dus niet verwonderlijk dat grote investeringen worden gedaan om de relevante bedrijfsgegevens te verzamelen, vast te leggen en toegankelijk te maken. Daarnaast hebben organisaties informatie nodig om succesvol te kunnen opereren. Een organisatie kan nieuwe informatie verkrijgen door gegevens over de interne- en externe omgeving te verzamelen. Het verzamelen van gegevens en de vertaling daarvan in bruikbare informatie en waardevolle acties zijn activiteiten die niet vanzelf gaan. Organisaties moeten daarvoor op gerichte wijze voorzieningen treffen en op structurele wijze de noodzakelijke processen inrichten en uitvoeren. Het vakgebied van business intelligence heeft als doel dit mogelijk te maken. Zeker met het toegankelijker en betaalbaar worden van business intelligence software zijn steeds meer organisaties op allerlei manieren bezig met business intelligence. Kortom, business intelligence is niet meer weg te denken als onderdeel van een effectieve bedrijfsvoering. Maar wat is nu eigenlijk business intelligence? 2.2 Invalshoek business intelligence? Als we in de literatuur op zoek gaan, vinden we verschillende omschrijvingen en definities van het begrip. Wat opvalt, is dat business intelligence eigenlijk een verzamelbegrip is. In grote lijnen staat het voor het verzamelen, analyseren, presenteren en verspreiden van bedrijfsinformatie, die van strategisch belang is. Er bestaat echter geen eenduidige definitie waarin iedereen zich kan vinden. In de literatuur wordt het begrip business intelligence vanuit twee invalshoeken beschreven. Het business perspectief Vanuit het business perspectief wordt business intelligence beschreven als het systematische proces waarbij op basis van de strategie en de daaruit voortvloeiende informatiebehoefte data wordt verzameld en geanalyseerd met als product kennis en informatie. Deze kennis en informatie dragen op hun beurt weer bij aan de strategie. Het technologische perspectief Het technologische perspectief gaat expliciet in op de rol van ICT binnen het business intelligence proces. De nadruk ligt meer op het gebruik van ICT dan op het proces erachter. ICT speelt een rol bij het verzamelen van data en bij het integreren van data via een datawarehouse en bij de verspreiding hiervan binnen de organisatie. Dit wordt vaak aangeduid met het begrip datawarehousing. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 8-40

9 2.3 Wat is business intelligence? Zoals in de vorige paragraaf reeds aangegeven wordt het begrip in de literatuur vanuit twee invalshoeken beschreven. Hierbij wordt het begrip zowel gebruikt om het proces (business perspectief) als ook het geheel van de ICT voorzieningen (technologisch perspectief) mee aan te duiden. Business intelligence bevindt zich daardoor nadrukkelijk op de grens tussen organisatie en techniek, tussen sturing en gereedschappen. Wij zijn van mening dat beide invalshoeken, c.q. perspectieven in de begripsomschrijving van business intelligence naar voren moet komen. Dit omdat een effectief business intelligence proces niet zonder ICT kan plaatsvinden en visa versa. Vandaar dat we tijdens het onderzoek en in deze scriptie de volgende omschrijving van business intelligence hebben gehanteerd. Business intelligence is het gerichte proces, met bijbehorende voorzieningen, om gegevens te verzamelen, te integreren en vervolgens te analyseren en de als resultaat daarvan verkregen informatie toe te passen [Hamer,2005] Bovenstaande definitie geeft ons inziens een goede omschrijving van het begrip die zowel invulling geeft aan de organisatorische- als de technische invalshoek. Om meer gevoel te krijgen bij bovenstaande definitie zullen wij in de volgende subparagrafen een aantal elementen van deze omschrijving nader toelichten Gericht proces Business intelligence is gericht op de voor een organisatie relevante zaken. Elke investering of activiteit die met business intelligence te maken heeft, moet uiteindelijk te relateren zijn aan één of meer doelstellingen van de organisatie. Daarnaast is business intelligence in de eerste plaats een set van structurele en continue activiteiten. Business intelligence is geen éénmalig, afgebakend (ICT)- project met een begin- en einddatum. De inrichting en het onderhoud van de voor business intelligence benodigde voorzieningen kunnen in projecten plaatsvinden. De uitvoering van business intelligence is een proces Bijbehorende voorzieningen Voor een effectieve uitvoering van het business intelligence proces zijn systemen nodig die geautomatiseerde ondersteuning bieden en mensen die deze voorzieningen of coördinerend werk verrichten door business intelligence te plannen en aan te sturen. Er is een rijk scala aan instrumenten met bijbehorende methoden en technieken voorhanden ter ondersteuning van business intelligence. Eén van de belangrijkste voorzieningen is het gebruik van een datawarehouse. Later in dit hoofdstuk zullen we nader op het begrip datawarehouse ingaan BI-cyclus Het proces van verzamelen, analyseren en toepassen leidt van gegevens naar informatie en van informatie naar actie. Deze actie zal binnen of buiten de organisatie effect hebben en hoe dan ook tot nieuwe gegevens leiden. Nieuwe gegevens die op hun beurt weer tot nieuwe informatie en nieuwe actie zullen leiden. Business intelligence is daarmee een zich steeds herhalend cyclisch proces. Dit wordt ook wel aangeduid met de BI-cyclus. De BI-cyclus staat voor de continue operationele uitvoering van het verzamelen en analyseren van gegevens en het toepassen van de als resultaat daarvan verkregen informatie. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 9-40

10 Verzamelen Proces Proces business intelligence Toepassen Figuur 2-1: BI-cyclus 1 Figuur 2-1 geeft de BI-cyclus weer met de deelprocessen verzamelen, analyseren en toepassen. Het afgebeelde bedrijf staat symbool voor een willekeurig bedrijfsproces of een verzameling van processen binnen of buiten de organisatie. Het dartbord in het midden van de afbeelding staat symbool voor het richten van business intelligence. Verzamelen is de aanduiding voor de set van activiteiten in het business intelligence proces om gegevens uit bronnen te identificeren, te extraheren, te converteren, te bewerken, te combineren en gestructureerd op te slaan of verder te distribueren. Analyseren heeft betrekking op de activiteiten in het business intelligence proces waarin gegevens informatie worden door context en daarmee betekenis aan gegevens te geven of door op zoek te gaan naar patronen en verbanden in gegevensverzamelingen. Toepassen behelst het verspreiden van en communiceren over de nieuw verkregen informatie naar actoren die deze informatie nodig hebben en in hun werk kunnen toepassen. 2.4 Nut en noodzaak van business intelligence Elke organisatie en elk individu heeft informatie nodig om te kunnen functioneren, om beslissingen te nemen, problemen op te lossen en kansen te benutten. Het verzamelen van gegevens en de vertaling daarvan in bruikbare informatie en acties zijn activiteiten die niet vanzelf gaan. Steeds meer organisaties geven expliciet invulling aan het proces om gegevens te zamelen, te analyseren en de als resultaat daarvan verkregen informatie toe te passen. Waarom doen organisaties dit? Met andere woorden: wat is het nut of de noodzaak van business intelligence? Verwachtingspatroon Uit onderzoek van het onderzoeksbureau Forrester [figuur 2-2] blijkt dat organisaties veel verwachtingen hebben van business intelligence. Redenen die de respondenten van het onderzoek hebben aangegeven waren: 42% van de respondenten gaf aan dat het gaat om sneller en beter te kunnen beslissen. 38% 1 Afgeleid van afbeelding afkomstig van 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 10-40

11 vindt dat het belangrijk is om een concurrentievoordeel te behalen en slechts 12% ziet het ontdekken van trends als belangrijkste reden [Til en Rooij, 2008]. Redenen voor business intelligence ontdekken trend hogere omzet bedrijfsbrede blik lagere kosten % concurrentievoordeel beter/sneller kunnen beslissen Figuur 2-2: Redenen voor BI volgens Forrester Research [Til en Rooij, 2008] Informatiekloof Het merendeel van de organisaties verwacht [figuur 2-2] veel van business intelligence als het gaat om beter en sneller beslissingen te kunnen nemen. Echter, vrijwel alle organisaties hebben te kampen met de zogenoemde informatiekloof. Deze kloof is ontstaan door de spanning tussen enerzijds de beschikbare tijd om op basis van relevante informatie beslissingen te nemen en actie te ondernemen en anderzijds de benodigde tijd om relevante informatie te verkrijgen door gegevens te verzamelen en te analyseren. Deze kloof wordt groter doordat de genoemde beschikbare tijd steeds korter wordt door bijvoorbeeld toenemende concurrentie en de genoemde benodigde tijd steeds langer wordt door bijvoorbeeld de enorme groei van de hoeveelheid data. De steeds groter wordende informatiekloof is voor veel organisaties een serieus probleem [Liautaud en Hammond, 2000]. Figuur 2-3: Informatiekloof 2 De inrichting en uitvoering van business intelligence kan op verschillende manieren helpen de informatiekloof te overbruggen. 2 Afgeleid van afbeelding afkomstig van 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 11-40

