IN Gemeente Oosterhout. gemeente QoStefhOUt -7 JUL 2011 ^^^ ^, O^i^O I)

Maat: px
Weergave met pagina beginnen:

Download "IN.1113519. Gemeente Oosterhout. gemeente QoStefhOUt -7 JUL 2011 ^^^ ^, O^i^O I)"

Transcriptie

1 w IN i Gemeente Oosterhout v gemeente QoStefhOUt ntan9en -7 JUL 2011 ^^^ Aan de gemeenteraad 31 Fysieke kopieën naar: De gemeeirfera^dsleden ^ " ^ 18 Digitale kopieën naar: College van BenW, Secr, Directie, Griffier, BCA, Concernleden ^, O^i^O I) Datum Uw kenmerk Ons kenmerk In behandeling bij BCA/MA/ (0162) Onderwerp IT audit Equalit Geachte raad, Door PriceWaterhouseCoopers (PWC) is in het voorjaar van 2011 een IT-audit uitgevoerd bij Equalit. Het betreft een update van de nulmeting die in2009 is verricht naar de kwaliteit van de algemene IT-beheersmaatregelen. Net als vorig jaar is hier een rapportage van opgesteld, die voor de raad ter inzage isgelegd in de raadsledenkamer. Doelstellingen van de audit: De jaarlijkse audit heeft twee doelen. Enerzijds dient bijde jaarlijkse audit van de gemeente de kwaliteit van de ICT beheermaatregelen beschouwd te worden. Dit niet alleen voor Oosterhout maar voor alle gemeenten welke deelnemen aan Equalit. Anderzijds heeft Equalit een interne doelstelling om de inrichting van de beheerprocessen conform geldende standaards te doen en hierbij een ambitie naar hoge kwaliteit te hebben. Hiertoe is een normenkader opgesteld, welke beduidend zwaardere eisen stelt dan noodzakelijk voor de standaard controle. De doelstelling voor deaccountantscontrole van Oosterhout is gehaald. De kwaliteit van de ICTen de beheerprocessen is van voldoende kwaliteit om als accountant een uitspraak te doen over de kwaliteit van de gecontroleerde administraties. De interne ontwikkeldoelstellingen van Equalit zelf zijn in 2010 niet bereikt. De conclusie uit het rapport isvoor ons dan ook dat Equalit voldoet aan de wettelijke eisen en dat het door aan het groeienis naar een professionele ICT organisatie. postadres Postbus 10150, 4900GB Oosterhout telefoon U0162 bezoekadres Slotjesveld 1 Oosterhout fax (0162) internet

2 Belangrijkste conclusies uit het rapport 2010: Equalit heeft in2010weer stappen gezet naar een hoger kwaliteitsniveau. PWC heeft echter nog verschillende aandachtspunten die in de rapportage zijn weergegeven. Samengevat komen de volgende zaken in het rapport naar voren: 1. De organisatie is volop in beweging, het volwassenheidsniveau van de beheersing blijft echter achter bij de voorgenomen ambitie. Ontwikkelgebieden blijven Security management, implementatie, testen en SLA-management (service level agreement). Erzijn diverse verbeteracties gestart naar aanleiding van de vorige audit, maar de voorgenomen verbeteracties zijn nog niet afgerond. De geplande kwalitatieve groei blijft hierdoor achter bijdevoorgenomen ambitie. 2. Formaliseren is een randvoorwaarde voor certificering. Nog niet alle procedures zijn formeel vastgelegd en voor een aantal beheersprocessen ontbreken de procedures of zijn deze nog niet voldoende uitgewerkt. Het gaat hierbij om het autorisatiebeheer, configuration management, problem management en verlenen van externe toegang aan derden. De in 2009 beschreven procedures hebben binnen de organisatie onvoldoende draagkracht, waardoor de procedures statisch zijn geworden. Indien Equalitwil streven naar jaarlijkse certificering van haar IT-dienstverlening dan is het essentieel dat processen een formeler karakter krijgen. Alleen dan kan Equalit zichtbaar maken dat zij voldoende beheersmaatregelen heeft getroffen om een betrouwbare IT-dienstverlening aan derden te kunnen garanderen. 3. Onduidelijkheid over rollen verlaagt de slagkracht. Als gevolg van de formatiewijzigingen zijn de taken, verantwoordelijkheden en bevoegdheden van kritische rollen nog onvoldoende uitgewerkt. Hierdoor is het niet mogelijk om actief te sturen op taken en verantwoordelijkheden. Het nieuwe functiehuis binnen Equalit zal op korte termijn bekrachtigd worden en dit kan een belangrijke positieve bijdrage leveren. Het management wordt door PWC geadviseerd om actief te sturen op de taken en verantwoordelijkheden, alsmede om adequaat programmamanagement op te zetten. 4. Groei vraagt om grip. Om uiteindelijk te komen tot certificering van haar IT-processen zal Equalit de huidige beheersprocessen verder moeten uniformeren en formaliseren. Tevens is het noodzakelijk omde kritische rollen uit te werken ente beleggen binnen de organisatie. Alleen dan kan de organisatie meer grip krijgen en groeien naar het gewenste volwassenheidsniveau. PWC adviseert Equalit om een verbeterplan op te stellen,waarbij de resultaten van dit onderzoek en de lopende verbeteracties uitgangspunt moeten zijn. Tevens wordt geadviseerd om een stuurgroep opte richten. Doel van de stuurgroep is het beoordelen van het verbeterplan, het periodiek monitoren en toetsen van de voortgang van het verbeterplan en het waar nodig bijsturen.

3 Ambitie voor 2011: Gezien kosten-baten verhouding oriënteren wij ons momenteel op de vraag of Equalit moet doorgroeien tot een niveau dat moet leiden tot volledige certificering. Uiteraard dient het kwaliteitsniveau van een dusdanig niveau te zijn dat de bedrijfsvoering van Oosterhout en de deelnemende gemeenten, conform de eisen die de accountant daaraan stelt, gegarandeerd is. De aanbevelingen van de accountant om te komen tot het gewenste volwassenheidsniveau, zullen wij ons ter harte nemen. Hoogachtend, BURGEMEESTER EN WETHOUDERS VAN OOSTERHOUT, burgemeester,, secretaris.

