EEN GENERIEK MODEL VOOR EEN IN-CONTROL STATEMENT BIJ KEY MANAGEMENT

Maat: px
Weergave met pagina beginnen:

Download "EEN GENERIEK MODEL VOOR EEN IN-CONTROL STATEMENT BIJ KEY MANAGEMENT"

Transcriptie

1 EEN GENERIEK MODEL VOOR EEN IN-CONTROL STATEMENT BIJ KEY MANAGEMENT Versie: 1.6 Datum: 19 mei 2007 De sleutel tot succes?

2 Voorwoord Ter afsluiting van onze studie EDP-audit aan de vrije Universiteit amsterdam hebben wij een scriptie geschreven over de vraag of er een generiek model is om het key management proces uiteindelijk in control te verklaren. Key management is het proces dat cryptografie ondersteunt, die op haar beurt de bedrijfsdoelstellingen binnen de Rabobank ondersteunt. Vanuit de vrije Universiteit amsterdam is de heer Bart Bokhorst aangewezen als externe scriptiebegeleider. De gesprekken met Bart hebben tot interessante discussies geleid en ons uiteindelijk in de juiste richting gestuurd. We zijn hem dan ook zeer erkentelijk voor zijn kritische doch waardevolle opmerkingen waardoor we steeds een stap voorwaarts hebben kunnen maken. Naast Bart heeft Paul Samwel als interne scriptiebegeleider gefungeerd. Ook de gesprekken met Paul hebben geleid tot meer doordachte keuzes en waren daardoor van toegevoegde waarde voor de scriptie. We willen Paul hiervoor dan ook hartelijk danken. Buiten de scriptiebegeleiders zijn er nog diverse ander personen geweest die we dank verschuldigd zijn: naast de personen die vermeld staan in de lijst van geïnterviewden, is dat niet op de laatste plaats het thuisfront. Ronald van Erven Arie Schilp Teamnummer 719 Pagina 1 van 32

3 Inhoudsopgave VOORWOORD... 1 MANAGEMENT SAMENVATTING INLEIDING AANLEIDING TOELICHTING OMGEVING EN PROBLEMATIEK AFBAKENING EN PROBLEEMSTELLING Subvragen ONDERZOEKSMODEL GEGEVENS LEESWIJZER UITWERKING PROBLEEMSTELLING IN CONTROL Definitie In control In-control statement Eisen aan een in-control statement (ICS) CRYPTOGRAFIE Wat is cryptografie Vormen van cryptografie KEY MANAGEMENT Key management als een proces BEHEERSPROCESSEN STANDAARD BEHEERSPROCESSEN (ITIL) MODELLERING PROTOTYPEMODEL GENERIEK MODEL Configuration Management (ITIL Service Support)...23 Incident Management (ITIL Service Support)...24 Problem Management (ITIL Service Support)...24 Change Management (ITIL Service Support)...24 Release Management (ITIL Service Support)...25 Availability Management (ITIL Service Delivery)...25 Service Level Management (ITIL Service Delivery) CONCLUSIE BIJLAGE A. AFKORTINGEN & DEFINITIES BIJLAGE B. LITERATUURLIJST BIJLAGE C. GEÏNTERVIEWDEN Teamnummer 719 Pagina 2 van 32

4 Management samenvatting Beursgenoteerde ondernemingen, en banken in het bijzonder, hebben de afgelopen jaren met steeds meer wet- en regelgeving te maken gekregen. De mogelijke sancties, zoals strafrechtelijke vervolging, waarschuwingen en boetes of het verplicht reserveren van (extra) kapitaal, maken dat er meer noodzaak is om aan te tonen dat ze processen (voldoende) beheersen. Hierbij is een verschuiving waar te nemen van generieke naar specifieke processen. Met een In-Control Statement in het jaarverslag of een rapportage standaard, geeft de organisatie aan de processen voldoende te beheersen. Zo worden processen ondersteund door ICT-diensten. In het geval van betalingsverkeer wordt er gebruikgemaakt van cryptografische diensten. Deze diensten zijn nodig om aan de kwaliteitseisen van het betalingsverkeerproces te voldoen. Afhankelijk van de cryptografische toepassing kunnen vertrouwelijkheid, integriteit, authenticiteit en onweerlegbaarheid in het betalingsverkeerproces gewaarborgd worden. Een cryptografische dienst steunt volledig op sleutels. De sleutels zijn het geheim op basis waarvan vertrouwelijke informatie wordt uitgewisseld en vormen hierdoor een belangrijk element. De sleutels hebben een bepaalde levensloop vanaf generatie tot en met vernietiging. Het beheer van de sleutels tijdens deze levensloop, het key management, is een voorwaarde voor succes. Daarom zullen alle processen rondom het key management aantoonbaar beheerst moeten worden. Bedrijfsdoelstellingen Primaire bedrijfsprocessen om doelstellingen te behalen Informatie in processen Kwaliteitseisen Maatregel: cryptografie Key Management Zo wordt er binnen de Rabobank gebruikgemaakt van een groot aantal cryptografische methodieken ter In Control Statement ondersteuning van het betalingsverkeer. Bij dit proces zijn verschillende partijen betrokken voor datapreparatie, (betaal)pas aanmaken Figuur1: proces overzicht en afhandeling van de geldtransacties die daarmee verricht wordt. Voor dit laatste is een scala van gelduitgevende of -innemende apparatuur aanwezig. Hierop worden initieel en periodiek verschillende sleutels geladen. Door de diversiteit van producten en apparaten binnen de verschillende productgroepen van de bank, is het bijbehorende key management in de loop der tijd door verschillende afdelingen uitgevoerd of uitbesteed. Diverse reorganisaties van de afgelopen jaren hebben bijgedragen aan deze versnippering. De uitstroom van medewerkers met deze specialistische kennis heeft tot gevolg dat key management op dit moment onvoldoende aandacht krijgt en waarschijnlijk onvoldoende beheerst wordt. Eisen Toetsing In Control en In Control Statement Generiek beheerproces Control Objectives Teamnummer 719 Pagina 3 van 32

5 Door de toegenomen complexiteit en veelvoud van apparaten en technieken is het onmogelijk key management niet specifiek te behandelen ( er even bij te doen ). Deze problematiek willen we oplossen door key management centraal in te richten inclusief bijbehorende processen. Omdat we een sleutel zien als een asset, hebben we onderzocht of we deze processen kunnen koppelen aan ITIL. Deze best practice heeft als voordeel dat de organisatie hier al mee werkt en dus geen separate introductie behoeft. Een potentieel gevaar van ITIL is echter de massaliteit. Er zijn vele processen die ingericht kunnen worden. Omwille van de pragmatische insteek hebben we daarom keuzes gemaakt voor de ITIL-processen waarmee key management voldoende ondersteund kan worden. Centraal hierbij staat de Configuration Management Data Base, waarin alle meta-informatie van sleutels vastgelegd wordt en die input is voor de overige processen Change Management, Problem Management, Incident Management, Availability Management, Release Management en Service-Level Management. Om de hierboven beschreven complexe omgeving te onderzoeken is onze onderzoeksvraag: Is het mogelijk om een generiek model te definiëren waarmee een in-control statement voor het proces key management (KM) kan worden afgegeven? Tijdens ons onderzoek hiernaar hebben we de key life cycle in relatie tot de ITIL-processen uitgezet. Hierbij is gekeken welke ITIL-processen een toegevoegde waarde kunnen hebben tot de verschillende fases in de key life cycle. De aanvulling van het ene generieke model met het andere generieke model levert voldoende synergie op om dit als nieuw generiek model te kwalificeren. Wij zijn van mening dat we de onderzoeksvraag hiermee positief kunnen beantwoorden. Met het nieuwe model is het key management proces concreter meetbaar voor auditors. Zij kunnen hierdoor aan het management en de directie een in-control statement afgeven omtrent het beheer van de cryptografische diensten. Teamnummer 719 Pagina 4 van 32