12 Verkorting van benodigde tijd voor het verkrijgen van relevante informatie. Door efficiënte inrichting en inzet van de juiste instrumenten kan het proces om gegevens te verzamelen en te analyseren sneller verlopen. Hierdoor blijft meer van de beschikbare tijd over om de resulterende informatie toe te passen voor het nemen van beslissingen en het ondernemen van actie; Optimale benutting van beschikbare tijd om relevante informatie toe te passen. Tijdige verspreiding van relevante informatie naar de juiste personen zorgt ervoor dat de beschikbare tijd om informatie toe te passen optimaal benut kan worden. Een belangrijke opmerking is dat het overbruggen van de informatiekloof iets anders is dan het dichten ervan. Met business intelligence kan men de spanning wel verlichten, maar niet opheffen. Dat laatste is vrijwel onmogelijk, vooral doordat veel van de factoren die de informatiekloof veroorzaken een gegeven vormen waar een organisatie nauwelijks of geen invloed op heeft. De verwachting is dan ook dat de informatiekloof in de toekomst nog verder zal toenemen [Liautaud en Hammond, 2000]. 2.5 Karakteristieken van business intelligence systemen Business intelligence systemen worden ontworpen om te voorzien in een architectuur die bedrijfsgegevens toegankelijk en bruikbaar maakt voor kennisverwerkers en beslissingsbevoegden. Het belangrijkste en kenmerkende verschil tussen operationele systemen en business intelligence systemen is de aanwezigheid van gegevens. Bij de ontwikkeling van een operationeel systeem worden aan de hand van nieuwe definities de gegevens in het systeem gebracht. Dit in tegenstelling tot business intelligence systemen die gebruik moeten maken van bestaande gegevens en definities. Business Intelligence systemen kunnen dan ook getypeerd worden als data-driven georiënteerde systemen. Voor operationele systemen geldt dat deze sterk functiegericht zijn. Voor het verzamelen van gegevens zijn binnen BI systemen diverse instrumenten en technische componenten voorhanden. Hierbij vormt een datawarehouse in veel gevallen het hart van de architectuur voor een business intelligence systeem. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 12-40

13 2.5.1 Business intelligence systemen versus operationele systemen In tabel 2-1 worden grofweg de belangrijkste verschillen beschreven tussen operationele (OLTP-) systemen en business intelligence systemen. Tabel 2-1: Verschillen tussen Operationele- en BI systemen Aspect Transactie - / operationele systemen (operationele gegevens) Business intelligence systemen (Informatieve gegevens) Gegevens- Inhoud Gebruiken actuele gegevens en actuele waarde ondersteunen de dagelijkse verwerking op een gedetailleerd transactieniveau Getotaliseerd, afgeleid en gearchiveerd Gegevens zijn geconsolideerd met de waarheid op een bepaald moment Gegevensverzameling is geordend in de tijd Periodiek vindt vastlegging plaats van momenten uit de operatie Soort toegang Gegevensrangschikking Gegevensstabiliteit Gegevensstructuur Toegangsfrequentie Gegevensinvoer Type gebruikers Raadplegen, bewerken, verwijderen, veld na veld Geen rechtstreekse benadering van de gegevensverzameling Op applicatie Dynamisch, verandert voortdurend van waarden moeten zeer regelmatig bewerkt worden Geoptimaliseerd voor transacties Hoog ondersteunen veel gelijktijdige gebruikers Benaderen weinig records per transactie Invoer door mensen Administratieve en operationele gebruikers Raadplegen, aggregeren, toegevoegd aan Soms rechtstreekse benadering van de gegevensverzameling Gegevensverzameling is thematisch Gegroepeerd naar onderwerp Statisch tot aan verversing Omgeving is vrij stabiel Kent in principe alleen maar toevoegingen. Gegevensverzameling is bevroren Momentopnames worden bevroren zodat ze in principe nooit meer aangepast worden Geoptimaliseerd voor complexe queries Gegevensverzameling is geïntegreerd Rapportage is afkomstig uit verschillende bronsystemen Gemiddeld tot laag Grote hoeveelheid records per transacties Invoer door computer-programma s. Ontsluiten van geïntegreerde gegevens is eenvoudiger doordat ze geleverd worden door geautomatiseerde processen in plaats van het handmatig overtikken van lijstjes Analytische en bestuurlijke gebruikers Indexen Weinig en eenvoudige indexen Vaak veel complexe, gecombineerde indexen Responsetijden Zijn geoptimaliseerd voor een goede performance. Max. 3 seconden Tot <= 10 minuten Datawarehouse concept Zoals eerder vermeld bevindt business intelligence zich nadrukkelijk op de grens tussen organisatie en techniek, tussen sturing en gereedschappen. Het concept waarmee business intelligence ondersteund wordt heet datawarehousing. Datawarehousing houdt zich bezig met het proces om de gegevens die nodig zijn voor het realiseren van de sturing op bedrijfsdoelstellingen te verzamelen, te integreren en voor te bereiden op het gewenste gebruik. Gegevens voor business intelligence worden bewaard in een datawarehouse. Een datawarehouse is een geautomatiseerde omgeving die is ingericht voor het opslaan van grote hoeveelheden gegevens gedurende langere tijd. Het doel daarvan is te 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 13-40

14 beschikken over alle gegevens die voor een organisatie in het kader business intelligence van belang kunnen zijn. Datawarehousing beoogt alle relevante gegevens, die afkomstig zijn uit interne- en externe bronnen, te extraheren, te schonen, te integreren en beschikbaar te stellen op tactisch en strategisch niveau. Dit proces wordt ook wel ETL genoemd: ETL staat voor extract, transform and load, ofwel het extraheren, transformeren en laden van gegevens van een bronsysteem in een datawarehouse. Het datawarehouse ontkoppelt in feite de primaire processystemen en de ondersteunende systemen van de managementrapportages en analysetoepassingen. Het datawarehouse vormt het hart voor een business intelligence systeem. Het is een omgeving en geen product. Het is een architectuur voor een informatiesysteem om gegevens uit bronnen te integreren en langdurig te bewaren met als doel een zo optimaal mogelijke toegang tot deze gegevens te bieden. Uit het voorgaande moge duidelijk zijn dat business intelligence en datawarehousing onlosmakelijk met elkaar verbonden zijn. In de volgende paragraaf zullen we dieper ingaan op het begrip datawarehouse Het datawarehouse In de literatuur worden allerlei definities voor het begrip datawarehouse gebruikt. De definitie van Bill Inmon, één van de belangrijkste grondleggers van datawarehousing, wordt het meest toegepast. In 1996 omschreef Bill Inmon een datawarehouse als volgt: a subject oriënted, integrated, non-volatile and time variant collection of data in support of management s decisions [Inmon,1996] Oftewel: een datawarehouse is een naar onderwerp gestructureerde database, met geïntegreerde, tijdsafhankelijke gegevens die nauwelijks veranderen, ter ondersteuning van het beslissingsproces van managers. Men kan stellen dat een datawarehouse een gegevensverzameling is met de volgende kenmerken: Gegevens zijn gegroepeerd naar onderwerp die relevant en betekenisvol zijn voor gebruikers met als belangrijkste doelen om de structuur zo duidelijk mogelijk te maken; Gegevensverzameling is statisch. De gegevens worden na opslag niet meer gewijzigd, verwijderd of overschreven; Integratie van gegevens uit meerdere bronnen. Dankzij de integratie-eis is het voor de gebruiker veel eenvoudiger geworden om over de juiste gegevens te beschikken; Gegevensverzameling is geordend in de tijd. Het datawarehouse is gebaseerd op het periodiek vastleggen van momenten uit de operationele bedrijfsvoering. De gegevens vormen een weergave of snapshot van de situatie in de organisatie zoals die was op het moment van laden; Ondersteunend voor het management bij het nemen van beslissingen. Hoewel nog steeds een belangrijk kenmerk, geldt de laatste jaren dat een datawarehouse in het kader van business intelligence, in combinatie met verschillende andere instrumenten, meerdere doelgroepen kan bedienen Generiek lagenarchitectuur De definitie van een datawarehouse als uitsluitend een gegevensverzameling is te beperkt. De centrale gegevensverzameling is nog steeds het hart van de 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 14-40