4 pwc.nl Groei volwassenheid achter bij ambitie blijft Evaluatie kwaliteit ITactiviteiten Equalit 12 pwc

5 pwc Persoonlijk en Vertrouwelijk Gemeente Oosterhout T.a.v. de heer C. van den Hout Postbus GB OOSTERHOUT 12 Referentie: /WH/cwb/ju Geachte heer Van den Hout, U heeft gevraagd een evaluatie uit te voeren van de IT activiteiten zoals deze door Equalit worden uitgevoerd. Met genoegen presenteren wij u hierbij de definitieve eindrapportage van de evaluatie, in overeenstemming met onze offerte (referentie : /WH/cwb/ju) van 6 juli Het betreft een adviesrapport waarin wij onze belangrijkste bevindingen en aanbevelingen rapporteren. Wij zijn graag bereid u een nadere toelichting te geven. Hiertoe kunt u contact opnemen met Chantalle Wullems-Beister, via telefoonnummer of chantalle.wullems-beisteronl.pwc.com. Met vrie Price lelijke groet, lousecoopers Accountants N.V. De conceptrapportage is op 22 februari 2011 met u en de heren W. Zwijgers en A. Oudijk van Equalit afgestemd. De opmerkingen en reactie naar aanleiding van de afstemming zijn in een tweede concept rapportage verwerkt en vervolgens schriftelijk met u en Equalit afgestemd. W.J. Partr? System, Process Assurance PricewaterhouseCoopers Accountants N.V., Thomas R. Malthusstraat5,1066 JR Amsterdam, P.O. Box 90357,1006 BJAmsterdam, The Netherlands T: +31 (o) , F: +31 (o) ,

6 Samenvatting In 2009 hebben wij een nulmeting uitgevoerd bij Equalit naar de kwaliteit van de algemene IT-beheersmaatregelen. Op basis van deze nulmeting hadden wij in 2009 vastgesteld dat Equalit op de goede weg is om te groeien naar een hoger volwassenheidsniveau van haar IT-functie. Tevens bleek uit ons onderzoek dat een aantal beheersprocessen verder geprofessionaliseerd dienen te worden. De belangrijkste bevindingen in 2009 waren: Procedures zijn niet volledig aanwezig of concept; Procedures zijn niet volledig geïmplementeerd; Rollen zijn niet volledig belegd. In 2010 hebben wij in samenwerking met Equalit een update uitgevoerd van de nulmeting van In deze samenvatting geven wij de belangrijkste bevindingen en aanbevelingen van ons onderzoek weer. Hoofdstuk 2 geeft een overzicht van de opgevolgde, alsmede de nog openstaande bevindingen van 2009, alsmede zijn aanbevelingen opgenomen voor verbetering. De bevindingen zijn in detail in uw organisatie gedeeld. Samengevat komen de volgende zaken naar voren: Organisatie volop in beweging, volwassenheidsniveau beheersing blijft achter bij voorgenomen ambitie; Formaliseren, een randvoorwaarde voor certificeren; Onduidelijkheid over rollen verlaagt de slagkracht; Groei vraagt om grip. 1. Organisatie volop in beweging, volwassenheidsniveau beheersing blijft achter bij voorgenomen ambitie Equalit is het afgelopen jaar volop in beweging geweest. De organisatie is verhuisd naar een ander pand en gegroeid qua omvang waarbij externe medewerkers zo veel mogelijk zijn vervangen door vaste medewerkers. Tevens is medio 2010 een coördinator ondersteuning aangesteld die een toetsende rol vervult om te zorgen dat beheersmaatregelen verder worden verankerd in de organisatie. Een belangrijke ontwikkeling in dit kader is de herinrichting van de primaire beheersprocessen binnen de helpdeskapplicatie Assyst. Naast de bovenstaande verbeteringen in de formatie hebben wij op basis van onze werkzaamheden vastgesteld dat Equalit vooruitgang heeft geboekt op een aantal bevindingen, zo: Zijn de rapporteringen richting de deelnemende partijen uitgebreid met openstaande en gemelde incidenten; Is de escalatieprocedure voor spoedwijzigingen geïmplementeerd; Is het autorisatieproces aangescherpt door de aanvullende monitoring op het gebruik van autorisatielijsten bij het muteren van rechten; Is de serverruimte afgesloten middels een sleutelkast welke alleen toegankelijk is voor geautoriseerde personen. Tevens stellen we vast dat Equalit voor de processen incidentmanagement, informatiebeveiliging en infrastructuur wijzigingen procedures heeft gedefinieerd en gecommuniceerd binnen de organisatie. Verder is het incidentmanagementproces geborgd in de helpdeskapplicatie Assyst. Deze sterke punten komen ook tot uitdrukking in het volwassenheidsniveau van de IT-functie op deze onderdelen (zie figuur 1). Groei volwassenheid blijftachter bij ambitie 3