6 1 Inleiding Ter ondersteuning van bedrijfsprocessen en bedrijfsvoering maakt de Rabobank gebruik van ICT-diensten en ICT-dienstverleners, en ook van cryptografische diensten om zo te voldoen aan de, door commerciële afdeling en directie gestelde kwaliteitseisen met betrekking tot de betrouwbaarheid en vertrouwelijkheid van het data- en transactieverkeer van betalingssystemen. Omdat het beheer van ICT-diensten veelal over meerdere interne afdelingen gaat en zelfs taken geoutsourcet worden, is het van belang dat de stakeholders, i.c. de commerciële afdelingen en de directie, garanties krijgen over de geleverde ICT-dienstverlening. Deze garanties zijn onder andere te geven via service level agreements, doch de praktijk wijst uit dat bedrijven en afdelingen steeds vaker een in-control statement (ICS) moeten afgeven op de specifieke rol die zij in de ICT-dienstverlening vervullen. In een dienst als cryptografie speelt key management een kritieke rol. Key management kan bij grote organisaties, onder andere door functiescheiding, afdelingoverschrijdend zijn. En daarom is een ICS wenselijk. Indien de focus gelegd wordt op het stellen van kwaliteitseisen door de commerciële afdelingen en/of de directie, moet men denken aan eisen als: - voldoen aan wettelijke eisen; - bedrijfsdoelstellingen; - risico s en geaccepteerde risico s in ICT-infrastructuur en bedrijfsprocessen. 1.1 Aanleiding De Rabobank maakt gebruik van cryptografische diensten en vele sleutels die beheerd moeten worden. Omdat cryptografie binnen de Rabobank voor steeds meer toepassingen binnen steeds meer afdelingen (en bijbehorende producten) gebruikt wordt, zijn in de loop der tijd een niet eenduidig overzicht en beheer van key management activiteiten ontstaan. Ook de diverse reorganisaties en het personeelsverloop hebben hier een bijdrage aan geleverd. Het gevolg is een niet beheerste omgeving, doordat: - kennis en verantwoordelijkheden niet eenduidig belegd zijn, waarmee de continuïteit in gevaar komt; - het huidige proces niet beschreven staat, maar steunt op informele contacten; - er niet volledig voldaan wordt aan de geldende normen; - er geen duidelijke functiescheiding aanwezig is. Het niet eenduidig beheersen van het key management proces leidt tot een inefficiënte werkwijze waarbij tevens niet altijd voldaan wordt aan de diverse key management wetten, standaarden en richtlijnen die voor de diverse bankproducten van toepassing zijn. Vooral de externe wet- en regelgeving, bijvoorbeeld SOx, Basel II, ROB en Tabaksblat, stelt steeds meer eisen aan processen en vraagt hiervoor om een zogenaamde in-control statement, waarmee de onderneming aangeeft processen (voldoende) te beheersen. Uiteraard moet hierbij opgemerkt worden dat een dergelijk in-control statement alleen afgegeven zou moeten worden bij processen waarbij het ontbreken van een beveiligingsmaatregel als cryptografie, ernstige operationele, financiële, juridische en imagoschade voor het de organisatie met zich mee zou brengen. Teamnummer 719 Pagina 5 van 32

7 1.2 Toelichting omgeving en problematiek Omgeving Binnen het betalingsverkeer wordt een onderscheid gemaakt tussen het pas-uitgifte proces, issuing en transactie verwerkende proces, acquiring. Beiden hebben veel vertrouwelijke communicatie tussen verschillende partijen gemeen en zullen kort toegelicht worden. Issuing Issuing is het proces van (betaal) pas initiatie en aanmaak. De klant verzoekt de bank om een betaalpas. De bank verzamelt de benodigde informatie en stuurt die door naar een externe partij die de datapreparatie uitvoert. In dat proces worden specifieke pasgegevens aangemaakt en wordt de pincode gegenereerd. Deze wordt vanuit deze externe partij naar de klant gestuurd. De data is hiermee klaar om op de magneetstrip en/of chip op de pas gedrukt te worden en wordt doorgestuurd naar de partij die de pas fysiek aanmaakt. Na aanmaak van de pas wordt deze naar de klant gestuurd waarmee deze de pas en bijbehorende pincode dus in zijn bezit heeft. Bij dit proces zijn drie verschillende (externe) partijen betrokken waartussen data getransporteerd moet worden. Ten behoeve van de vertrouwelijkheid en integriteit van de data wordt tijdens deze communicatiestromen cryptografie toegepast. Acquiring Nu de klant in het bezit is van de pas, wil hij deze kunnen gebruiken voor geldmutaties. Hierbij kan geld opgenomen, gestort of overgemaakt worden. Voor deze toepassingen wordt gebruik gemaakt van een scala van apparaten zoals bijvoorbeeld een geldautomaat (opname), een stortingsapparaat (geld storten op rekening) of een betaalautomaat (overmaking). Bij initialisatie van deze apparaten dient een (hoofd)sleutel geladen te worden. Omdat hierbij gebruik wordt gemaakt van verschillende apparaten met weer verschillende producenten, ontstaat een netwerk van partijen waartussen sleutels uitgewisseld moeten worden. Net als de communicatiestromen bij issuing, wordt cryptografie toegepast ten behoeve van de vertrouwelijkheid en integriteit van de data. De communicatiestromen bij acquiring worden transactiestromen genoemd. Omdat cryptografie steunt op cryptografische sleutels, is het key management van groot belang. Indien sleutels niet zorgvuldig en overeenkomstig (bancaire) normen worden beheerd, kunnen bovengenoemde processen leiden tot financiële en/of imago schade. Teamnummer 719 Pagina 6 van 32