15 infrastructuur. Er komt echter zoveel meer bij kijken. Een datawarehouse is een infrastructuur inclusief alle processen die met die gegevensverzameling verbonden zijn. Bij de inrichting van een business intelligence systeem wordt vaak gebruik gemaakt van het datawarehouse lagenarchitectuur [figuur 2-4]. Figuur 2-4: Datawarehouse lagenarchitectuur Het lagenmodel De architectuur bestaat uit totaal vijf lagen, waarvan twee vaste- en drie procesmatige lagen. De buitenkant van een business intelligence systeem wordt omringd door de twee vaste lagen. Aan de linkerkant staan de bronsystemen of OLTP applicaties met de aanwezige brongegevens centraal en aan de andere kant bevindt zich de gebruikerstoegangslaag. Dit is de laag waarbij gebruikers in staat worden gesteld om rapporten te raadplegen, queries uit te voeren en analyses te doen. Het onderscheidende karakter van een datawarehouse architectuur zijn in feite de activiteiten binnen de drie proceslagen van het business intelligence systeem. Deze activiteiten zijn onderverdeeld in drie proceslagen: gegevensacquisitie, -opslag en gegevensdistributie [Bischoff and Alexander, 1997]. Gegevensacquisitie De belangrijkste functie van deze laag is de gegevensoverdracht en de integratiefunctionaliteit. In deze laag vinden alle bewerkingen plaats die nodig zijn voor extractie, transformatie en laden richting het datawarehouse. Dit houdt in het verzamelen van gegevens, controleren en eventueel schoonmaken, transformeren en integreren van gegevens uit bronsystemen en vervolgens het laden en eventueel aggregeren van deze gegevens in het datawareshouse. Dit wordt ook wel het ETL proces genoemd. Gegevensopslag De belangrijkste functie van de laag gegevensopslag is de aanwezigheid van een opslagplaats voor de gegevens. Opslag is de activiteit waarbij gegevens op georganiseerde wijze worden opgeslagen voor later gebruik. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 15-40

16 Gegevensdistributie De laatste laag is de gegevensdistributielaag, welke het toegangspunt verzorgt voor de gebruikers richting het datawarehouse en datamarts. Daarnaast voorziet deze laag ook in gereedschappen ter ondersteuning van de gegevenspresentatie en analytische functies. De hierboven beschreven 5-lagenarchitectuur kom je in de praktijk in verschillende verschijningsvormen tegen. Voor een nadere uitleg van de verschillende verschijningsvormen verwijzen wij naar het academisch proefschrift Logistics of information flow van de heer A. Shahim. Deze verschijningsvormen verschillen niet veel van elkaar en zijn allemaal gebaseerd op dezelfde architectuur zoals hierboven beschreven. Om deze reden hebben wij tijdens het onderzoek het 5-lagen architectuurmodel als basis gekozen voor de rest van ons onderzoek Welke kwaliteitsaspecten spelen een rol bij informatiesystemen? In de literatuur wordt kwaliteit in een aantal dimensies onderscheiden: de procesdimensie, de productdimensie en de informatiedimensie [Delen, Kouwenhoven en Rijsenbrij, 1992]. Bij een informatiesysteem wordt onderscheid gemaakt tussen de functionaliteit van het systeem en de kwaliteit van het systeem. De functionaliteit van een systeem bestaat uit dat waarin het informatiesysteem de gebruiker ondersteunt. Gedurende het onderzoek zullen wij ons beperken tot de kwaliteitsattributen van de productdimensie. Bij het vaststellen van de set van kwaliteitsattributen hebben we gebruik gemaakt van een aantal standaarden. Als basis hebben we gebruik gemaakt van de beschrijving van de kwaliteitsattributen zoals deze in de testmethode TMAP zijn opgenomen. Daarnaast hebben we gekeken naar andere informatiebronnen, waaronder de internationale standaard ISO9126, met als doel een volledig beeld te krijgen van relevante attributen. Binnen de organisatie UVIT is TMap de standaard voor testen, inclusief de TMap set aan kwaliteitsattributen. Door deze keuze sluiten wij naadloos aan op de set van kwaliteitsattributen die bekend zijn binnen de organisatie. Dit zal de communicatie ten goede komen en mogelijke misverstanden voorkomen. Dit is de reden waarom wij de Tmap set van kwaliteitsattributen als basis hebben gebruikt en niet ISO9126. In tabel 2-2 worden de kwaliteitsattributen beschreven vanuit de productdimensie. De productdimensie wordt onderscheiden in een statische en een dynamische dimensie. De statische dimensie beschrijft de beheereigenschappen van een informatiesysteem, ofwel die wordt ervaren door het systeembeheer- en onderhoudspersoneel. De dynamische dimensie beschrijft de gebruikerseigenschappen van een informatiesysteem, ofwel de kwaliteit van de informatievoorziening in werking [Delen, Kouwenhoven en Rijsenbrij, 1992]. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 16-40

17 Statische productkwaliteit De statische productkwaliteit heeft betrekking op wijzigingen van het systeem. We kunnen daarin de volgende attributen onderscheiden: Tabel 2-2: Kwaliteitsattributen statische productkwaliteit Kwaliteitsattribuut Omschrijving Flexibiliteit De mate waarin de gebruiker zelf uitbreidingen of variaties op het systeem kan aanbrengen zonder dat de programmatuur Testbaarheid Portabiliteit Connectiviteit Herbruikbaarheid Geschiktheid van de infrastructuur wordt aangepast. Het gemak waarmee het systeem kan worden aangepast aan nieuwe wensen van de gebruiker, aan de veranderde externe omgeving of om fouten te herstellen. Het gemak en de snelheid waarmee de functionaliteit en het prestatieniveau van het systeem (na iedere aanpassing) getest kunnen worden. De diversiteit van het hardware- en softwareplatform waarin het systeem kan draaien en het gemak waarmee het object kan worden overgebracht van de ene omgeving naar de andere omgeving. Het gemak waarmee de koppeling met andere informatiesystemen of binnen het systeem tot stand kan worden gebracht of kan worden gewijzigd. De mate waarin delen van het systeem opnieuw kunnen worden gebruikt voor de ontwikkeling van andere toepassingen. Betreft de mate waarin het systeem binnen een bepaalde technische infrastructuur kunnen worden ingepast. Dynamische productkwaliteit De dynamische productkwaliteit heeft betrekking op het gebruik van het informatiesysteem. We kunnen daarin de volgende attributen onderscheiden. Tabel 2-3: Kwaliteitsattributen dynamische productkwaliteit Kwaliteitsattribuut Juistheid Volledigheid Tijdigheid Exclusiviteit Onderhoudbaarheid Controleerbaarheid Bedrijfszekerheid Omschrijving De mate waarin het systeem de aangeboden invoer en mutaties correct volgens de specificaties verwerkt tot consistente gegevens. Dit alles moet leiden tot informatie die een waarheidsgetrouwe afbeelding vormt van de werkelijkheid. De zekerheid dat het systeem alle invoer en mutaties verwerkt, zodat geen doublures of manco s ontstaan. De informatie moet een volledige afbeelding vormen van de werkelijkheid. De mate waarin de informatie op tijd beschikbaar komt om de maatregelen te nemen waarvoor die informatie bedoeld was. Dit leidt tot informatie die de werkelijkheid weergeeft zoals die is op het moment dat de informatie wordt geproduceerd. De mate waarin men kan garanderen dat de gegevens en de objecten alleen gemuteerd of geraadpleegd kunnen worden door personen die daartoe bevoegd zijn. Het gemak waarmee de juistheid en volledigheid van de gegevens (in de loop van de tijd) gecontroleerd kunnen worden. De mate waarin het systeem, c.q. de gegevensverwerking vrij blijft van storingen. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 17-40

18 Tabel 2-4: Kwaliteitsattributen dynamische productkwaliteit (vervolg) Kwaliteitsattribuut Omschrijving Robuustheid De mate waarin het systeem, c.q. de gegevensverwerking ook na een storing gewoon door kan gaan. Herstelbaarheid Het gemak en de snelheid waarmee het systeem, c.q. de gegevensverwerking na een storing herstel kan worden. De mate waarin de kern van het systeem, c.q. de gegevensverwerking kan worden voortgezet nadat een deel daarvan is uitgevallen. Het gemak waarmee de informatievoorziening op een andere locatie kan worden voortgezet. Degradatiemogelijkheid Uitwijkmogelijkheid Gebruikersvriendelijkheid Zuinigheid Dekkingsgraad bedrijfsprocessen Ondersteuning besluitvorming Het bedieningsgemak van het systeem door de eindgebruikers. De verhouding tussen het prestatieniveau van het systeem en de hoeveelheid hulpbronnen die daarvoor gebruikt worden. Betreft de mate waarin een systeem de bedrijfsprocessen ondersteunt. Hierbij wordt rekening gehouden met het belang van de processen voor de bedrijfsvoering. Betreft de waarde die de informatievoorziening heeft als achtergrond en onderbouwing voor de besluitvorming. In het volgende hoofdstuk zal in detail worden ingegaan op de kwaliteitsaspecten die betrekking hebben op het gebied van de informatiebeveiliging. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 18-40