7 Samenvatting Echter, op basis van onze evaluatie in 2010 moeten constateren wij ook, ondanks diverse verbetermaatregelen, dat het huidige volwassenheidsniveau van de IT-functie bij Equalit nagenoeg gelijk is gebleven aan 2009 (zie figuur 1). SLA Management (intern en extern Back-up management Continuïteit management Incident management Batch verwerking Computer Operations Management Infrastructuu wijzigingen Informatiebeveiliging Security Management Testen Implementatie Logische Toegangsbeveiliging Fysieke Beveiliging Change Management Systeemontwikkeling Niveau 1 - Niveau 2 Niveau 3 - Niveau 4 Figuur 1 - Spin model Groei volwassenheid blijftachter bij ambitie Ontwikkelgebieden blijven Security management, implementatie, testen en SLA management. De belangrijkste tekortkomingen zijn: De autorisatielijsten van de deelnemende partijen zijn niet actueel en voor één wijziging hebben wij vastgesteld dat deze is verwerkt terwijl de aanvrager niet geregistreerd was als geautoriseerde medewerker. Wij hebben van Equalit begrepen dat zij vele inspanningen hebben geleverd om de autorisatielijsten door de deelnemende partijen te laten actualiseren. Echter, tot op heden heeft Equalit nog geen geactualiseerde lijst per deelnemende partij ontvangen. Wij merken hierbij op dat het de verantwoordelijkheid is van de deelnemende partijen om een actuele autorisatielijst aan Equalit te verstrekken. Binnen het huidige change management proces hebben wij vastgesteld dat de testresultaten en het akkoord van de applicatiebeheerder voor een specifieke wijziging niet aantoonbaar zijn gedocumenteerd. Monitoring op de doorlooptijd van changes vindt niet structureel plaats. Het problem management proces is alleen op hoofdlijnen uitgewerkt en niet volledig geïmplementeerd. Tevens hebben wij vastgesteld dat de rol van Problem Manager nog niet definitief belegd is. Monitoring op beveiligingsincidenten op de firewall is beperkt. Richtlijnen ontbreken hoe om te gaan met beveiligingsincidenten. Een groot aantal gebruikers beschikt over alle rechten (administrator) binnen het netwerk. Er zijn geen wachtwoordrestricties actief voor een groot aantal netwerkgebruikersaccounts. Hoewel medewerkers zich bewust zijn van de verbeterpunten en er diverse verbeteracties zijn gestart om de bevindingen van de nulmeting op te volgen, ontbreekt het Equalit aan executiekracht om de voorgenomen verbeteracties af te ronden. De geplande kwalitatieve groei blijft hierdoor achter bij de voorgenomen ambitie. 4

8 Samenvatting 2. Formaliseren, een randvoorwaarde voor certificering In 2009 was Equalit gestart met het professionaliseren van de ITbeheerprocessen op basis van ITIL. In samenwerking met een externe consultant zijn destijds conceptprocedures opgesteld voor deze processen welke als uitgangspunt hebben gediend voor onze nulmeting in Echter, op basis van onze werkzaamheden in 2010 hebben wij vastgesteld dat deze procedures niet zijn geactualiseerd. De status van alle procedures is concept en voor onderstaande beheerprocessen ontbreken de procedures danwei zijn deze onvoldoende uitgewerkt: Autorisatiebeheer (toekennen/wijzigen/verwijderen autorisaties); Configuration management; Problem management; Verlenen externe toegang aan derden. Voorts hebben wij vastgesteld dat de huidige werkwijze niet aansluit bij de procedures zoals in 2009 opgesteld. We hebben van Equalit begrepen dat de in 2009 beschreven procedures onvoldoende draagkracht binnen de organisatie genieten waardoor de procedures statisch zijn geworden. 3. Onduidelijkheid over rollen verlaagt de slagkracht Naast het feit dat procedures ongewijzigd zijn, hebben wij vastgesteld dat de taken, verantwoordelijkheden en bevoegdheden van kritische rollen onvoldoende zijn uitgewerkt. Een voorbeeld hiervan is de rol van Change Manager, welke belegd is binnen de organisatie maar waarvan de functiebeschrijving nog niet is geactualiseerd. Voor de rollen Configuration- en Problem manager geldt dat deze nog niet zijn belegd binnen de organisatie. Doordat rollen onvoldoende zijn uitgewerkt en belegd is het niet mogelijk om actief te sturen op taken en verantwoordelijkheden. Tijdens de bespreking van de rapportage van de nulmeting diewij in 2009 hebben uitgevoerd, gaf Equalit aan een externe programmamanager te hebben aangetrokken om de opvolging van de geconstateerde bevindingen te gaan monitoren. Wij onderschreven deze stap om zo het spoedig oplossen van de bevindingen te kunnen realiseren. Echter, wij hebben tijdens ons onderzoek in 2010 vastgesteld dat programmamanagement tot op heden niet adequaat is ingevuld. Equalit heeft hiertoe wel een externe aangetrokken maar dit heeft niet tot het gewenste resultaat geleid. Wij adviseren Equalit om per proces een duidelijke keuze te maken of een proces volgens deprocedure moet worden ingericht of dat deprocedure aangepast moet worden conform het huidige proces. Tevens adviseren wij om de ontbrekende procedures verder uit te werken. Indien Equalit namelijk wil streven naar een jaarlijkse certificering van haar IT-dienstverlening is het essentieel dat processen een formeler karakter krijgen. Alleen op deze wijze kan Equalit zichtbaar maken dat zij voldoende beheersmaatregelen heeft getroffen en uitvoert om een betrouwbare IT-dienstverlening aan derden te kunnen garanderen. Wij adviseren Equalit om kritische rollen nader uit te werken en te beleggen binnen de organisatie. De aanstaande bekrachtiging van het nieuwe functiehuis kan hier een belangrijke bijdrage aan leveren. Aanvullend adviseren wij het management om actief te sturen op de taken en verantwoordelijkheden alsmede om adequaat programmamanagement op te zetten. 5