8 1.3 Afbakening en probleemstelling De typologie en het proces zijn ten aanzien van key management te kenmerken als een grote gedistribueerde omgeving. Voor dit proces binnen deze omgeving willen we onderzoeken of hier een generiek model voor te ontwikkelen is. Dit maakt dat we geen specifieke aandacht besteden aan andere aspecten van key management zoals: - het certificeren van asymmetrische sleutels; - cryptografie ten behoeve van opslag van gegevens (file encryptie); - cryptografie ten behoeve van secure (Pretty Good Privacy); - cryptografie voor koppelingen op basis van Vitual Private Network. De probleemstelling voor ons onderzoek luidt: Is het mogelijk om een generiek model te definiëren waarmee een in-control statement voor het proces key management (KM) kan worden afgegeven? Met generiek bedoelen we hier een algemeen toepasbare methode met algemeen toegepaste middelen, waardoor een synergie ontstaat. We gaan op zoek naar gestandaardiseerde processen die van toepassing kunnen zijn voor key management. Hierbij wordt gekeken of deze processen in zo veel mogelijk bestaande vormen ondersteuning kunnen geven. Het voordeel hiervan is dat men vaak al bekend is met het werken volgens deze methoden. Een ander belangrijk voordeel is dat een standaard proces eenvoudiger te beoordelen is Subvragen Deze onderzoeksvraag wordt vanuit de volgende subvragen geconcretiseerd: 1. Wat is een standaard in-control statement (ICS)? 2. Wat is cryptografie? 3. Wat is key management? 4. Welke standaard is er voor een in-control statement? 5. Welk generieke beheersprocessen kan gebruikt worden voor key management? Teamnummer 719 Pagina 7 van 32

9 1.4 Onderzoeksmodel Om het onderzoek uit te voeren, is een onderzoeksmodel gedefinieerd zoals weergegeven wordt in figuur 2. Het model beschrijft de stappen die doorlopen zijn. Figuur 2: Onderzoeksmodel Teamnummer 719 Pagina 8 van 32

10 1.5 Gegevens Betreft Gegevens 1. Auteurs Naam AH Schilp (Arie) R van Erven (Ronald) Student nummer Naam werkgever Rabobank Nederland / Groep ICT; Informatie Security Manager Adres Postbus HG Utrecht Tele2-Versatel; ICT Security officer JJP Oudpad 15; 3822 EN; Amersfoort Telefoonnummer ; (altijd naar mobiel doorgeschakeld); adres 2. Interne begeleider Naam 3. Externe begeleider PH Samwel RE(Rabobank Nederland, Hoofd Informatie en Risico Management; tel: Naam B. Bokhorst ( ; telefoon: / ) 4. File Leeswijzer In dit hoofdstuk is de aanleiding voor het onderzoek geformuleerd en is de probleemstelling verwoord. Hoofdstuk 1 is ingericht voor de inleidende en algemene informatie. In hoofdstuk 2 geven we de achtergrondinformatie van de aspecten die van belang waren voor ons onderzoek, te weten in control, cryptografie en key management. In hoofdstuk 3 zijn we nader ingegaan op het standaard beheerproces ITIL. De relatie tussen key management en ITIL, de zogenaamde modellering, wordt in hoofdstuk 4 beschreven. Het generieke model volgt in hoofdstuk 5. Hoofdstuk 6 ten slotte bevat onze conclusie en het antwoord op onze onderzoeksvraag.

11 2 Uitwerking probleemstelling 2.1 In control Aanleiding Voordat we ingaan op in control, eerst een korte toelichting op de oorsprong hiervan. De aanleiding is vooral de externe wet- en regelgeving. De regelingen van Sarbanes Oxley Act (SOx), Regeling Organisatie en Beheersing (ROB), Basel II en de Code Tabaksblat hebben ervoor gezorgd dat organisaties meer belang (moeten) hechten aan het in control zijn en de rapportage daarvan. Sarbanes-Oxley Act Naar aanleiding van de boekhoudfraudes, is in 2002 in de Verenigde Staten de U.S. Public Company Accounting Reform and Investor Protection Act van kracht geworden. Deze is inmiddels meer bekend als de Sarbanes-Oxley Act, ook wel afgekort tot SOx. Doel was om frauduleuze praktijken binnen beursgenoteerde organisaties tegen te gaan. Alle in de VS aan de beurs genoteerde organisaties dienen te voldoen aan de Sarbanes-Oxley reglementen. Handelspartners van de ondernemingen die aan de SOx voldoen, worden ook meegezogen in deze stroom: de informatieprocessen van handelspartners worden immers gekoppeld. Feitelijk stelt SOx daarmee haar eisen ook aan deze ondernemingen. SOx dient ertoe te leiden dat de (totstandkoming van de) financiële verslaglegging betrouwbaar is. Betrouwbaar in de termen van juist en volledig. Het management moet in control zijn, hetgeen betekent dat processen beschreven dienen te zijn inclusief de beheersingsmaatregelen binnen de processen. Regeling Organisatie en Beheersing De Regeling Organisatie en Beheersing (ROB) is opgesteld door De Nederlandsche Bank (DNB) en vervangt een aantal richtlijnen en aanbevelingen die DNB in het verleden heeft uitgevaardigd ten behoeve van financiële instellingen. De regeling heeft tot doel richtlijnen en aanbevelingen te geven voor de organisatie en beheersing van bedrijfsprocessen en onderscheidt de volgende specifieke risicogebieden: - Kredietrisico - Marktrisico - Liquiditeitsrisico - Operationeel risico - Informatietechnologie - Uitbesteding van (delen van) bedrijfsprocessen - Integriteitsrisico - Rechten en plichten van (potentiële) cliënten. In de ROB is onderscheid gemaakt tussen richtlijnen (met een verplichtend karakter) en aanbevelingen (die weliswaar geen verplichtend karakter hebben, maar waarvan de instelling alleen op goede gronden mag afwijken). In artikel 7 van [ROB]staat: het zorgdragen voor de uitwerking en implementatie van de beleidsuitgangspunten ter beheersing van IT-risico s in zichtbare organisatorische en administratieve procedures en maatregelen, welke geïntegreerd zijn in de IT-processen en de dagelijkse werkzaamheden van alle relevante geledingen. Hier ligt wat ons betreft de link naar een beheerst IT-proces, waarop we ons generiek model willen aanpassen. Teamnummer 719 Pagina 10 van 32