19 3 Kwaliteitsmodellen en informatiebeveiliging 3.1 Inleiding Vandaag de dag zijn veel kwaliteitsmodellen (methoden, modellen en standaarden) beschikbaar om kwaliteitsverbetering te realiseren op het gebied van de informatievoorziening. Deze modellen worden vaak gebruikt om de complexe werkelijkheid in een overzichtelijk geheel te vangen. In feite dwingen de modellen de managers en medewerkers om naar een specifiek aantal aspecten van de organisatie te kijken. Ook op het gebied van informatiebeveiliging zijn tal van modellen beschikbaar. De kwaliteitsmodellen zijn vaak gebaseerd op normen. Die normen hebben een eigen achtergrond, bijvoorbeeld wet- en regelgeving, branchemodellen (best practises) of een beroepsorganisatie. 3.2 Kwaliteitsmodellen binnen UVIT Binnen de UVIT organisatie kiest het management bewust om gebruik te maken van bestaande kwaliteitsmodellen die bijdragen aan de verbetering van de kwaliteit van de informatievoorziening. In onderstaande tabel worden de belangrijkste kwaliteitsmodellen weergegeven die door het management van UVIT breed zijn omarmd. Tabel 3-1: Selectie kwaliteitsmodellen binnen UVIT Kwaliteitsmodel INK RUP Omschrijving Bieden van handvatten voor besturing van de gehele bedrijfsvoering en duurzame verbetering van de bedrijfsvoering Best practice voor uitvoeren van IT ontwikkelingsprojecten TMap ITIL BiSL BSC MSP Prince2 COBIT ISO17799:2000 ISO27001:2005 NEN7510 Een aanpak voor gestructureerd testen van informatiesystemen Best practices voor IT servicemanagement Procesmodel en best practices voor operationeel functioneel beheer en informatiemanagement Meet- en stuurinstrument te gebruiken voor vertaling strategie in operatieve termen Best practices voor programmamanagement Best practices voor projectmanagement Het management en proceseigenaren middels een Information Technology (IT) Governance model ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico s. Code voor Informatiebeveiliging en beschrijft normen en maatregelen die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Is een standaard voor informatiebeveiliging, waarin wordt beschreven hoe Informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO te effectueren. Geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg dient te treffen ter beveiliging van de informatievoorziening 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 19-40

20 Zoals uit tabel 3-1 blijkt wordt binnen UVIT diverse best practises en andere vormen van wet- en regelgeving gehanteerd die betrekking hebben op informatiebeveiliging waaronder ISO 17799:2000, ISO27001:2005 en NEN Wat is informatiebeveiliging? Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, van belang is voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatie komt in veel vormen voor. Het kan afgedrukt of geschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm de informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd voldoende beveiligd te zijn. Informatiebeveiliging wordt gedefinieerd als het inrichten en onderhouden van een stelsel van maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en informatiesystemen te waarborgen. Informatiebeveiliging [figuur 3-1] is gebaseerd op drie beveiligingsprincipes [ISO17799:200]: Integriteit Vertrouwelijkheid (Geautomatiseerde) informatievoorziening Beschikbaarheid 1. Vertrouwelijkheid: het beschermen van gevoelige informatie tegen ongeautoriseerde kennisname; 2. Integriteit: het waarborgen van de correctheid en de volledigheid van informatie en computerprogrammatuur; 3. Beschikbaarheid: zekerstellen dat informatie en essentiële diensten op de juiste momenten beschikbaar zijn voor gebruikers. Figuur 3-1: Informatiebeveiliging Informatiebeveiliging wordt bereikt door een passende verzameling beveiligingsmaatregelen in te zetten, bijvoorbeeld beleid, gedragsregels, procedures, organisatiestructuren en softwarefuncties. Deze maalregelen moeten worden vastgesteld om te waarborgen dat de (beveiligings-)doelstellingen van de organisatie worden bereikt. Informatiebeveiliging heeft impliciet ook betekenis voor het management. Het management stelt vast aan welke eisen de informatiebeveiliging moet voldoen. Afhankelijk van interne en externe omstandigheden worden deze eisen bijgesteld. Complicerende factor voor het management is dat de organisatie (een afdeling) deel uitmaakt van bredere informatieketens. Zowel op het niveau van de primaire processen en de verantwoording daarover als op het vlak van middelen en infrastructuren is elke organisatie afhankelijk van vele relaties met de buitenwereld. Voorts moet daarbij worden aangetekend dat Informatiebeveiliging ook geen activiteit is die op enig tijdslip 'klaar' is. Informatiebeveiliging heeft niet zozeer te maken met het 'op orde' hebben van zaken, maar des te meer met het beheersen van de kwetsbaarheden. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 20-40

21 3.3.1 Kwaliteitsaspecten informatiebeveiliging Het onderzoek richt zich in het bijzonder op de kwaliteitsaspecten rondom informatiebeveiliging. Vanuit de IT audit discipline wordt dit geconcretiseerd in de navolgende kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid [ISO17799:2000]. Uitgaande van een business intelligence systeem komen wij tot de volgende definities: Beschikbaarheid De mate waarin het business intelligence systeem in bedrijf is op het moment dat de organisatie het nodig heeft; Het bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Integriteit De mate waarin gegevens en informatie in een business intelligence systeem in overeenstemming is met de afgebeelde werkelijk op het gebied van juistheid, volledigheid en tijdigheid. Vertrouwelijkheid De mate waarin uitsluitend geautoriseerde personen, programmatuur of apparatuur via geautoriseerde procedures en beperkte bevoegdheden toegang kunnen krijgen tot gegevens die beschikbaar zijn in het business intelligence systeem. In tabel 3-2 geven we weer welke kwaliteitsattributen een rol spelen bij informatiebeveiliging. Deze hebben we gecategoriseerd onder de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Voor de definities van de kwaliteitsattributen verwijzen we naar de omschrijvingen zoals deze zijn beschreven in hoofdstuk 2 tabel 2-3. Tabel 3-2: Kwaliteitsaspecten en attributen informatiebeveiliging Waarom informatiebeveiliging? Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. De beschikbaarheid, integriteit en vertrouwelijkheid ervan kunnen van essentieel belang zijn voor het behoud van de concurrentiepositie, cashflow, winstgevendheid, naleving van de wet en het commerciële imago van de organisatie. In toenemende mate worden organisaties en hun informatiesystemen en netwerken geconfronteerd met beveiligingsrisico's uit allerlei bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 21-40

22 Nieuwe oorzaken van schade, zoals computervirussen, computer hacking en het weigeren van dienstverlening komen steeds vaker voor en worden steeds ambitieuzer en steeds meer geavanceerd. Afhankelijkheid van informatiesystemen en -diensten betekent dat organisaties steeds kwetsbaarder worden voor bedreigingen van de beveiliging. De onderlinge verbondenheid van openbare en particuliere netwerken en het delen van informatiemiddelen maken het steeds moeilijker om de toegang te beveiligen. Veel informatiesystemen zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is beperkt en dient te worden ondersteund door passend beheer en procedures [ISO17799:2000]. Omdat een organisatie en de wereld daaromheen voortdurend verandert, veranderen ook de risico s die een organisatie loopt en de wijze waarop het management daarmee wil omgaan. Evaluatie Beleid en organisatie Bewaking Informatie beveiliging Informatie Implementatie Selectie Dit heeft weer consequenties voor het stelsel van beveiligingsmaatregelen dat geïmplementeerd zou moeten zijn. Teneinde te kunnen waarborgen dat een adequaat niveau van informatiebeveiliging gehandhaafd blijft, moet het informatiebeveiligingsproces periodiek worden doorlopen. Overbeek, Roos Lindgreen en Spruit [Overbeek, e.a., 2008] onderkennen in dit iteratieve proces zes stappen [figuur 3-2]. Figuur 3-2: Informatiebeveiligingproces Informatiebeveiliging binnen UVIT UVIT is een fusieorganisatie, waarin de bedrijfsvoering van vier verzekeringsorganisaties wordt samengevoegd tot één geheel. UVIT hecht eraan dat zij voor, tijdens en na de fusie een betrouwbare en transparante partner is voor al haar stakeholers. Een belangrijk onderdeel hiervan is dat de informatiesystemen van UVIT voldoen aan de kwaliteitsaspecten van informatiebeveiliging: Beschikbaarheid Integriteit Vertrouwelijkheid Vooral de afgelopen jaren heeft UVIT een serieuze achterstand opgelopen op het gebied van informatiebeveiliging, waardoor UVIT niet meer voldoet aan de minimale normen. Om hier invulling aan te geven zijn binnen de organisatie diverse voorschriften voorhanden die ingaan op informatiebeveiliging, waaronder het Informatiebeveiligingsbeleid UVIT, BCM beleid en het Autorisatiebeheer beleid. Om een betrouwbare en transparante partner te worden voor haar stakeholders heeft UVIT als organisatie een programma opgestart: Programma UVIT Informatiebeveiliging. Uiteindelijk doel van het programma is: De informatiebeveiliging van de UVIT-organisatie op het gewenste niveau brengen. Om hieraan te voldoen is het programma opgedeeld in vijf projecten die hier in het kort zullen worden beschreven: 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 22-40