9 Samenvatting 4. Groei vraagt om grip Om uiteindelijk te komen tot certificering van haar IT-processen zal Equalit de huidige beheersprocessen verder moeten uniformeren en formaliseren. Tevens is het noodzakelijk om kritische rollen uit te werken en te beleggen binnen de organisatie. Alleen op deze manier kan de organisatie meer grip krijgen en groeien naar het gewenste volwassenheidsniveau 3 (gedefinieerd proces). Wij adviseren Equalit om een pas op de plaats te maken en een helder verbeterplan op te stellen. Uitgangspunten voor dit plan zijn de resultaten van dit onderzoek en de lopende verbeteracties. Om te waarborgen dat de geambieerde groei gerealiseerd wordt, adviseren wij om een stuurgroep op te richten waarin de directeur van Equalit, één vertegenwoordiger van gemeente Oosterhout, één vertegenwoordiger namens alle deelnemende partijen, de coördinator ondersteuning van Equalit alsmede een (externe) projectleider /programmamanager vertegenwoordigd zijn. Doel van de stuurgroep is het beoordelen van het verbeterplan (inclusief de haalbaarheid), het periodiek monitoren en toetsen van de voortgang van het verbeterplan en bij te sturen indien nodig. Indien u dit wenst kunnen wij u helpen om hier verdere invulling aan te geven bijvoorbeeld via een klankbordrol. 6

10 Inhoud Samenvatting 1. Inleiding 2. Bevindingen en aanbevelingen 3. Groeipad Bijlagen 7

11 1. Inleiding

12 1. Inleiding Achtergrond Op 1 januari 2007 heeft de gemeente Oosterhout het initiatief genomen om een Shared Service Centrum voor ICT-dienstverlening (SSCICT) op te richten, genaamd Equalit. Equalit verzorgt producten en diensten op het gebied van ICT voor 7 gemeenten en een sociale werkvoorziening in de regio. Naast de primaire activiteiten op het gebied van ICT-dienstverlening levert Equalit kennis op het gebied van informatiebeleid en gegevensbeheer. Gemeente Oosterhout en Equalit hebben de ambitie uitgesproken om de ITactiviteiten zoals deze door Equalit worden uitgevoerd verder te professionaliseren. Equalit wil namelijk groeien naar een professioneel opererende organisatie die jaarlijks de effectiviteit van haar IT-activiteiten laat certificeren. Op deze manier wil Equalit aan de deelnemende partijen zekerheid geven over de betrouwbaarheid en continuïteit van haar ICT diensten. Om deze ambitie te kunnen verwezenlijken heeft in 2009 een onafhankelijke nulmeting uitgevoerd naar de opzet en het bestaan van de algemene IT-beheersmaatregelen bij Equalit. Met het resultaat van de nulmeting heeft gemeente Oosterhout het lerend vermogen van Equalit versterkt en zijn diverse actiepunten gedefinieerd om de bevindingen zoals genoemd in het rapport (zie rapport met referentie (200Q-oi40i78WH/cwb/sg) op te lossen. Gemeente Oosterhout heeft de behoefte uitgesproken om opnieuw een evaluatie te laten uitvoeren van de opzet en het bestaan van de algemene ITbeheersmaatregelen. Hiermee wil de gemeente inzicht krijgen in de huidige status van de kwaliteit van haar ICT diensten alsmede in hoeverre de geconstateerde bevindingen naar aanleiding van de nulmeting zijn opgelost. Dit inzicht kan de gemeente Oosterhout en Equalit helpen in hun streven naar een jaarlijks te verstrekken Assurance rapport aan derden. Het Assurance rapport dient op termijn zekerheid te geven over de opzet, bestaan en mogelijk ook de werking van de geleverde ICT diensten door Equalit aan de deelnemende partijen. 9

13 1. Inleiding Doel en reikwijdte U heeft gevraagd een evaluatie te doen van de algemene ITbeheersmaatregelen bij Equalit om een continue en betrouwbare gegevensverwerking te kunnen waarborgen. Ten aanzien van de reikwijdte van de opdracht, hebben wij de opzet en het bestaan van de getroffen beheersmaatregelen geëvalueerd. Hierbij hebben wij het op CobiT (Control Objectives for IT and Related Technology) gebaseerde normenkader gehanteerd wat de basis is geweest voor het definiëren van de beheersdoelstellingen / normen tijdens nulmeting uit 2009 (zie bijlage C). Dit normenkader is in 2009 afgestemd met de deelnemende partijen. In Bijlage B lichten wij de reikwijdte nader toe. Deze opdracht betreft een adviesopdracht waarbij wij geen accountantsverklaring, certificering of andere vorm van zekerheid verstrekken met betrekking tot de door ons verleende diensten of de informatie op basis waarvan onze diensten zijn verleend. Wij hebben de informatie die aan ons door welke bron dan ook in het kader van de opdracht is verstrekt, niet onderworpen aan een accountantscontrole of op andere wijze geverifieerd, tenzij anderszins vermeld in onze opdrachtbevestiging. Onze werkzaamheden vormen geen onderzoek zoals bedoeld in de algemeen aanvaarde richtlijnen met betrekking tot controleopdrachten. Aanpak Gedurende de opdracht hebben wij de volgende activiteiten uitgevoerd: Kick-off met de coördinator ondersteuning over de voorbereidende werkzaamheden door Equalit; Evalueren van de in opzet aanwezige IT-beheersmaatregelen middels interviews en documentatieonderzoek; Evalueren van het bestaan van processen en procedures door middel van lijncontroles en deelwaamemingen; Rapporteren van de geconstateerde bevindingen, en het doen van aanbevelingen. De bevindingen hebben wij net als bij de nulmeting in 2009 verwerkt in een IT Capability Maturity Model (CMM) waarmee de volwassenheid van de ITfunctie binnen Equalit inzichtelijk wordt. 10