12 Waar de ROB zich voornamelijk richt op de inhoud, de wijze waarop risicomanagement dient te worden georganiseerd binnen de bank, richt Basel II zich meer op de processen en de structuren voor deze processen. Basel II In 1930 is de internationale financiële organisatie Bank for International Settlements (BIS) opgericht. Het doel van BIS is de samenwerking tussen nationale centrale banken te bevorderen. Zo wordt het toezicht dat de nationale centrale banken uitoefenen op de commerciële banken, op elkaar afgestemd. Dat was nodig omdat door de internationalisering de concurrentie tussen bancaire instellingen werd verhevigd. Medio jaren tachtig zette deze concurrentiestrijd verder door en werd als gevolg hiervan steeds minder eigen vermogen in relatie tot de verstrekte kredieten aangehouden. Deze verslechterende solvabiliteit leidde tot hoge risico s. Toezicht en afspraken waren noodzakelijk om de financiële markten te beschermen. In 1988 zijn hiervoor richtlijnen vastgesteld die door de nationale centrale banken van de grote landen zijn overgenomen. De overige landen volgden later. De richtlijn bepaalt dat een bank tegenover elke kredietverstrekking een bepaald percentage van dat bedrag als eigen vermogen moet aanhouden. Deze richtlijn is genoemd naar de plaats waarin de BIS is gevestigd en is bekend geworden als Basel I. Met de toepassing van Basel I kwamen er diverse nadelen van het systeem naar boven. Zo was het te veel toegespitst op het in- en uitlenen van geld, terwijl de werkelijkheid veel dynamischer bleek. Daarom is vanaf 1996 gewerkt aan een nieuwe richtlijn. Deze opvolger is dan ook Basel II genoemd. Basel II gaat niet meer alleen uit van kredietrisico s maar ook van markt- en operationele risico s. Per aandachtsgebied dient een kapitaalsreservering berekend en aangehouden te worden. Voor ons onderzoek is vooral het operationele risico van belang. Hieronder verstaan we de risico s die voortkomen uit falende of onjuiste interne processen, mensen en systemen of externe gebeurtenissen. Code Tabaksblat Zijn de financiële instellingen als gevolg van de ROB gebonden aan een verklaring over risicobeheersing, vanaf januari 2004 zijn alle vennootschappen met hun statutaire zetel in Nederland en waarvan (certificaten van) aandelen zijn toegelaten tot de officiële notering van een van overheidswege erkende effectenbeurs, gehouden aan de Nederlandse Corporate Governance Code. In 2003 werd in Nederland een commissie samengesteld die gevraagd werd een opvolging van het rapport Corporate Governance in Nederland; De Veertig Aanbevelingen uit 1997 van de commissie Peters te ontwikkelen. Omdat deze commissie onder leiding van Morris Tabaksblat stond, wordt deze Governance Code ook wel de Code Tabaksblat genoemd. Deze code is gericht op het functioneren van de leden van de Raad van Bestuur, de macht van de commissarissen en de invloed van de aandeelhouders. Zo wordt voor de Raad van Bestuur (II.1 Taak en werkwijze) gesteld dat deze verantwoordelijk is voor het beheersen van de risico s die verbonden zijn aan de ondernemingsactiviteiten. In de best-practice bepaling van dit hoofdstuk [TABAK] staat onder II.1.4: In het jaarverslag verklaart het bestuur dat de interne risicobeheersing- en controlesystemen adequaat en effectief zijn en geeft het een duidelijke onderbouwing van deze verklaring. Bij de code geldt de pas toe of leg uit -regel: beursgenoteerde ondernemingen dienen in het jaarverslag aan te geven of zij de codevoorschriften toepassen en zo niet, waarom niet. Deze pas toe of leg uit -regel is wettelijk vastgelegd. Teamnummer 719 Pagina 11 van 32

13 2.1.1 Definitie In control De definitie die Driesen, Kamstra en Molenkamp geven aan in control is: De wijze van sturen, beheersen en toezicht houden, gericht op een effectieve en efficiënte realisatie van strategische en operationele doelstellingen alsmede het hierover op een open wijze communiceren en verantwoording afleggen ten behoeve van de belanghebbende. In het kader van dit onderzoek richten wij ons meer op het proces zelf. Een generiek model zou moeten borgen dat het key management proces een beheerst proces is. Onze definitie voor in control luidt dan ook: Een proces is in control als het aantoonbaar beheerst wordt tot op een niveau dat van dat proces vereist mag worden (goed huisvaderschap) aan de hand van voorafgestelde normen (eisen) In-control statement Uit bovenstaande blijkt dat er voldoende aanleidingen zijn voor een in-control statement (ICS). Omdat steeds meer organisaties afzonderlijke processen in control willen verklaren, willen wij onderzoeken hoe voor het key management proces een ICS afgegeven kan worden. Allereerst dient aangegeven te worden wat een dergelijke ICS nu precies inhoudt. ICS is afgeleid van het Statement of Control, dat in de Verenigde Staten door het management wordt afgegeven aan de aandeelhouders. Het management geeft hiermee aan in hoeverre het voldoende grip heeft op de bedrijfsprocessen. De introductie van SOx heeft zo n statement geformaliseerd. Met betrekking tot ICS wordt binnen SOx de wijze aangegeven waarop in het algemeen met risico s wordt omgegaan en dan nog alleen wat betreft de financiële informatieverstrekking. Maar inmiddels zijn er ontwikkelingen die maken dat organisaties nu verder (moeten) gaan met ICS. In hun artikel In Control Statements [DRIES] geven de schrijvers Driessen, Kampstra en Molenkamp aan dat in control verder kan gaan dan wat SOx beschrijft. Hiermee bedoelen zij dat een ICS primair aangeeft in hoeverre de organisatie beheersmaatregelen heeft getroffen om risico s af te dekken en op basis daarvan de tekortkomingen kan identificeren. Immers, Basel II schrijft voor dat er afhankelijk van het te lopen risico een kapitaalsreservering dient plaats te vinden. Dit maakt dat beheersing van operationeel risico voor de banken dus van groot belang is. Hiermee hebben we de eerste sub-onderzoeksvraag beantwoord. Duidelijk is dat vooral externe wet- en regelgeving voor meer aandacht voor in control heeft gezorgd. Gesteld kan worden dat in control afdaalt van de financiële wereld naar de specifieke IT-processen. Bij een aantal bedrijven wordt bijvoorbeeld aan informatiebeveiliging gevraagd of de organisatie in control is op het gebied van informatiebeveiliging [CIOPL]. Gezien het belang van key management, kan deze verklaring hiernaar toe doorgetrokken worden Eisen aan een in-control statement (ICS) Op zich zijn er geen eisen gesteld aan een standaard rapportage. Deze wordt in overleg bepaald tussen opdrachtgever, auditor en auditee. Om te voorkomen dat er een diversiteit aan in-control statement ontstaat, is de rapportage standaard SAS70 ontwikkeld. Doel van deze standaard is niet alleen om audit efficiency te bereiken, maar ook om te kunnen benchmarken tussen vergelijkbare bedrijven en processen. SAS70 stelt eisen aan de wijze van een rapportage. SAS70 staat voor Statement on Auditing Standards number 70, een door het American Institute of Certified Public Accountants (AICPA) opgestelde norm voor certificering van procesbeheersing. Een SAS70-rapport biedt een gedetailleerd inzicht in de wijze waarop een organisatie de kwaliteit van haar dienstverlening waarborgt. Teamnummer 719 Pagina 12 van 32