23 1. Autorisatiemanagement: Een werkwijze waardoor alleen toegang wordt verstrekt tot de geautomatiseerde systemen aan bevoegd medewerkers die daartoe een belang hebben. Het implementeren van beleid en processen zodat enkel bevoegden toegang hebben tot systemen en gegevens. Tevens het implementeren van een proces ter controle hierop. 2. Business Continuity Management: Inregelen dat UVIT de juiste maatregelen neemt in geval van calamiteiten of andere verstoringen met als doel de borging van continuïteit van bedrijfsprocessen. 3. IT Continuity: Borgen van de continuïteit van de IT systemen in geval van calamiteiten of andere verstoringen. 4. Changemanagement: Het implementeren van beleid en processen zodat wijzigingen in informatiesystemen alleen worden doorgevoerd wanneer deze goedgekeurd zijn door de gebruikersorganisatie. Tevens implementeren van een proces zodat de juiste mensen worden betrokken. 5. IT-security: Treffen van aanvullende technische beveiligingsmaatregelen om gegevens en infrastructuren te beschermen. Om het programma in goede banen te leiden is er een programmateam ingericht. Onderstaande afbeelding [figuur 3-3] geeft weer hoe dit programma geleid wordt en wie erbij betrokken zijn. Figuur 3-3: Programmainrichting Informatiebeveiliging 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 23-40

24 4 Praktijkonderzoek 4.1 Aanpak Na de literatuurstudie zijn we gestart met het voorbereiden van het praktijkonderzoek. Het praktijkonderzoek heeft zich gericht op de verschillende business intelligence systemen binnen de organisatieonderdelen van UVIT. Alvorens over te gaan tot de opzet en de uitwerking van het toetsingkader hebben wij ons eerst de vraag gesteld waarom het nodig is om een business intelligence systeem te beoordelen. Door beantwoording van deze vraag kunnen we de noodzaak alsmede de rechtvaardiging onderbouwen voor het realiseren van een toetsingskader. Bij de beantwoording van deze vraag hebben we gebruik gemaakt van vragenlijsten en scoremodellen. Via deze vragenlijsten en scoremodellen is inzicht verkregen in de mate waarin informatiebeveiliging een rol speelt bij de verschillende business intelligence systemen. Door het verzamelen van relevante kenmerken enerzijds en de uitkomsten van de scoremodellen anderzijds hebben we inzicht verkregen in: 1. de mate van belang van deze systemen voor de organisatie UVIT en welke gegevensverzamelingen via deze systemen worden ontsloten en beschikbaar worden gesteld; 2. de mate waarin aandacht is voor de informatiebeveiliging en een indicatie van de huidige inrichting daarvan. Vervolgens is via een workshop aanvullende informatie verkregen ten aanzien van de opzet en inrichting van de verschillende BI systemen. Het inventariseren van risico s en bedenken van beheersmaatregelen was eveneens een belangrijk onderdeel van de workshop. Alle resultaten gedurende het onderzoek zijn voor open aanmerkingen teruggekoppeld aan de betrokken deelnemers. In bijlage V vindt u een overzicht van alle deelnemers die direct of indirect bij het onderzoek betrokken zijn geweest. Bij de totstandkoming van het toetsingskader is, naast de door UVIT gebruikte kwaliteitsmodellen, afstemming gezocht met de IT audit afdeling van de interne accountsdiens (IAD). Het doel van deze afstemming was draagvlak creëren voor het gebruik van het toetsingskader binnen de IAD. Dit heeft ertoe geleid dat de IAD het toetsingkader op korte termijn als auditinstrument zal gaan gebruiken. 4.2 Belangrijkste bevindingen en conclusies In deze paragraaf worden de belangrijkste bevindingen en conclusies beschreven Mate van belang van de BI systemen voor UVIT Hieronder een opsomming van de belangrijkste bevindingen: De doorlooptijd om een initiële business intelligence systeem te bouwen en te implementeren bedroeg meer dan 1 jaar; De totale kosten voor de bouw en implementatie bedroeg gemiddeld 1.5 miljoen per systeem; De jaarlijkse exploitatiekosten worden geschat op gemiddeld 1 miljoen per systeem per jaar; Alle onderzochte systemen bevatten vertrouwelijke gegevens op het gebied van klant- en financiële gegevens tot een zeer gedetailleerd niveau; 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 24-40

25 Voor alle systemen geldt dat het systeem de secundaire processen ondersteunt. Het betreft hier de processen rondom Risicobeheer, Marketing, Verkoop en Financiën. Conclusie Bovenstaande bevindingen tonen aan dat de business intelligence systemen een belangrijke plaats innemen binnen de bedrijfsvoering. Niet alleen vanwege de lange doorlooptijden en de hoge kosten die gepaard gaan met de ontwikkeling en de implementatie van dergelijke systemen, maar zeker ook door de aanwezigheid van vertrouwelijke gegevens die in deze systemen zijn opgeslagen. Het verantwoordelijk management heeft dan ook de taak om deze systemen adequaat in te richten en potentiële risico s op een aanvaarbaar niveau te brengen door afdoende beheersmaatregelen in te richten De mate waarin aandacht is voor informatiebeveiliging Door gebruik te maken van een scoremodel is inzicht verkregen in de wijze waarop informatiebeveiliging een rol speelt bij de verschillende BI systemen. In het scoremodel zijn in totaal 21 kwaliteitsattributen opgenomen. Aan de verantwoordelijke managers is gevraagd de 15 belangrijkste kwaliteitsattributen aan te geven en deze te voorzien van een onderlinge rangorde. In tabel 4-1 worden de resultaten weergegeven van deze meting. Hierbij wordt geen onderscheid gemaakt in de verschillende BI systemen afzonderlijk, maar is een totaalscore over alle BI systemen bepaald. Voor een overzicht van de afzonderlijke score per systeem verwijzen we naar bijlage II. Tabel 4-1: Overallscore kwaliteitsattributen Resultaten scoremodel kwaliteitsattributen informatiesysteem Mate van aandacht voor kwaliteitsattribuut Rang- Orde # punten (max. 60 pnt) Kwaliteitsattribuut Beoordeling huidige inrichting # punten (max. 40 pnt) 1 54 Ondersteuning besluitvorming Dekkingsgraad processen Juistheid Bedrijfszekerheid Volledigheid Gebruikersvriendelijkheid Onderhoudbaarheid Tijdigheid Robuustheid Herstelbaarheid Flexibiliteit Testbaarheid Zuinigheid Herbruikbaarheid Connectiviteit Geschiktheid van de infrastructuur Controleerbaarheid Exclusiviteit Degradatiemogelijkheid Uitwijkmogelijkheid Portabiliteit - - Vet gedrukt zijn de kwaliteitsattributen die betrekking op het kwaliteitsaspect informatiebeveiliging Cijfer 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 25-40

26 Conclusie Aan de hand van de gegevens uit de tabel kunnen we de volgende conclusies opmaken: De kwaliteitsattributen Controleerbaarheid, Exclusiviteit, Degradatiemogelijkheid en Uitwijkmogelijkheid scoren in de totale rangorde laag. Opvallend hierbij is dat het attribuut Uitwijkmogelijkheid helemaal geen score heeft opgeleverd. Aan de hand van deze gegevens kunnen we vaststellen dat het verantwoordelijke management weinig tot geen aandacht heeft voor het kwaliteitsaspect Vertrouwelijkheid. Bovendien wordt de huidige inrichting op voornoemde attributen als niet voldoende beoordeeld. Het belang van het kwaliteitsaspect Beschikbaarheid speelt bij BI-systemen minder dan bij operationele systemen. Dit komt doordat bij problemen de operationele bedrijfsvoering niet geraakt wordt en deze ongestoord doorgang kunnen vinden. Vanuit deze context is het logisch dat dit aspect relatief laag scoort in de meting. De kwaliteitsattributen juistheid, volledigheid en tijdigheid, als onderdeel van het kwaliteitsaspect integriteit, scoren hoog ten opzichte van de andere kwaliteitsattributen. Hieruit kunnen we vaststellen dat het informatiebeveiligingsaspect op het gebied van integriteit voldoende aandacht heeft bij het management. De inrichting van bovengenoemde attributen wordt als voldoende beoordeeld Risicoinventarisatie In navolging op de vragenlijst en scoremodellen hebben we in de maand december 2008 een workshop georganiseerd. De betrokken deelnemers in deze workshop waren de verantwoordelijke BI managers. De workshop stond in het teken van het uitvoeren van een risicoanalyse op het gebied van informatiebeveiliging. Eén van de belangrijkste doelstellingen van deze analyse was om inzicht te krijgen in de bedreigingen die zich voor kunnen doen in een BI systeem. Voor het programma van de workshop, alsmede de totale opsomming van de geïnventariseerde risico s verwijzen wij u naar het uiteindelijke toetsingskader. Tijdens de workshop zijn risico s onderkend die buiten de scope vallen van het aandachtsgebied informatiebeveiliging. Deze niet gerelateerde beveiligingsrisico s zijn voor de volledigheid opgenomen in bijlage IV. Een ander belangrijk onderdeel van de workshop bestond uit heb bedenken van beheersmaatregelen voor de onderkende bedreigingen. De geïnventariseerde risico s met de bijbehorende beheersmaatregelen vormden de basis voor het uiteindelijk toetsingskader. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 26-40