14 1. Inleiding Het model onderkent een vijftal volwassenheidsniveaus, te weten: Initieel - Processen zijn ad hoc en niet georganiseerd (geen formele beheersing) Herhaalbaar - Processen volgen een regulier patroon (beperkte beheersing) Gedefinieerd proces - Processen zijn gedocumenteerd en gecommuniceerd (basis in control) Beheerst en meetbaar - Processen worden gevolgd en gemeten (aantoonbare beheersing) Geoptimaliseerd - Best practices worden gebruikt en geautomatiseerd (proactief) Rapportage Het resultaat van onze werkzaamheden is dit adviesrapport met feitelijke bevindingen en aanbevelingen. Het rapport geeft inzicht in de mate waarin de kwaliteit van Equalit voldoet aan de vooraf gestelde normen, inzicht in waar verbeteringen gewaagd worden en biedt handvaten voor verbetering. De rapportage is als volgt opgebouwd: 2. Bevindingen en aanbevelingen - Deze sectie bevat de opgevolgde bevindingen uit de nulmeting 2009 als de bevindingen en aanbevelingen welke in 2010 van toepassing zijn. 3. Groeipad - Deze sectie bevat het herijkte groeipad. Bijlagen (waaronder een overzicht van gevoerde interviews en het toegepaste normenkader). De rapportage is uitsluitend voor u bestemd, aangezien anderen die niet op de hoogte zijn van het doel van de werkzaamheden de resultaten onjuist kunnen interpreteren. Deze rapportage mag daarom niet (geheel of gedeeltelijk) aan derden worden verstrekt, zonder onze uitdrukkelijke toestemming vooraf. De rapportage heeft alleen betrekking op de gespecificeerde elementen zoals beschreven in de doelstelling van het onderzoek. Indien deelnemende partijen een kopie willen ontvangen van deze rapportage dient u conform vorig jaar een release letter te tekenen. Elke deelnemende partij dient een transmittal letter te tekenen. 11

15 2. Bevindingen en aanbevelingen Groei volwassenheid blijft achterbijambitie

16 2. Bevindingen en aanbevelingen Opgevolgde bevindingen Onderstaand zijn de bevindingen opgenomen uit de nulmeting 2009 welke in voldoende mate zijn opgevolgd door Equalit in Actuele bevindingen Op de volgende pagina's zijn per domein de bevindingen opgenomen uit de nulmeting in 2009 welke van toepassing blijven in Een toelichting over de verschillende domeinen vindt u in bijlage C. Ref. Bevinding 1.7 De factsheets welke maandelijks naar de deelnemende partijen worden verstuurd, bevatten niet het aantal openstaande incidenten en het aantal gemelde incidenten. 2.3 De escalatieprocedure voor spoedwijzigingen is niet volledig geïmplementeerd. 4.5 Wij hebben vastgesteld dat een autorisatieverzoek van een nietgeautoriseerde aanvrager toch is uitgevoerd Wij hebben vastgesteld dat de serverruimte niet was afgesloten. 13

17 2. Bevindingen en aanbevelingen IT Control Environment Ref. Bevinding Aanbeveling 1.4 De risicoanalyse die Equalit heeft uitgevoerd voor relevante systemen (infrastructuur, databases, applicaties en besturingssystemen) is beperkt en bovendien niet gedocumenteerd. Hiernaast wordt deze risicoanalyse niet periodiek geactualiseerd. Manag Akkoord. ementreactie: 1.2 Equalit beschikt niet over een IT-jaarplan. Ten tijde van de evaluatie werkt Equalit aan een jaarplan voor Managementreactie: Akkoord. Equalit is bij het opstellen van haar jaarplan gedeeltelijk afhankelijk van de deelnemende partijen. De cyclus van inventarisatie en vaststelling zal in overleg met de deelnemende partijen verbeterd moeten worden. Wij adviseren om de uitgevoerde risicoanalyse te actualiseren voor relevante systemen en gegevens en om de resultaten te documenteren. Het is van belang dat alle kritische componenten (infrastructuur, databases en besturingssystemen) worden meegenomen in deze analyse. Voorts dient de risicoanalyse periodiek geactualiseerd te worden. De risicoanalyse van de applicaties valt onder de verantwoordelijkheid van de deelnemende partijen. Wij adviseren om op korte termijn het IT-jaarplan voor 2011 definitief vast te stellen. Dit jaarplan dient afgeleid te worden van de lange termijn visie welke Equalit heeft vastgelegd in het document "Strategische visie op Informatisering & Applicaties " en dient aan te sluiten op de kadernotitie. Middel Laag 14

18 Bevindingen en IT Control Environment aanbevelingen 1.8 Equalit ontvangt geen periodieke rapportering van derden over de geleverde prestaties van uitbestede diensten. Tevens vindt er geen actieve monitoring plaats ten aanzien van de door derden geleverde prestaties. Wij adviseren om periodieke monitoring in te richten om te waarborgen dat de geleverde prestaties van derden voldoen aan de gemaakte afspraken. Laag Equalit heeft in haar jaarkalender 2011 een beoordeling gepland van alle overeenkomsten met derden over de geleverde prestaties. Deze beoordeling staat gepland voor september De werkwijze ten aanzien van de periodieke controle moet nog vastgesteld en gedocumenteerd worden. Managementreactie: Akkoord. 15

19 2. Bevindingen en aanbevelingen Change & Release management Bevinding 2.4 De autorisatielijsten van de deelnemende partijen zijn niet actueel. Tevens hebben wij voor één wijziging vastgesteld dat deze is verwerkt terwijl de aanvrager niet geregistreerd was als geautoriseerde medewerker voor de deelnemende partij. Manag ementreactie: Akkoord. Gedurende 2010 heeft Equalit veel inspanning geleverd om autorisatielijsten te laten actualiseren door deelnemende partijen. Dit is echter niet voor alle partijen gelukt. Deelnemende partijen dienen zich ervan bewust te zijn dat zij verantwoordelijk zijn voor het actueel houden van de autorisatielijsten. Equalit is zich er van bewust dat klantvriendelijkheid in dit kader afivijkt van de vastgestelde werkwijze. Aanbeveling Wij adviseren te waarborgen dat wijzigingen uitsluitend aangevraagd en verwerkt kunnen worden op verzoek van geautoriseerde medewerkers van de deelnemende partijen. Tevens adviseren wij om te waarborgen dat de autorisatielijsten actueel zijn. Het actueel houden van de autorisatielijsten is de verantwoordelijkheid van de deelnemende partijen. Hoog 2.1 De change & release management procedure is niet volledig geïmplementeerd. Update Bevinding blijft gedeeltelijk van toepassing. De change & release management procedure is niet actueel en daarmee niet in lijn met de huidige werkwijze en inrichting vanassyst. Managementreactie: Akkoord. Wij adviseren Equalit om de change management procedure op korte termijn te actualiseren. Middel 16