14 Rapportagevorm voor een ICS op basis van SAS-70 [AICPA] Voor SAS-70 bestaan een type-i en een type-ii rapport. Type I: momentopname Een type-i rapport beschrijft de getroffen beheersmaatregelen (controls) die op een bepaald moment zijn geïmplementeerd en waarmee de beheersdoelstellingen (control objectives) kunnen worden bereikt. De beschrijving wordt ondersteund door een rapport van de externe auditor dat aangeeft of de maatregelen toereikend zijn om de beheersdoelstellingen te realiseren en of deze op de specifiek genoemde datum daadwerkelijk waren geïmplementeerd. Type II: uitspraak over een bepaalde periode Een type-ii rapport heeft betrekking op een periode minimaal 6 maanden waarin de beschreven beheersmaatregelen aanwezig waren om de beheersdoelstellingen te bereiken. Ook is het rapport van de externe auditor uitgebreid met een oordeel over de werking van de maatregelen in deze periode. De opbouw van het SAS-70 rapport Een SAS-70 rapport bestaat uit verschillende secties, namelijk: Sectie 0 De geheimhoudingsverklaring. De auditors, de auditee en de opdrachtgever komen hierin overeen dat het rapport alleen gebruikt wordt in het kader van de opdracht en dat de inhoud hiervan niet op andere wijze openbaar wordt gemaakt. De geheimhoudingsverklaring is niet een standaard sectie uit SAS70, maar is een best practice die door steeds meer bedrijven word overgenomen. In de Verenigde Staten worden geheimdhoudings verklaringen in een apart contract geregeld, doch van uit het Verenigd Koninkrijk vonden accountants bedrijven het nodig om dit een onderdeel van het SAS70 rapport. Sectie I Independent Service Auditors Report omvat alleen het oordeel van de auditor en niet het gehele rapport. Deze sectie, de eigenlijke in-control statement, is de verantwoordelijkheid van de externe auditor. Sectie II Description of Controls and Procedures de ICT-dienstverlener dient naast een overzicht van de dienstverlening en de organisatie een beschrijving te geven van de interne beheersing onderverdeeld naar de vijf componenten van het referentieraamwerk van COSO (Committee of Sponsoring Organizations of the Treadway Commission). Deze vijf componenten zijn: - Control Environment: beschrijft de integriteit, ethische waarden en competenties van het personeel en de managementfilosofie en managementstijl; - Risk Assessment: omvat de identificatie en analyse van risico s die relevant zijn voor het bepalen van maatregelen voor risicobeheersing; - Control Activities: de processen en procedures die de doelstelling van het management helpen te waarborgen; - Information and Communication: richt zich op de aard en kwaliteit van de informatie die nodig is voor een effectief bestuur en rapportages; - Monitoring: omvat de component die de kwaliteit en effectiviteit van de processen toetst. Teamnummer 719 Pagina 13 van 32

15 De ICT-dienstverlener is verantwoordelijk voor het opstellen van deze sectie. De auditor is verantwoordelijk voor het doornemen van deze beschrijving en het bepalen van de geschiktheid van de opzet van de controls. Sectie III Tests of Operating Effectiveness In deze sectie worden de beheersmaatregelen ( controls ) getoetst die door ICT-dienstverlener zijn vastgesteld. Voor een type-i verklaring omvat deze toetsing opzet en bestaan en voor een type-ii verklaring omvat het alleen de werking. De auditor toetst de beheersmaatregelen door middel van Inquiry (interview), Inspection (inspectie van documenten), Observation (waarnemen) en Reperformance (opnieuw uitvoeren). De mate van testen van de beheersmaatregelen is afhankelijk van het aantal keer dat de testen worden uitgevoerd. De auditor is verantwoordelijk voor deze sectie. Opgemerkt dient te worden dat de wijze van controle rule based is, in tegenstelling tot principle based, waarbij het mogelijk is om aan bestaan en werking te voldoen ook al is opzet niet aanwezig. Bij rule-based auditing is het zo dat indien opzet niet aangetoond kan worden, bestaan niet aanwezig is en dat als bestaan niet aanwezig is, er geen sprake kan zijn van werking. Sectie IV Other Information Provided by Service Organization Deze sectie geeft ruimte aan ICTdienstverlener voor het geven van extra informatie. Hierbij kan het gaan om informatie over bijvoorbeeld continuïteit en geplande significante projecten of systeemconversies. Met de beschrijving van deze vorm van rapporteren is de tweede sub-onderzoeksvraag behandeld en kan deze rapportage ook voor key management worden toegepast. 2.2 Cryptografie In dit hoofdstuk komen de aspecten met betrekking tot de derde sub-onderzoeksvraag aan de orde, waarbij tevens nader wordt ingegaan op de vormen en toepassingsgebieden van cryptografie Wat is cryptografie Het woord cryptologie is een combinatie van de Griekse woorden kruptus en logos, die verborgen en woord betekenen. Binnen cryptologie kan onderscheid gemaakt worden tussen cryptografie en cryptoanalyse. Ons onderzoek heeft betrekking op cryptografie. Van der Lubbe [LUBBE] omschrijft cryptografie als: dat deel van cryptologie dat zich bezighoudt met technieken om data te versluieren of te vercijferen, waarbij veelal gebruik wordt gemaakt van geheime sleutels. Hierbij geldt dat het versluieren van data encryptie wordt genoemd, en het ontcijferen decryptie. Cryptografie bestaat al sinds lange tijd en werd van oorsprong alleen toegepast om informatie te versluieren. De boodschap die verzonden werd, mocht alleen door de partij gelezen worden waarmee een afspraak over de versluiering was gemaakt. De eerste toepassing werd uitgevoerd door Julius Caesar om berichten naar het front te sturen. Vooral militaire toepassingen hebben ertoe geleid dat cryptografie in de loop der jaren verder geëvolueerd is. Een bekend voorbeeld is de enigma-machine die voor en tijdens de Tweede Wereldoorlog door Duitsland gebruikt werd. De afspraken die voor de toepassing van cryptografie noodzakelijk zijn, betreffen het toegepaste algoritme (de wijze waarop het doel wordt bereikt) en de bijbehorende sleutel. De Teamnummer 719 Pagina 14 van 32

16 berichten van Caesar werden bijvoorbeeld versluierd door elke letter van een bericht te vervangen door een letter die drie plaatsen verder in het alfabet staat. Deze methode is dus gebaseerd op substitutie. Een andere methode is bijvoorbeeld transpositie. Hierbij veranderen letters van plaats. Substitutie en transpositie worden vaak gecombineerd als algoritme toegepast. Het toegepaste algoritme bij cryptografie is niet geheim. Twee overwegingen hiervoor zijn: 1) het algoritme kan door leveranciers als standaard in diverse hardware worden opgenomen; 2) door het algoritme vrij te geven kan het indringend getest worden, waardoor mogelijke fouten (snel) ontdekt worden. Naast het algoritme is daarom een geheime sleutel benodigd. Deze sleutel (de mogelijke waarde waarmee het doel wordt bereikt) is hiermee de kern van cryptografie en dient hierom goed beheerd te worden. Het zogenaamde Caesar-algoritme vond plaats op basis van een gedeeld geheim waarmee de vertrouwelijkheid van een bericht kon worden gewaarborgd. Deze vorm heet symmetrische cryptografie. Midden jaren zestig werd een nieuwe techniek ontwikkeld waarbij op basis van wiskundige functies twee sleutels een onlosmakelijk verband met elkaar hebben, de asymmetrische cryptografie Vormen van cryptografie Symmetrische cryptografie Bij symmetrisch cryptografie wordt één sleutel gedeeld tussen de zender en de ontvanger. Met deze sleutel wordt het bericht door de zender encrypt (cipher text) en kan de ontvanger het door decryptie weer leesbaar maken (plain text). Een bekende vorm van symmetrische cryptografie is: Data Encryption Standard. DES is ontwikkeld in de jaren zeventig door IBM, en werd in 1976 de standaard cryptografische methode voor de Amerikaanse overheid. DES werkt op basis van een combinatie van transpositie en substitutie. Hierbij is de veiligheid afhankelijk van de sleutellengte. Indien de sleutellengte 56 bits bedraagt, zijn er 2 56 sleutels mogelijk. In de afgelopen jaren is het mogelijk gebleken de DES sleutel te achterhalen via een brutekrachtaanval. Hierbij worden door (steeds krachtigere) computers onuitputtelijk nieuwe sleutels uitgeprobeerd, net zolang totdat het bericht leesbaar is. In reactie hierop is Triple DES (3DES) ontwikkeld. Hierbij worden de data 3 keer vercijferd met 2 of 3 verschillende sleutels. De kans op een succesvolle brutekrachtaanval wordt hiermee aanzienlijk gereduceerd. In 1998 maakte de Electronic Frontier Foundation haar DES cracker project bekend. De EFF had dit project speciaal ontwikkeld en gefinancierd om DES te kunnen kraken. Omdat verwacht werd dat 3DES uiteindelijk ook gekraakt zou kunnen worden, schreef de Amerikaanse overheid een wedstrijd uit voor de ontwikkeling van een nieuwe cryptografiestandaard. In oktober 2000 werd het Rijndael-algoritme uit België als nieuwe standaard gekozen. Deze is inmiddels bekend als Advanced Encryption Standard (AES) en is als zodanig door de financiële wereld geadopteerd. Asymmetrische cryptografie In tegenstelling tot symmetrische cryptografie hoeven de afzender en ontvanger bij asymmetrische cryptografie niet allebei over dezelfde sleutel te beschikken om een bericht te encrypten of decrypten. Twee sleutels zijn hier van belang. Wat versleuteld wordt met de ene sleutel, kan gelezen worden met de andere sleutel en vice versa. Door één deel van de sleutel consequent geheim te houden en de ander juist openbaar te maken, kunnen verschillende technieken worden Teamnummer 719 Pagina 15 van 32