27 5 Het auditinstrument 5.1 Inleiding Door ons zijn op systematische wijze aan de hand van de in paragraaf onderscheiden datawarehouse lagenarchitectuur de risico s geïnventariseerd en gerelateerd aan de verschillende kwaliteitsattributen. Op basis van de kwaliteitsattributen hebben wij de risico s geclassificeerd naar informatiebeveiligingsrisico s en overige risico s. Op basis van de risicoanalyse zijn beheersmaatregelen gedefinieerd die de grondslag vormen voor het toetsingskader. Het toetsingskader bevat uitsluitend risico s en beheersmaatregelen op het gebied van informatiebeveiliging. In het toetsingskader worden de feitelijke normen uitgewerkt in termen van beheersmaatregelen. Bij de samenstelling van het toetsingskader is niet alleen gebruik gemaakt van de door UVIT gebruikte kwaliteitsmodellen, maar ook van diverse andere relevante informatiebronnen. Tot slot hebben wij de risico s ingedeeld naar een 5-tal aandachtsgebieden waaronder beleid, autorisatiebeheer, personeel, wijzigingsbeheer en monitoren van systemen. 5.2 Het toetsingskader Op de volgende pagina treft u het toetsingskader aan. Voor de volledigheid geven we een korte toelichting op de gebruikte kolommen. 1. Aandachtsgebied: Hierin wordt invulling gegeven aan de 5 aandachtsgebieden zoals beschreven in paragraaf Kwaliteitsaspect Informatiebeveiliging: Deze kolom bevat de kwaliteitsaspecten op het gebied van Informatiebeveiliging (BIV), zoals beschreven in paragraaf Risicobeschrijving: Hierin zijn de risico s afkomstig uit de workshop beschreven. 4. Datawarehouse Laag: Hierin wordt invulling gegeven aan de lagen zoals wij die benoemd hebben in paragraaf Nr: Betreft het nummer van de beheersmaatregel. 6. Beheersmaatregel: In deze kolom staat de beheersmaatregel beschreven waarmee het bijbehorende risico kan worden verkleind. Ten aanzien van het gebruik van het toetsingkader geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 27-40

28 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 28-40

29 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 29-40

30 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 30-40

31 6 Samenvatting Dit hoofdstuk omvat een managementsamenvatting en beschrijft de aanleiding, doel en aanpak van het onderzoek evenals de belangrijkste bevindingen en conclusies die gedurende het onderzoek naar voren zijn gekomen. In het kader van de afronding van de postgraduate IT audit opleiding is een onderzoek uitgevoerd naar de wijze waarop een business intelligence systeem op het gebied van informatiebeveiliging getoetst kan worden. De keuze is mede ingegeven doordat er weinig tot geen informatie voorhanden is en wij voorzien in een toenemende vraag om dergelijke systemen te beoordelen. Daarnaast heeft UVIT de afgelopen jaren een serieuze achterstand opgelopen op het gebied van informatiebeveiliging. Het uiteindelijke doel van het onderzoek is het realiseren van een toetsingskader. Dit toetsingskader kan zowel worden gebruikt bij de totstandkoming als bij de beoordeling van een bestaande business intelligence systeem. Het toetsingskader is tot stand gekomen door middel van literatuurstudie en de resultaten die voort zijn gekomen uit het praktijkonderzoek. Het onderzoek heeft zich beperkt tot de business intelligence systemen van UVIT. UVIT is de fusie organisatie tussen Univé, VGZ, IZA en Trias. Hieronder een opsomming van de belangrijkste bevindingen en conclusies die gedurende de literatuurstudie en praktijkonderzoek naar voren zijn gekomen. Literatuurstudie: Er bestaat geen eenduidige definitie voor het begrip business intelligence waarin iedereen zich kan vinden. We kunnen vaststellen dat business intelligence zich nadrukkelijk op de grens bevindt tussen organisatie en techniek. Business intelligence is in de eerste plaats een set van structurele en continue activiteiten. Business intelligence is daarom een zich steeds herhalende cyclisch proces en geen éénmalig afgebakende (ICT) project. Vrijwel alle organisaties hebben te maken met de zogenoemde informatiekloof. Deze kloof is ontstaan door de spanning tussen enerzijds de beschikbare tijd om op basis van de relevante informatie beslissingen te nemen en actie te ondernemen en anderzijds de benodigde tijd om relevante te krijgen door gegevens te verzamelen. De inrichting en uitvoering van business intelligence kan helpen de informatiekloof te overbruggen. In essentie verschilt een business intelligence systeem nauwelijks van een traditioneel Informatiesysteem. De basisfuncties als invoer, verwerken en output van een informatiesysteem zijn terug te vinden in de basisarchitectuur van een business intelligence systeem. Het kenmerkende verschil tussen operationele systemen en business intelligence systemen is de aanwezigheid van gegevens. In tegenstelling tot operationele systemen moeten business intelligence systemen gebruikmaken van bestaande gegevens en definities. Het datawarehouse vormt het hart van de business intelligence systeem en is daardoor de meest kritische component in het geheel. Een datawarehouse is een naar onderwerp gestructureerde database, met geïntrigeerde, tijdsafhankelijke gegevens die nauwelijks veranderen, ter ondersteuning van het beslissingsproces van managers. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 31-40

32 Praktijkonderzoek: Alle onderzochte business intelligence systemen bevatten vertrouwelijke gegevens. Dit betekent dat het kwaliteitsaspect exclusiviteit een belangrijk aspect is in dergelijke systeem. Voorts hebben we geconstateerd dat de huidige inrichting op dit aspect als niet voldoende wordt ervaren. Door het verantwoordelijk management wordt minder belang gehecht aan het kwaliteitsaspect beschikbaarheid. De reden hiervoor is dat bij problemen of verstoringen de operationele bedrijfsvoering niet geraakt wordt en deze ongestoord door kan gaan. Hiermee stellen wij vast dat het kwaliteitsaspect beschikbaarheid een minder belangrijke rol speelt bij een business intelligence systeem. Uit de meting blijkt dat de kwaliteitsattributen behorende bij het kwaliteitsaspect integriteit voldoende aandacht heeft bij het management. Tevens hebben we vastgesteld dat de inrichting door het management als voldoende wordt beschouwd. Uit het voorgaande moge duidelijk zijn dat het verantwoordelijk management de taak heeft om business intelligence systemen adequaat in te richten en potentiële risico s op een aanvaarbaar niveau te brengen door afdoende beheersmaatregelen in te richten en te onderhouden. Zoals in de doelstelling aangegeven is het uiteindelijke resultaat een toetsingskader voor business intelligence systemen. Het gaat om een algemeen instrument met normen, uitgewerkt in beheersmaatregelen, die toegepast kunnen worden om de risico s rondom informatiebeveiliging te beperken. Ten aanzien van het gebruik geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan. Het toetsingskader is voorgelegd aan de interne accountantsdienst (IAD) van UVIT. De IAD heeft het toetsingskader positief ontvangen en hierbij aangegeven dat zij het auditinstrument op korte termijn zullen gaan gebruiken. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 32-40

33 Literatuurlijst Boeken Berson, A., en Smith, S.J., Datawarehousing, datamining en OLAP, Academic Service informatica, Cleton, H., Korte, R. de, en Otten, J., Verandering in Control, Auditing en Consulting Services, Delen, G.P.A.J., Kouwenhoven, H.J., en Rijsenbrij D.B.B., Kwaliteit van produkten, Cap Gemini Publishing, tweede druk, Fijneman, R., Lindgreen, E.R., en Veltman, P., Grondslagen IT-auditing, Academic Service, 2005 Philips, E., en Vriens, D., Business intelligence, Kluwer, Hamer, P. den, De organisatie van business intelligence, Academic Service, Inmon, W.H., Building the datawarehouse, John Wiley & Sons Inc., Koomen, T., Aalst, L. van der, Broekman, B., en Vroon, M., TMapNext, Tutein Nolthenius, Liautaud, B., en Hammond, M., e-business Intelligence, McGraw Hill, Loon, H. van, Sturen zonder winstoogmerk, Lias, Overbeek, P., Lindgreen, E.R., en Spruit M., Informatiebeveiliging onder controle, Pearson Education Benelux BV, Praat, J.C., en Suerink, J.M., Inleiding EDP-auditing, Ten Hagen en Stam uitgevers, Shahim, A., Logistics of information flow Towards an architectural theory of managerial information provision, Til, P. van, en Rooij, T. de, Business Intelligence, Academic Service, Verhagen, K., Datawarehousing: een inleiding, Pearson Addison Wesley, WEB-sites Vakliteratuur Business Proces Magazine, BI en BPM, oktober 2004 J.A. Rodera, M.G. Piattini, J.A. Toval, The audit of the datawarehouse framework 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 33-40

34 Begrippenlijst AFM BSC BI Business Intelligence Cobit ETL Datamarts Datawarehouse Datawarehousing OLTP Gegevensbeheer MIZ NMa Autoriteit Financiële Markten. Een instelling die toezicht houdt op het gedrag van de gehele financiële marktsector. Business Balanced Scorecard. Een instrument voor managers om de situatie binnen hun verantwoordelijke sleutelgebieden te beheersen. Het model brengt indicatoren voor financieel succes in evenwicht met indicatoren voor het klantperspectief, het perspectief van het interne bedrijfsproces en het innovatieperspectief. Zie Business Intelligence. Business Intelligence is het gerichte proces, met bijbehorende voorzieningen, om gegevens te verzamelen, te integreren en vervolgens te analyseren en de als resultaat daarvan verkregen informatie toe te passen. Control Objectives for Information and related Technology. De afkorting van het proces waarmee gegevens getransporteerd worden van de bronsystemen naar het datawarehouse-database of van de datawarehouse-database naar de datamarts. ETL staat voor de verschillende stappen in het transportproces: Extractie, Transformatie en Laden. Een selectie van relevante gegegevens uit een datawarehouse ten behoeve van de ondersteuning van een specifieke groep gebruikers of een specifiek bedrijfsproces. Een datawarehouse kan meerdere datamarts hebben. De consistentie tussen de gegevens in verschillende datamarts wordt geborgd doordat de datamarts exact dezelfde stamgegevens gebruiken. De datawarehouse ETL processen dragen hier zorg voor. Een datawarehouse is een verzameling van gegevens, vastgelegd in een database die geoptimaliseerd is voor rapportage- en analysedoeleinden. De techniek waarmee business intelligence gerealiseerd kan worden. Het ICT vakgebied dat zich bezighoudt met specificatie, ontwerp, bouw, implementatie en beheer van datawarehouses. Online Transaction Processing. OLTP-systemen zijn operationele systemen, ofwel transactie verwerkende systemen. Deze systemen ondersteunen direct het operationele proces. Het structuren en beschrijven van de gegevens en de informatie, en het inrichten van de processen voor de juiste toepassing daarvan. ManagementInformatieZorg. Eén van de business intelligence systemen van Univé. Nederlandse Mededingingsautoriteit. Uitvoeringsinstelling van de Mededingingswet. De NMa handhaaft het verbod op kartels of 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 34-40

35 misbruik van een economische machtspositie en toetst fusies en overnames. OOB-VIT UMDB UMIS UVIT Oracle Open Beleid. Het business intelligence systeem voor VGZ, IZA en Trias. UnivéMarketingDataBase. Eén van de business intelligence systemen van Univé. UnivéManagementInformatieSysteem. Eén van de business intelligence systemen van Univé. UVIT is de tijdelijk naam van een Nederlandse verzekeringsmaatschappij en ontstaan uit een fusie tussen Univé, VGZ, IZA en Trias. 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 35-40

36 Bijlage I: Kenmerken BI systemen UVIT 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 36-40

37 Bijlage II: Scoremodel BI systemen UVIT 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 37-40

38 Bijlage III: Programma workshop 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 38-40

39 Bijlage IV: Overige onderkende risico s 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 39-40

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Data Warehouse. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. Data Warehouse Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DOEL VAN

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

De visie van Centric op datamanagement

De visie van Centric op datamanagement De visie van Centric op datamanagement De vijf elementen om optimaal invulling te geven aan datamanagement Inhoudsopgave 1 Inleiding 2 2 Wat is datamanagement? 2 2.1 Actuele en statische data 3 3 De vijf

Nadere informatie

Extended ISO 9126: 2001. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Extended ISO 9126: 2001. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. Extended ISO 9126: 2001 Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Begrippenlijst Inzicht in de wereld van big data, marketing en analyse

Begrippenlijst Inzicht in de wereld van big data, marketing en analyse Begrippenlijst Inzicht in de wereld van big data, marketing en analyse 4orange, 13 oktober 2015 Hogehilweg 24 1101 CD Amsterdam Zuidoost www.4orange.nl 2 Inhoud Achtergrond & Aanleiding... 3 A... 3 B...

Nadere informatie

occurro Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis

occurro Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis Vertrouwt u uw gegevens? BI wordt volwassen Kasper de Graaf 31 maart 2009 De kracht van BI en Architectuur in de praktijk - Centraal Boekhuis BI & Data Warehousing Business Intelligence: Het proces dat

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Business Risk Management? Dan eerst data op orde!

Business Risk Management? Dan eerst data op orde! Business risk management? Dan eerst data op orde! Kwaliteit, leveringsbetrouwbaarheid, klantgerichtheid, kostenbewustzijn en imago zijn kernwaarden in de bedrijfsvoering die door nutsbedrijven hartelijk

Nadere informatie

Business Intelligence. Toepassing BI Database en Datawarehouse BI proces BI Organisatie Implementatie BI

Business Intelligence. Toepassing BI Database en Datawarehouse BI proces BI Organisatie Implementatie BI Business Intelligence Toepassing BI Database en Datawarehouse BI proces BI Organisatie Implementatie BI Toepassing BI (Operationele) sturing Financieel (BBSC) Performance NIET voor ondersteuning proces

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Functieprofiel: Medewerker Gebouw en Techniek Functiecode: 0702

Functieprofiel: Medewerker Gebouw en Techniek Functiecode: 0702 Functieprofiel: Techniek Functiecode: 0702 Doel Uitvoeren van onderhoudswerkzaamheden, het doen van aanpassingen, alsmede bedienen van installaties/machines, binnen geldende werkprocessen en afspraken

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties Hoe zorgen we ervoor dat we nieuwe diensten en producten soepel in onze bedrijfsvoering op kunnen nemen? Hoe geven we betere invulling

Nadere informatie

Historische informatie in een Spatial Dynamisch Data Warehouse. Wil de Jong Enterprise Architect

Historische informatie in een Spatial Dynamisch Data Warehouse. Wil de Jong Enterprise Architect Historische informatie in een Spatial Dynamisch Data Warehouse Wil de Jong Enterprise Architect Spatial Eye Synergiedag 2 februari 2012 Aanleiding Business Intelligence project De oplossing en aanpak BI-Visie

Nadere informatie

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA)

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA) READ: de informatiestrategieaanpak van (SKA) INLEIDING HET SPANNINGSVELD TUSSEN KORTETERMIJNVERWACHTINGEN EN LANGETERMIJNBEHOEFTEN In veel bedrijven volgen businessgerelateerde veranderingen elkaar snel

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Regas als bedrijf. Regas B.V. is een landelijke speler en actief binnen

Regas als bedrijf. Regas B.V. is een landelijke speler en actief binnen Regas als bedrijf Regas B.V. is een landelijke speler en actief binnen de geestelijke gezondheidszorg en jeugdzorg. Binnen de maatschappelijke dienstverlening en maatschappelijke opvang/ vrouwenopvang

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

Lean Six-Sigma. HealthRatio Operational Excellence

Lean Six-Sigma. HealthRatio Operational Excellence Lean Six-Sigma HealthRatio Operational Excellence De zorg werkt in een roerige omgeving Veel veranderingen leggen extra druk op zorginstellingen om goedkoper, efficiënter en transparanter te kunnen werken.

Nadere informatie

Bantopa Terreinverkenning

Bantopa Terreinverkenning Bantopa Terreinverkenning Het verwerven en uitwerken van gezamenlijke inzichten Samenwerken als Kerncompetentie De complexiteit van producten, processen en services dwingen organisaties tot samenwerking

Nadere informatie

Even voorstellen: Historie

Even voorstellen: Historie Postbus 33 5160 AA Sprang-Capelle T 0416 280 880 F 0416 273 322 E info@vanscholladvies.nl I www.vanscholladvies.nl BTW-nr NL8057.27.826.B.01 K.v.K. Tilburg nr. 18047302 Rabobank 33.42.24.578 Even voorstellen:

Nadere informatie

Werkgroep Integrale SPI Strategieën

Werkgroep Integrale SPI Strategieën Werkgroep Integrale SPI Strategieën Mario van Os Sogeti Nederland B.V. 10 november 2005 Agenda werkgroep 16:40 Eindresultaat Werkgroep Modellen: wanneer wat door Mario van Os, Sogeti 17:15 Presentatie

Nadere informatie

Ant: B Dit is het doel van het proces.

Ant: B Dit is het doel van het proces. In welk proces vormt het voor aanpassingen in de informatievoorziening beschikbaar gestelde budget een mandaat voor besluitvorming? A: Contractmanagement B: Financieel management C: Transitie D: Wijzigingenbeheer

Nadere informatie

Whitepaper implementatie workflow in een organisatie

Whitepaper implementatie workflow in een organisatie Whitepaper implementatie workflow in een organisatie Auteur: Remy Stibbe Website: http://www.stibbe.org Datum: 01 mei 2010 Versie: 1.0 Whitepaper implementatie workflow in een organisatie 1 Inhoudsopgave

Nadere informatie

Haal het beste uit uw gegevens met geïntegreerde Business Intelligence

Haal het beste uit uw gegevens met geïntegreerde Business Intelligence Exact Insights powered by QlikView Haal het beste uit uw gegevens met geïntegreerde Business Intelligence Met Exact Insights zet u grote hoeveelheden data moeiteloos om in organisatiebrede KPI s en trends.

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Exact Synergy Enterprise. Krachtiger Financieel Management

Exact Synergy Enterprise. Krachtiger Financieel Management Exact Synergy Enterprise Krachtiger Financieel Management 1 Inleiding Waar gaat het om? Makkelijke vragen zijn vaak het moeilijkst te beantwoorden. Als het hectische tijden zijn, moet u soms veel beslissingen

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Gratis kaart. Complete en betaalbare MKB-oplossing

Gratis kaart. Complete en betaalbare MKB-oplossing Complete en betaalbare MKB-oplossing De Oracle Business Intelligence Suite is een open en complete oplossing waarmee u iedereen binnen de organisatie van de juiste informatie kunt voorzien: De gegevens

Nadere informatie

Incore Solutions Learning By Doing

Incore Solutions Learning By Doing Incore Solutions Learning By Doing Incore Solutions Gestart in November 2007 Consultants zijn ervaren met bedrijfsprocessen en met Business Intelligence Alle expertise onder 1 dak voor een succesvolle

Nadere informatie

Uitgangspunten en randvoorwaarden bij implementatie BiSL

Uitgangspunten en randvoorwaarden bij implementatie BiSL Uitgangspunten en randvoorwaarden bij implementatie BiSL Auteurs: Frank van Outvorst, Henri Huisman Datum: Januari 2009 Inleiding Veel organisaties zijn momenteel bezig met het (her)inrichten van de vraagzijde

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Functieprofiel: Beheerder ICT Functiecode: 0403

Functieprofiel: Beheerder ICT Functiecode: 0403 Functieprofiel: Beheerder ICT Functiecode: 0403 Doel Zorgdragen voor het doen functioneren van ICT-producten en de ICTinfrastructuur en het instandhouden van de kwaliteit daarvan, passend binnen het beleid

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2 Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Bantopa (Samen)werken aan Samenwerken

Bantopa (Samen)werken aan Samenwerken Bantopa (Samen)werken aan Samenwerken Masterclass - Alliantievaardigheden Een praktische leidraad voor toekomstige alliantiemanagers Samenwerken als Kerncompetentie De complexiteit van producten, processen

Nadere informatie

Archimate risico extensies modelleren

Archimate risico extensies modelleren Archimate risico extensies modelleren Notatiewijzen van risico analyses op basis van checklists versie 0.2 Bert Dingemans 1 Inleiding Risico s zijn een extra dimensie bij het uitwerken van een architectuur.

Nadere informatie

Eerste uitwerking strategisch thema 'Betrouwbare digitale informatie is de basis'

Eerste uitwerking strategisch thema 'Betrouwbare digitale informatie is de basis' Eerste uitwerking strategisch thema 'Betrouwbare digitale informatie is de basis' versie 30 augustus 2013 De beschikbaarheid van betrouwbare digitale overheidsinformatie is de basis voor het goed kunnen

Nadere informatie

Functioneel beheer in Nederland

Functioneel beheer in Nederland Functioneel beheer in Nederland Achtergrond Op initiatief van Marjet Smits (ad Matres), Martijn Buurman (Functioneel-beheerder.com) en Günther Nijmeijer (inmezzo) is eind 2012 de eerste verkiezing voor

Nadere informatie

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014 Dienstverlening Procesmanagement Informatiemanagement 18 september 2014 Veel vragen gesteld en beantwoord, zoals: Wat draagt informatiemanagement bij aan dienstverlening? Visie dienstverlening en digitaal

Nadere informatie

Gebruik Kwaliteitseisen Model (KEM)

Gebruik Kwaliteitseisen Model (KEM) Gebruik Kwaliteitseisen Model (KEM) De business moet de eisen opstellen waaraan de hardware & software moet voldoen. Tegelijkertijd is het de business die vaak niet weet welke eisen je aan hardware & software

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Van Samenhang naar Verbinding

Van Samenhang naar Verbinding Van Samenhang naar Verbinding Sogeti Page 2 VAN SAMENHANG NAAR VERBINDING Keuzes, keuzes, keuzes. Wie wordt niet horendol van alle technologische ontwikkelingen. Degene die het hoofd koel houdt is de winnaar.

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics Business Analytics IT in charge Met resultaten CIO Survey en 9 CIO s aan het woord Informatie is van en voor mensen CIO speelt belangrijke rol in nieuw spanningsveld Door Guus Pijpers Een van de eerste

Nadere informatie

Rapport over het werkprofiel van Software engineer (sr)

Rapport over het werkprofiel van Software engineer (sr) Rapport over het werkprofiel van Software engineer (sr) Identificatienummer: Publicatiedatum: 19 november 2015 Leeswijzer Dit rapport omschrijft het werkprofiel van 'Software engineer (sr)' zoals die door

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Form follows function -Louis Henry Sullivan

Form follows function -Louis Henry Sullivan www.grundsatzlich-it.nl Form follows function -Louis Henry Sullivan Datawarehouse: vorm en functie Ronald Kunenborg licentie: Datawarehouse: vorm en functie Een data warehouse komt voort uit pijn Die pijn

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

VOICE OF THE CUSTOMER

VOICE OF THE CUSTOMER 4/20/ E-BOOK VOICE OF THE CUSTOMER Gratis e-book leansixsigmatools.nl Introductie Bij Six Sigma staat het denken vanuit de behoeften van de klant centraal. Juist de vertaling van de stem(men) van de klant(en)

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Deelprojectplan. Bestuurlijke Informatie Voorziening

Deelprojectplan. Bestuurlijke Informatie Voorziening Deelprojectplan Bestuurlijke Informatie Voorziening Beheersing van risico s en verbetering van de besturing van de Hogeschool van Utrecht, door middel van effectieve en efficiënte informatiestromen, als

Nadere informatie

De online bedrijfsanalysetool PARTNERPROGRAMMA

De online bedrijfsanalysetool PARTNERPROGRAMMA De online bedrijfsanalysetool PARTNERPROGRAMMA MKB ondernemer wil duiding cijfers & strategisch advies van zijn accountant Uitkomst wetenschappelijk onderzoek onder ondernemers Klantonderzoek SRA en Universiteit

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Artikel 4 De directeur van de beheerseenheid kan de uitvoering van de bepalingen van dit besluit mandateren aan één of meer medewerkers.

Artikel 4 De directeur van de beheerseenheid kan de uitvoering van de bepalingen van dit besluit mandateren aan één of meer medewerkers. 4C. BESLUIT INFORMATIEBEHEER REGIO TWENTE - besluit dagelijks bestuur van 20 maart 1998 Hoofdstuk 1 Algemene bepalingen Artikel 1 Dit besluit verstaat onder: a. documenten de in de wet in artikel 1, onder

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

De kracht van BI & Architectuur

De kracht van BI & Architectuur Samen boeken we succes De kracht van BI & Architectuur in de praktijk Business Intelligence Symposium 2009 Emiel van Bockel BI Awards 2009 2 Voorstellen Emiel van Bockel - Manager Information Services

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Duurzaamrendementvan software

Duurzaamrendementvan software Duurzaamrendementvan software Week van Kwaliteitsmanagement 3 oktober 2011 Joost Kouwenberg Agenda Wie zijn wij? Problematiekbij klanten Aanpak Reliant Consultancy Praktijkvoorbeeld Samenwerkingmet Mavim

Nadere informatie

Wij testen..maar....wat test jij?

Wij testen..maar....wat test jij? Wij testen..maar....wat test jij? Wij testen maar wat test jij? Harm Pul, Busineslinemanager Functioneel Beheer TMAP dag 2015, 29 september 2015 Bussum 2 Herkent u dit? De gebruikers testen dit straks

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Ordening van processen in een ziekenhuis

Ordening van processen in een ziekenhuis 4 Ordening van processen in een ziekenhuis Inhoudsopgave Inhoud 4 1. Inleiding 6 2. Verantwoording 8 3. Ordening principes 10 3.0 Inleiding 10 3.1 Patiëntproces 11 3.2 Patiënt subproces 13 3.3 Orderproces

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Facilitair accountmanager

Facilitair accountmanager Facilitair accountmanager Doel Inventariseren en analyseren van de wensen en ervaringen van klanten van de dienst ten aanzien van de dienstverlening en het uitzetten van daaruit voorvloeiende activiteiten,

Nadere informatie

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit MVO-Control Panel Instrumenten voor integraal MVO-management Intern MVO-management Verbetering van motivatie, performance en integriteit Inhoudsopgave Inleiding...3 1 Regels, codes en integrale verantwoordelijkheid...4

Nadere informatie

ROAD MAP VOOR HET CONCRETISEREN EN HET IMPLEMENTEREN VAN DE STRATEGIE Strategisch performance management

ROAD MAP VOOR HET CONCRETISEREN EN HET IMPLEMENTEREN VAN DE STRATEGIE Strategisch performance management De road map is erop gericht om het beoogde succes van een organisatie (de strategische ambitie) te helpen maken. De road map gaat in op hoe de weg naar het succes expliciet en concreet te maken Jan Scheffer

Nadere informatie