20 2. Bevindingen en aanbevelingen Change & Release management Ref. Bevinding Aanbeveling 2.6 Wij hebben op basis van één steekproefcontrole vastgesteld dat onderliggende stukken en de uitkomsten van de Change Advisory Board (hierna CAB) meetings niet altijd in Assyst worden geregistreerd, maar mondeling worden gecommuniceerd naar de Servicedesk. Managementreactie: Akkoord. 2.8 Monitoring op de doorlooptijd van changes vindt niet structureel plaats. De servicedesk medewerkers monitoren de doorlooptijd gedurende hun werkzaamheden maar dit vindt niet gestructureerd en periodiek plaats. Managementreactie: Akkoord. Wij adviseren om de beslissingen in de periodieke CAB meetings + onderliggende stukken te documenteren in het helpdesksysteem Assyst. Wij adviseren om monitoring in te richten om actief de doorlooptijd van wijzigingen bij te houden. Indien mogelijk zou de gewenste doorlooptijd van wijzigingen gekoppeld kunnen worden aan het type wijziging in het helpdesksysteem Assyst. Via een rapportage in Assyst is vervolgens direct inzichtelijk welke wijzigingen niet tijdig zijn verwerkt. Tevens verdient het de aanbeveling om deze taak toe te wijzen aan de change manager. Middel Middel 17

21 2. Bevindingen en aanbevelingen Change & Release management Bevinding Aanbeveling 2.10/2.11 Binnen het huidige change management proces hebben wij via één steekproefcontrole de volgende tekortkomingen vastgesteld voor een niet-standaard wijziging: - Testresultaten zijn niet aantoonbaar in Assyst. - Het akkoord van de applicatiebeheerder om de implementatie uit te voeren in de productieomgeving is niet gedocumenteerd in Assyst. -Het akkoord van de applicatiebeheerder na implementatie in de productieomgeving heeft telefonisch plaatsgevonden en is niet gedocumenteerd in Assyst. Managementreactie: Akkoord. Wij adviseren om de testresultaten en de accordering van de applicatiebeheerders schriftelijke te laten plaatsvinden. De communicatie dient vervolgens geregistreerd te worden in Assyst zodat deze traceerbaar is. Middel 18

22 2. Bevindingen en aanbevelingen Change & Release management Ref. Bevinding Aanbeveling 2.12 Een procedure en/of werkinstructie ontbreekt voor het bepalen of een FallBack nodig isbij een change. Tevens hebben wij voor één door de Change Advisory Board besproken wijziging vastgesteld dat het FallBack formulier ontbreekt. Managementreactie: Akkoord. In de Change Advisory Board wordt besproken of een fallback noodzakelijk is. Deze bevinding is gebaseerd op een specifiek geval waar het FallBack formulier ontbrak. Wij adviseren om een procedure en werkinstructie op te stellen rondom Fallbacks. Deze procedure dient instructies te bevatten welke afwegingen gemaakt moeten worden of een Fallback nodig is. Tevens dienen de taken, verantwoordelijkheden en bevoegdheden te worden beschreven. Het verdient de aanbeveling om de afweging of een Fallback nodig is te registreren in Assyst, zodat deze altijd terug te vinden is. Indien een Fallback wel mogelijk moet zijn, dan is het aan te bevelen om de getroffen maatregelen te registreren in het helpdesksysteem Assyst. Middel 2.14 Relevante documentatie voor de infrastructuur wordt niet structureel bijgewerkt. Tevens hebben wij vastgesteld dat richtlijnen en procedures voor het bijwerken van documentatie (templates, locaties, etc) bij een wijziging ontbreken. Managementreactie: Akkoord. Wij adviseren om richtlijnen en werkinstructies te definiëren voor het bijwerken van relevante documentatie na het doorvoeren van wijzigingen. Tevens verdient het de aanbeveling om periodiek te monitoren of de opgestelde richtlijnen worden nageleefd en of documentatie nog steeds actueel is. Laag 19

www.pwc.nl Subsidies vanuit de accountant bezien Ervaringen en best practices 17 april 2012

www.pwc.nl Subsidies vanuit de accountant bezien Ervaringen en best practices 17 april 2012 www.pwc.nl Subsidies vanuit de accountant bezien Ervaringen en best practices 17 april 2012 Agenda Subsidieproces op hoofdlijnen Accountantsrapportages Aandachtspunten voor de controle Lastige onderwerpen

Nadere informatie

Visie vanuit de BIG-5 op Standard Business Reporting

Visie vanuit de BIG-5 op Standard Business Reporting www.pwc.nl SBR Programma Visie vanuit de BIG-5 op Standard Business Reporting Amersfoort, Inhoud 1. Introductie en disclaimer 2. Rol binnen het SBR programma 3. Samenwerken of concurreren? 4. Bijzondere

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Management-/ energiereview CO2 prestatieladder

Management-/ energiereview CO2 prestatieladder Management-/ energiereview CO2 prestatieladder 2015 Fluor Corporation Deelnemers Ger van der Schaaf: Executive Director Kees Schelling: QA/QC Jos Thijs: Kwaliteitsmanager 1 Resultaten van audits status

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Toelichting rapport commissie Gunning

Toelichting rapport commissie Gunning www.pwc.nl Toelichting rapport commissie Gunning Peter van Driel* 20 september 2012 Kinderopvang Baarn *Secretaris van de Commissie en veelal betrokken bij onderzoek en nazorg van gebeurtenissen die de

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Proces afspraken na implementatie WaaS

Proces afspraken na implementatie WaaS Proces afspraken na implementatie WaaS versie: 1.0 datum: April 2013 auteur: Beheer en Implementatie BNL Versiebeheer Versie Datum Status Auteurs Opmerkingen 1.0 18-4-2013 Definitief Pascal Navarro en