17 uitgevoerd. Deze sleutels noemen we respectievelijk private key en public key. Deze sleutels zijn met behulp van een priemgetal wiskundig berekend en onlosmakelijk met elkaar verbonden. De private key blijft altijd in eigen bezit en moet geheim blijven. De public key daarentegen wordt juist gepubliceerd. Degene die een bericht wil versturen of ontcijferen, kan dan deze sleutel opzoeken en gebruiken. Het hele infrastructuur rondom (a)symmetrische cryptografie wordt ook wel aangeduid als Public Key Infrastructure (PKI). Naast het versluieren van een bericht kan PKI ook zorgen voor authenticatie van de afzender, de integriteit van het bericht en de onweerlegbaarheid. PKI werd in 1976 uitgevonden door Whitfield Diffi en Martin Hellman. Een bekend en veel toegepast algoritme is het RSA-algoritme, dat in 1978 werd uitgevonden door Ron Rivest, Adi Shamir en Leonard Adleman. PKI biedt meer mogelijkheden dan symmetrische cryptografie, maar is complexer door de organisatorische consequentie. Ontvangende partijen willen zekerheid dat de publieke sleutel die ze verkrijgen, ook inderdaad afkomstig is van de partij die deze uitgeeft. Hiervoor is een derde partij (Trusted Third Party, TTP) actief. De TTP stelt een (digitaal) certificaat op waarmee de verbintenis tussen de identiteit van de aanvrager en haar publieke sleutel wordt bevestigd. Een TTP die certificaten uitgeeft, wordt ook wel Certificate Authority (CA) genoemd. Toepassingsgebieden Zoals eerder aangegeven, werd cryptografie van oorsprong toegepast voor versluiering van berichten. Zowel symmetrische als asymmetrische cryptografie kan de vertrouwelijkheid van een bericht waarborgen. Hieronder in figuur 3, een grafische voorstelling daarvan, waarbij de symmetrische cryptografie plaatsvindt met de (gedeelde) sleutel AB en bij asymmetrische cryptografie met het sleutelpaar van partij B. Figuur 3: Vertrouwelijkheid obv cryptografie Door toepassing van de juiste (combinatie van) cryptografische bewerkingen kunnen de volgende beveiligingsaspecten gewaarborgd worden: Vertrouwelijkheid Integriteit Authenticiteit Onweerlegbaarheid : onbekenden kunnen het bericht niet inzien. : de inhoud van het bericht kan niet onopgemerkt gewijzigd worden. : zekerheid over de zender van het bericht. : een partij kan niet ontkennen het bericht verstuurd te hebben. Het voordeel van DES/3DES is dat het een betrouwbaar en relatief goedkoop en snel algoritme is dat eenvoudig in de hardware is te realiseren. Door deze voordelen wordt het veel gebruikt in de financiële wereld. Het probleem is echter de uitwisseling van de sleutel. Een algemene norm is dat een sleutel nooit in klare tekst mag voorkomen, dus zijn er diverse methodes ontwikkeld om de sleutel veilig te transporteren. De komst van asymmetrische cryptografie biedt hierbij een goede oplossing. Omdat bij deze vorm van cryptografie een Teamnummer 719 Pagina 16 van 32

18 grote sleutellengte nodig is, vergt de versluiering van (grote) berichten veel rekenkracht. In de financiële wereld wordt daarom cryptografie van berichten zelf met symmetrische sleutels toegepast en vindt uitwisseling van die sleutels steeds vaker plaats met behulp van asymmetrische cryptografie. 2.3 Key management Zoals geschetst is een essentieel onderdeel van cryptografie de sleutel. Indien de sleutel openbaar zou worden, kan de informatie openbaar worden gemaakt of worden gewijzigd. Dit kan schade veroorzaken voor het bedrijf of de persoon die de informatie had versleuteld. Het beheer van sleutels is daarom een voorwaarde om welke vorm van cryptografie dan ook toe te passen. De Engelse en meer gangbare term voor sleutelbeheer is key management Key management als een proces Key management bestaat uit een aantal fasen, de zogenaamde life cycle van sleutels. Deze start bij de generatie en eindigt bij het vernietigen van een sleutel. Elke fase is erop gericht om de vertrouwelijkheid, integriteit en continuïteit van de sleutels te ondersteunen. De key life cycle kan gezien worden als (generiek) model. In onderstaande figuur 4, staat het model met de specifieke fasen vermeld. Figuur 4: Key Management Life Cycle [KPMG] De fasen zijn als volgt te beschrijven [KPMG]. Activiteit Asymmetrische Symmetrische & Omschrijving publieke sleutels Asymmetrische geheime sleutels Key (pair) X X Het aanmaken van een sleutel of sleutelparen generation Key registration X Het registreren van sleuteluitgifte. Het gaat hier niet om de inhoudelijke sleutel maar meer aan welke persoon of instantie een sleutel is gegeven Key distribution X X Het distribueren van sleutels Key repository X Een CMDB van alle sleutels Key usage X X Sleutelgebruik Key revocation X Het intrekken van sleutels Key expiration X Het laten verlopen van sleutels Key backup X Het maken van een backup van sleutels Key installation X Het installeren van een sleutel / sleutels Key termination X Het vernietigen van sleutels Key archival X Het archiveren van sleutels Restricted key usage X Het gebruik van sleutels door een beperkte groep personen in het geval van herstel (recovery) van sleutels Teamnummer 719 Pagina 17 van 32