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

Energiemanagementprogramma FUHLER SERVICES BV

Energiemanagementprogramma FUHLER SERVICES BV Energiemanagementprogramma FUHLER SERVICES BV Het vermenigvuldigen van deze documentatie en / of het verstrekken van gegevens aan derden in welke vorm dan ook is ten aller tijde verboden, tenzij hiervoor

Nadere informatie

Internetsoftware voor het opsporen en oplossen van knelpunten

Internetsoftware voor het opsporen en oplossen van knelpunten Inhoud: Wat is Regis t? 3 Regis t als basis voor de RI&E 4 De RI&E en uw organisatie 4 De RI&E applicatie bestaat uit de volgende onderdelen 5 Doorgroeien naar een volwaardig Risk-Managementsysteem? 6

Nadere informatie

Evaluatie en verbetering kwaliteitsysteem

Evaluatie en verbetering kwaliteitsysteem Evaluatie en verbetering kwaliteitsysteem Versie : 00-00-00 Vervangt versie : 00-00-00 Geldig m.i.v. : Opsteller : ------------------- Pag. 1 van 5 Goedkeuringen : Datum: Paraaf: teamleider OK/CSA : DSMH

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Accountantsverslag 2012

Accountantsverslag 2012 pwc I Accountantsverslag 2012 Permar Energiek B.V. 24 mei 2013 pwc Permar Energiek B.V. T.a.v. de Raad van Commissarissen en de Directie Horaplantsoen 2 6717LT Ede 24 mei 2013 Referentie: 31024B74/DvB/e0291532/zm

Nadere informatie

Praktijkhandreiking 1108. Toegang tot relevante informatie voor de opvolgende accountant in het kader van een controle

Praktijkhandreiking 1108. Toegang tot relevante informatie voor de opvolgende accountant in het kader van een controle Toegang tot relevante informatie voor de opvolgende accountant in het kader van een controle Versie 1.0 Datum: 10 februari 2010 Herzien: Onderwerp: Van toepassing op: Status: Relevante wet en regelgeving:

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Energie Kwailteitsmanagement systeem

Energie Kwailteitsmanagement systeem Energie Kwailteitsmanagement systeem (4.A.2) Colofon: Opgesteld : drs. M.J.C.H. de Ruijter paraaf: Gecontroleerd : W. van Houten paraaf: Vrijgegeven : W. van Houten paraaf: Datum : 1 april 2012 Energie

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

9728 ĮT Groningen 1400 AG Bussum 06-52894085 sietse@hofsteengezeeman.nl www.hofsteengezeeman.nl

9728 ĮT Groningen 1400 AG Bussum 06-52894085 sietse@hofsteengezeeman.nl www.hofsteengezeeman.nl HOFSTEENGE ZEEMAN accountante S adviseurs Aan het dagelijks bestuur van de gemeenschappelijke regeling Regio Gooi en Vechtstreek t.a.v. de heer R.W.M. van der Haagen en mevrouw F. van der Giessen L a a

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Energiemanagementplan Carbon Footprint

Energiemanagementplan Carbon Footprint Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Onderwerp: Onderzoek naar de overschrijding van de raming Brandweerkazerne Cothen-Langbroek

Onderwerp: Onderzoek naar de overschrijding van de raming Brandweerkazerne Cothen-Langbroek Raadsvergadering, 22 april 2008 Voorstel aan de Raad Nr: 228 Agendapunt: 6 Datum: 9 april 2008 Onderwerp: Onderzoek naar de overschrijding van de raming Brandweerkazerne Cothen-Langbroek Onderdeel raadsprogramma:

Nadere informatie

MEMO AAN DE GEMEENTERAAD

MEMO AAN DE GEMEENTERAAD MEMO AAN DE GEMEENTERAAD Aan T.a.v. Datum Betreft Van Ons kenmerk CC De gemeenteraad - 23 maart 2012 Interim-controle 2011 Deloitte Het college 112623 Paraaf Datum Controller RP 22-3-2012 Directie Geachte

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid Releasebeleid Ondanks alle aan de samenstelling van de tekst bestede zorg, kan Newway Retail Solutions bv (Newway) géén enkele aansprakelijkheid aanvaarden voor eventuele directe en/of indirecte schade,

Nadere informatie

Partnercertificering Be Informed 2013

Partnercertificering Be Informed 2013 Partnercertificering Be Informed 2013 - Implementatie & Support partner - Be Informed Copyright 2013 by Be Informed. All rights reserved. Nothing in this publication may be duplicated, published or transmitted,

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Hoe zorgt u voor maximale uptime met minimale inspanning?

Hoe zorgt u voor maximale uptime met minimale inspanning? Hoe zorgt u voor maximale uptime met minimale inspanning? Qi ict Delftechpark 35-37 2628 XJ Delft T: +31 15 888 04 44 F: +31 15 888 04 45 E: info@qi.nl I: www.qi.nl De service-overeenkomsten van Qi ict

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Nationale FlexPraktijkdag Modelovereenkomsten 7 april 2016

Nationale FlexPraktijkdag Modelovereenkomsten 7 april 2016 www.pwc.nl Nationale FlexPraktijkdag Modelovereenkomsten 7 april 2016 drs. Elmer van Lienen RTAP mw. mr. Marieke Louwen Agenda Introductie Deel 1: Update Wet DBA - Marieke Louwen Deel 2: Beheersing - Elmer

Nadere informatie

Convenant Horizontaal Toezicht. tussen. PricewaterhouseCoopers Compliance Services B.V. en de Belastingdienst

Convenant Horizontaal Toezicht. tussen. PricewaterhouseCoopers Compliance Services B.V. en de Belastingdienst Convenant Horizontaal Toezicht tussen PricewaterhouseCoopers Compliance Services B.V. en de Belastingdienst Fiscaal dienstverlenersconvenant Partijen, PricewaterhouseCoopers Compliance Services B.V. gevestigd

Nadere informatie

16R.00003 RAADSINFORMATIEBRIEF 16R.00003. college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

16R.00003 RAADSINFORMATIEBRIEF 16R.00003. college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster RAADSINFORMATIEBRIEF 16R.00003 gemeente WOERDEN Van college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster Portefeuille(s) Contactpersoon : sociaal domein

Nadere informatie

REFERENTIE BIJLAGE 1 PRA-FORMULIER BIJLAGE 2 INTERACTIE MATRIX (VOORBEREIDING PRA

REFERENTIE BIJLAGE 1 PRA-FORMULIER BIJLAGE 2 INTERACTIE MATRIX (VOORBEREIDING PRA Werkinstructie : HSEW Blz. : 1 van 8 INDEX 1 SCOPE 2 DOEL 3 PROCEDURE 3.1 Inleiding: 3.2 Voorwaarden: 3.3 Organisatie: 3.4 Werkwijze 3.4.1 PRA-1 3.4.2 PRA-2 3.4.3 Toll-gate 4 UITKOMST 5 RAPPORTAGE 6 REFERENTIE

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer)

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer) Vergadering: 11 december 2012 Agendanummer: 12 Status: Besluitvormend Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 E mail: gemeente@winsum.nl (t.a.v. J. van der

Nadere informatie

www.pwc.nl Onze SEPA-diensten Uw cash management naar een hoger niveau

www.pwc.nl Onze SEPA-diensten Uw cash management naar een hoger niveau www.pwc.nl Onze SEPA-diensten Uw cash management naar een hoger niveau De kansen van de Single Euro Payments Area (SEPA) SEPA gaat niet over het aanpassen van systemen en processen alleen, SEPA raakt direct

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

energiemanagement & kwaliteitsmanagement

energiemanagement & kwaliteitsmanagement Energiemanagement Programma & managementsysteem Het beschrijven van het energiemanagement en kwaliteitsmanagementplan (zoals vermeld in de norm, voor ons managementsysteem). 1 Inleiding Maatschappelijk

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

PSA dienstverlening en Financieel adminstratieve dienstverlening

PSA dienstverlening en Financieel adminstratieve dienstverlening ANNEX VI CONCEPT SLA PSA dienstverlening en Financieel adminstratieve dienstverlening EN Ondernemer Inhoudsopgave 1.1 Achtergrond van de SLA... 3 1.2 Opbouw van de SLA... 3 1.3 Doelstelling van de SLA...

Nadere informatie

Deelplan IC Treasury 2014. Gemeente Lingewaard

Deelplan IC Treasury 2014. Gemeente Lingewaard Deelplan IC Treasury 2014 Gemeente Lingewaard 1 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6. Rapportage 4 7.

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Aan de Raad. Made, 13 februari 2007

Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Aan de Raad. Made, 13 februari 2007 Aan de Raad Made, 13 februari 2007 Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Raadsvergadering: 12 april 2007 Onderwerp: Diagnose Integrale Veiligheid gemeente

Nadere informatie

Draaiboek Invoering Basisregistratie Personen l Afnemers

Draaiboek Invoering Basisregistratie Personen l Afnemers Draaiboek Invoering Basisregistratie Personen l Afnemers Hoofdstap 3 Voorbereiden Publicatiedatum: oktober 2014 Inleiding U heeft een vastgesteld plan van aanpak, u weet welke voorbereidende werkzaamheden

Nadere informatie

Factsheet Outsourcing

Factsheet Outsourcing Factsheet Outsourcing www.vxcompany.com U wilt er zeker van zijn dat de IT-infrastructuur van uw organisatie in goede handen is, zodat u uw aandacht volledig kunt richten op de core business. Wij beheren

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Business Continuity Planning Consultants

Business Continuity Planning Consultants Productnaam: Business Continuity Planning Consultants als het om continuïteit gaat Business Continuity Business Continuity Planning Consultants hanteert voor het opstellen van een calamiteiten- of continuïteitsplan

Nadere informatie

gemeente Eindhoven Raadsvoorstelinzake controleplan accountant 2013

gemeente Eindhoven Raadsvoorstelinzake controleplan accountant 2013 gemeente Eindhoven Raadsnummer 13R5570 Inboeknummer 13bst01755 Beslisdatum B&W 15 oktober 2013 Dossiernummer 13.42.251 Raadsvoorstelinzake controleplan accountant 2013 Inleiding Vanaf boekjaar 2010 is

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Ons kenmerk C100/05.0016522. Aantal bijlagen 1

Ons kenmerk C100/05.0016522. Aantal bijlagen 1 Directie Bestuur & Organisatie Directie Algemeen Aan de Commissie AB Korte Nieuwstraat 6 65 PP Nijmegen Telefoon (024) 329 9 Telefax (024) 329 22 92 E-mail gemeente@nijmegen.nl Postadres Postbus 905 6500

Nadere informatie

Service Level Management SLA Checklist

Service Level Management SLA Checklist Service Level Management SLA Checklist Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : SLA checklist Pagina : I Colofon Titel

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

Inhuur in de Kempen. Eersel, Oirschot en Reusel-De Mierden. Onderzoeksaanpak

Inhuur in de Kempen. Eersel, Oirschot en Reusel-De Mierden. Onderzoeksaanpak Inhuur in de Kempen Eersel, Oirschot en Reusel-De Mierden Onderzoeksaanpak Rekenkamercommissie Kempengemeenten 21 april 2014 1. Achtergrond en aanleiding In gemeentelijke organisaties met een omvang als

Nadere informatie

Service Level Rapportage

Service Level Rapportage Service Level Rapportage Service Level Agreement nummer S115 Service Level Agreement naam HomeWURk Idealis Applicaties n.v.t. Naam klant Idealis Naam contactpersoon klant Hans van Haren Naam Service manager

Nadere informatie