19 De life cycle is een bestaand generiek model voor key management. Hieronder een korte beschrijving van de belangrijkste onderdelen hiervan met de (audit) aspecten waarop gelet kan worden. Het is geen limitatieve weergave van alle eisen die hieraan gesteld worden. Hiervoor wordt verwezen naar de diverse normenkaders zoals: ISO: International Standard Organisation FIPS: Federal Information Processing Standard (officiële standaard voor de Verenigde Staten en uitgegeven door de National Institute of Standards & Technology) PKCS: Public Key Cryptography Standards, specifiek voor asymmetrische cryptografie (PKI) ANSI: American National Standards Institute ECBS: European Committee for Banking Standards Verder zijn er in het betalingsverkeer diverse (uitgevende) instanties met specifieke(re) eisen, zoals: EMVco: de eisen van de creditkaart uitgevende instanties VISA en MasterCard ten behoeve van het betaalschema via EMV, waarbij de transactie niet meer vanaf de magneetstripinformatie wordt geïnitieerd, maar vanuit de chip PCI: Payment Card Industry: meer algemene eisen vanuit VISA en MasterCard Key generation Het genereren van sleutels dient zodanig plaats te vinden dat de sleutel nooit buiten het generatie-device leesbaar (in klare tekst) gepresenteerd wordt. Dit kan door fysieke en logische afscherming van de omgevingen waarbinnen dit proces plaatsvindt. De presentatie van de sleutels kan vervolgens plaatsvinden door: - delen van de klare waarde direct in afgeschermde enveloppen te printen - de gegenereerde sleutel direct te versleutelen met een andere sleutel en (delen hiervan) uit te printen op zogenaamde sleutelbrieven of op te slaan in een apart device Het generatieproces dient onvoorspelbare sleutels te genereren. Hiervoor dient het device te voldoen aan met name de eisen van FIPS Voor de AO/IC is het belangrijk dat de generatie plaatsvindt onder toezicht van een toezichthouder en, bij voorkeur, de betrokken key custodians. De toezichthouder controleert of het proces juist en integer verloopt. De key custodians zijn de medewerkers die de delen van de sleutels in ontvangst nemen en uiteindelijk invoeren. Key distribution De gegenereerde sleutel dient veilig gedistribueerd te worden. Dit kan encrypt onder een andere sleutel of via sleutelbrieven. Deze dienen bij voorkeur aan de verschillende key custodians persoonlijk overhandigd te worden. Een alternatief is verzending per post. De procedure hiervoor is dat de ontvangende key custodians vooraf zijn aangemeld. De aanleverende partij verzendt de sleuteldelen vervolgens aangetekend via een koerier. Nadat de ontvangst van het eerste deel is bevestigd, worden de volgende delen -eveneens aangetekendvia andere koeriers verstuurd. Key installation Het installeren van de sleutels dient onder toezicht te gebeuren overeenkomstig ISO Ten behoeve van de vertrouwelijkheid mogen de sleutels alleen opgeslagen worden in een security device, encrypt onder een andere sleutel of in gescheiden delen. Deze handelingen worden door de toezichthouder vastgelegd en ondertekend door betrokken personen. De vastlegging wordt vervolgens geadministreerd bij de key manager. Ter controle van een juiste installatie wordt bij generatie een Key Check Value toegevoegd. Hierbij wordt de originele sleutel met een zogenaamde one-way encryption methode versleuteld met een bepaalde standaard waarde. Door na het installeren dezelfde berekening na het installeren uit te voeren kan de verkregen waarde vergeleken worden met de opgegeven waarde. Teamnummer 719 Pagina 18 van 32

20 Key use Uiteindelijk moet een sleutel daadwerkelijk gebruikt worden, waarbij de volgende aspecten van belang zijn: - de sleutel mag niet ongeautoriseerd worden toegepast; - de sleutel mag alleen voor dat doel worden toegepast waarvoor deze is gegenereerd; - de sleutel mag gedeeld worden tussen maximaal twee partijen. Verder mag de cryptografische handeling alleen plaatsvinden in een speciaal daarvoor bestemd apparaat en mag er geen sleuteluitwisseling tussen test- en productieomgevingen plaatsvinden. Key back-up De devices waarin sleutels geladen worden, zijn vaak voorzien van een fysieke maatregel, de tamper resistance. Dit betekent dat bij grove fysieke toenadering van het device de inhoud gewist wordt. In dat geval moet een sleutel teruggezet kunnen worden. Een duplicaat of trilicaat van sleutels moet bewaard worden op fysiek gescheiden locaties. Indien de sleutel elektronisch wordt bewaard, gelden hier dezelfde regels voor als in de productionele omgeving. Als de sleutel(delen) op sleutelbrieven worden bewaard, moeten deze in (aparte) kluizen bewaard worden. De toegang tot deze kluizen mag, met toepassing van functiescheiding, alleen plaatsvinden door geautoriseerd personeel. Key archive Waar de back-up van de sleutel van belang is tijdens de actieve levensduur van de sleutel, is archivering dat nadat de sleutel zelf niet meer toegepast wordt. Denk bijvoorbeeld aan gegevens die encrypt zijn opgeslagen en als gevolg van wet- of regelgeving toch reproduceerbaar moeten blijven. Voor archivering gelden dezelfde eisen als voor back-up. Key termination Als een sleutel verlopen is en geen dienst meer doet, kan vernietiging plaatsvinden. Bij vernietiging moeten de sleutels in alle omgevingen waarin deze voorkomen, worden meegenomen. Ingeval een sleutel nog als back-up voorkomt op sleutelbrieven, dienen deze ook (gecontroleerd) vernietigd te worden. Teamnummer 719 Pagina 19 van 32

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

ICT en de digitale handtekening. Door Peter Stolk

ICT en de digitale handtekening. Door Peter Stolk ICT en de digitale handtekening Door Peter Stolk Onderwerpen Elektronisch aanleveren van akten Issues bij de start Aanbieders van akten Hoe krijgen we ze zover? Demonstratie Welke technieken hebben we

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Bijlage 2 bij Privacyreglement NIVEL Zorgregistraties eerste lijn Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Pseudonimisatie Onder 'pseudonimisatie'

Nadere informatie

Vertrouwende Partij Voorwaarden UZI-register

Vertrouwende Partij Voorwaarden UZI-register Vertrouwende Partij Voorwaarden UZI-register Het UZI-register koppelt op unieke wijze de fysieke identiteit aan een elektronische identiteit en legt deze vast in een certificaat. Hierbij maakt het UZI-register

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Certificate Policy Bedrijfstestomgeving ZOVAR

Certificate Policy Bedrijfstestomgeving ZOVAR Certificate Policy Bedrijfstestomgeving ZOVAR Uitgave : agentschap Versie : 1.0 Definitief Datum : 26-7-2007 Bestandsnaam : 20070726 CP bedrijfstestomgeving ZOVAR 1.0.doc Organisatie ZOVAR Pagina 2 van

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2)

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2) Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2) Abonnee (=Cliënt=Subscriber) De natuurlijke persoon of rechtspersoon of groep van natuurlijke en/of rechtspersonen

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V. TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur

Nadere informatie

Privacybescherming bij het delen van medische data

Privacybescherming bij het delen van medische data DIT IS EEN GECONDENSEERDE PUBLIEKE VERSIE. VOOR VRAGEN VERZOEKEN WIJ U CONTACT OP TE NEMEN MET ZORGTTP. Privacybescherming bij het delen van medische data Gijs van den Broek & Hans van Vlaanderen SURFacademy,

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

HOOFDSTUK 5. De ITIL-servicelevenscyclus. 5.1 Introductie. MS Office. ITIL V3 een kennismaking ITIL =

HOOFDSTUK 5. De ITIL-servicelevenscyclus. 5.1 Introductie. MS Office. ITIL V3 een kennismaking ITIL = HOOFDSTUK 5 5.1 Introductie een kennismaking ITIL = Information Technology Aan het eind van de vorige eeuw groeide informatievoorziening snel. Het werd nodig dat die informatievoorziening goed beheerd

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

BEKNOPTE BESCHRIJVING VOORZIENING BRIEFSTEMMEN WATERSCHAPSVERKIEZINGEN 2008

BEKNOPTE BESCHRIJVING VOORZIENING BRIEFSTEMMEN WATERSCHAPSVERKIEZINGEN 2008 BEKNOPTE BESCHRIJVING VOORZIENING BRIEFSTEMMEN WATERSCHAPSVERKIEZINGEN 2008 1. Inleiding Van 13 november tot 25 november om 12.00 uur kiezen de ingezetenen van de waterschappen via directe verkiezingen

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

De elektronische handtekening en de Dienstenrichtlijn De elektronische handtekening Wat zegt een elektronische handtekening?

De elektronische handtekening en de Dienstenrichtlijn De elektronische handtekening Wat zegt een elektronische handtekening? De en de Dienstenrichtlijn Deze factsheet behandelt de Dit is een middel om te kunnen vertrouwen op berichten en transacties. Op 28 december 2009 moet in alle EU-lidstaten de Dienstenrichtlijn zijn ingevoerd.

Nadere informatie

Digitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl

Digitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Digitaal e-mail certificaat Ondertekenen en encryptie De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Index 1 Inleiding... 4 1.1 Algemeen...4 1.2 Leeswijzer...4 2 Private key

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Standard Operating Procedure

Standard Operating Procedure Standard Operating Procedure STZ SOP: U10 Audit Distributielijst : STZ Datum : 19-06-2014 Revisiedatum : 19-06-2015 Veranderingen ten opzichte van eerdere versies Versiedatum Opmerkingen Versiedatum Opmerkingen

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

Brochure ISO 20000 Foundation

Brochure ISO 20000 Foundation Brochure ISO 20000 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

SAS 70 maakt plaats voor ISAE 3402

SAS 70 maakt plaats voor ISAE 3402 SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE Corporate Governance Novisource streeft naar een organisatiestructuur die onder meer recht doet aan de belangen van de onderneming, haar klanten,

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde. 1 Q&A Volmachten Q Onder welke voorwaarden staat het een verzekeraar vrij om een volmacht te verlenen aan een gevolmachtigde agent (GA) voor het namens en voor rekening van de verzekeraar sluiten van verzekeringen?

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015. Algemeen

Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015. Algemeen Verantwoordingsdocument Code Banken over 2014 Hof Hoorneman Bankiers NV d.d. 18 maart 2015 Algemeen Mede naar aanleiding van de kredietcrisis en de Europese schuldencrisis in 2011 is een groot aantal codes,

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

De digitale handtekening

De digitale handtekening De digitale handtekening De rol van de digitale handtekening bij de archivering van elektronische documenten Prof. dr. Jos Dumortier http://www.law.kuleuven.ac.be/icri Probleemstelling: «integriteit» Elektronisch

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl COLLEGE STANDAARDISATIE Concept CS07-05-04I Agendapunt: 04 Bijlagen: - Aan:

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

Centrale label management systemen

Centrale label management systemen Centrale label management systemen Data-driven versus layout-driven label management Datum: 03-november-2010 Auteur: Jack de Hamer M.Sc. Versie: 2.1 Status: Final Pagina 1 van 7 Introductie Simpel gezegd

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Standard Operating Procedure

Standard Operating Procedure Standard Operating Procedure STZ SOP: O3 Ontwikkelen, implementeren en beheren van SOP s Distributielijst : STZ Datum : 15-10-2012 Revisiedatum : 15-10-2013 Veranderingen ten opzichte van eerdere versies

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Afspraken tripartiet overleg financiële onderneming, externe accountant, De Nederlandsche Bank

Afspraken tripartiet overleg financiële onderneming, externe accountant, De Nederlandsche Bank Afspraken tripartiet overleg financiële onderneming, externe accountant, De Nederlandsche Bank Wft: Wet op het financieel toezicht Bpr: Besluit prudentiële regels Wft Wta: Wet toezicht accountantsorganisaties

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

ITIL V3. een kennismaking. C.A. van der Eem

ITIL V3. een kennismaking. C.A. van der Eem een kennismaking C.A. van der Eem VOORWOORD een kennismaking Dit is de derde uitgave van ITIL een kennismaking. Dit boek behandelt de onderdelen van foundations. Uitgangspunt is vooral het basisbegrip

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten.

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten. VERSIE 2.2 Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten. 1. Inhoudsopgave 1. Inhoudsopgave 1 2. Doelstellingen en Uitgangspunten 2 Algemene Doelstelling

Nadere informatie

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, pril 2006 Ruud Goudriaan Digitale handtekeningen Korte uitleg symmetrische Cryptografie Hoe gebruik je

Nadere informatie

Aandachtspunten PKIoverheid

Aandachtspunten PKIoverheid Aandachtspunten PKIoverheid Tips en aanbevelingen bij PKIoverheid-certificaten en PKI-enabled applicaties Auteur GBO.overheid / PKIoverheid Versie Versie 1.0 Status Definitief Den Haag, 18 oktober 2007

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement Bureau Streefkerk B.V. Privacyreglement Bureau Streefkerk B.V. Inleiding Van alle personen die door Bureau Streefkerk worden begeleid, dat wil zeggen geadviseerd en ondersteund bij het zoeken, verkrijgen en behouden van een

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 Principles of Fund Governance Pag. 1/5 1. INLEIDING Commodity Discovery Management B.V. (de Beheerder ) is de beheerder

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Service Level Agreement (SLA) Colocated servers Provalue B.V.

Service Level Agreement (SLA) Colocated servers Provalue B.V. Service Level Agreement (SLA) Colocated servers Provalue B.V. 1. Inleiding Naast het leveren van colocated servers bieden wij ook de mogelijkheid om een uitgebreide Service Level Agreement (SLA) af te

Nadere informatie

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D Auteur : P. van der Meer, Ritense B.V. Datum : 17 juli 2008 Versie : 1.3 2008 Ritense B.V. INHOUD 1 VERSIEBEHEER...1 2 PROJECT

Nadere informatie

Privacy Verklaring Definities Toegang tot Innerview

Privacy Verklaring Definities Toegang tot Innerview Privacy Verklaring Dit is de Privacy Verklaring van Pearson Assessment and Information B.V. (hierna te noemen: Pearson of wij ) te Amsterdam (Postbus 78, 1000 AB). In deze verklaring wordt uiteengezet

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie