Servicedocument. ICT Management 1: Projects, Business change, Risk and Security

Transcriptie

1 Servicedocument ICT Management 1: Projects, Business change, Risk and Security Dat um: juli 2015 Versie 1.0 Alle rechten voorbehouden Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen in een dataverwerkend systeem of uitgezonden in enige vorm door middel van druk, fotokopie of welke andere vorm dan ook zonder toestemming van de Nederlandse Associatie voor eaminering en EXIN. Pag. 1 van 14

2 Pag. 2 van 14

3 Inhoud 1. Leeswijzer Beschrijving van het eamen... 5 Naam eamen...5 Plaats in iexa raamwerk...5 Globale inhoud...6 Doelgroep...6 Voorkennis/niveau...6 Competenties...6 Toetsvorm...6 Indicatie studielast Eamenspecificaties... 7 Eamenonderwerpen...7 Eindtermen en eamenspecificaties...7 Toelichting Toetsmatrijs Eamengegevens...14 Matrijs...14 Pag. 3 van 14

4 1. Leeswijzer Elk iexa eamen heeft een servicedocument. Een servicedocument beschrijft welke onderwerpen worden getoetst en op welke wijze het eamen is opgebouwd. Het document biedt daarmee voor opleiders een handvat bij de voorbereiding van haar studenten op het eamen. Voor studenten is een apart voorbereidingsdocument beschikbaar. Het servicedocument bevat de volgende onderwerpen: de beschrijving van het eamen; de eamenspecificaties; de toetsmatrijs. Beschrijving van het eamen In de beschrijving van het eamen komen aan de orde: Plaats in het iexa raamwerk; Globale inhoud: een korte beschrijving van de onderwerpen waaruit het eamen bestaat; Doelgroep: voor wie het eamen is bedoeld; Voorkennis: welke kennis vooraf als bekend wordt verondersteld; Vervolg: welk eamen aansluitend op dit eamen gedaan kan worden; Competenties: welke competenties in termen van het e-competence Framework (e-cf) worden getoetst; Toetsvorm: met welk type vragen de toetsing plaatsvindt; Studielast: een indicatie van het aantal studiebelastingsuren. Eamenspecificaties In dit hoofdstuk worden de onderwerpen, eindtermen, nadere eamenspecificaties en een toelichting hierop weergegeven. Het eamen is geconcentreerd rondom een aantal hoofdonderwerpen. Deze worden vervolgens vertaald in eindtermen, c.q. eameneisen. De eindtermen geven op hoofdlijnen aan wat een kandidaat moet kennen en kunnen. De eamenspecificaties zijn een gedetailleerde beschrijving van deze termen. Gebruikmakend van de taonomie van Bloom zijn er vier soorten specificaties: 1. specificaties waarbij een kandidaat iets moet kennen met als doel zaken te reproduceren, op t e sommen, te herkennen, verbanden te leggen en/of te definiëren. Dit leidt tot kennisvragen. Deze specificaties zullen in dit eamen (vrijwel) ontbreken aangezien bij dit verdiepende eamen kandidaten op zijn minst inzicht dienen te tonen in aanvulling op het slechts bezitten van de kennis. 2. specificaties waarbij een kandidaat inzicht dient te hebben in zaken met als doel te selecteren en samen te vatten, te verklaren, te onderbouwen, uit te leggen (in eigen woorden), te beschrijven, verschillen te duiden en/of voorbeelden te geven. Dit leidt tot begripsvragen. 3. specificaties waarbij een kandidaat zaken toe moet kunnen passen met als doel oplossingen voor te stellen, een situatie met kennis van zaken aan te pakken, een test uit te voeren en/of concrete gevallen te toetsen aan abstracte definities. Dit leidt tot toepassingsvragen. 4. specificaties waarbij een kandidaat een analyse moet kunnen uitvoeren met als doel het beschrijven van patronen, het leveren van bewijzen voor een conclusie, het classificeren en/of vergelijken van ingewikkelde problemen. In de toelichting op de eamenspecificaties wordt aangegeven wat een kandidaat geacht wordt te kennen of kunnen bij de betreffende specificatie. Toetsmatrijs Tot slot geeft de toetsmatrijs de opbouw van het eamen weer. In de toetsmatrijs wordt aan de hand van het belang van elke eameneis aangegeven welk deel van de toets hierop betrekking heeft. Daarbij kent elk onderdeel een minimaal en een maimaal aantal vragen. Pag. 4 van 14

5 2. Beschrijving van het eamen Naam eamen iexa eamen ICT Management 1: Projects, Business change, Risk and Security. Plaats in iexa raamwerk Dit eamen heeft betrekking op het e-cf gebied Manage en op een aantal van de daarin voorkomende competenties op e-cf niveau 3. Het eamen richt zich op alle architectuurlagen, te weten: bedrijfsprocessen, applicaties en infrastructuur. In het onderstaande raamwerk is de positie van dit eamen weergegeven: Pag. 5 van 14

6 Globale inhoud Dit eamen kent vier hoofdonderwerpen die aansluiten bij de betreffende e-cf competenties. Als eerste wordt aandacht besteed aan projectmanagement. Daarna volgt het onderwerp risicomanagement. Vervolgens is er aandacht voor verandermanagement. Ten slotte wordt informatiebeveiligingsmanagement behandeld. Doelgroep Dit eamen is bestemd voor mensen die zich willen verdiepen in het managen van de ICT. Het betreft managementthema s die relevant zijn voor zowel de bedrijfsprocessen, de applicaties als de infrastructuur. Voorkennis/niveau De kennis van de basiseamens dient beheerst te worden. Het betreft een eamen op e-cf 3 niveau en daarmee op EQF 6 niveau. Competenties In dit eamen worden verschillende elementen van competenties van het e-cf getoetst. Het betreft kennis- en vaardigheidscomponenten zoals deze in e-cf worden genoemd. Het gaat hierbij om componenten die zich op niveau e-cf 3 bevinden. Dit is vergelijkbaar met EQF 6, oftewel bachelor niveau. Met het eamen worden de in een eamensetting te toetsen aspecten van een competentie afgetoetst. Hiermee wordt een bijdrage geleverd aan het kunnen behalen van de betreffende competentie. In de bijlage wordt een overzicht gegeven van de complete competenties behorende bij dit eamen. Hierdoor valt voor opleiders vast te stellen welke elementen van een competentie nog op een andere manier ontwikkeld c.q. getoetst moeten worden voordat kan worden gesteld dat een student de betreffende competentie volledig bezit (op e-cf 3 niveau). Het betreft in dit eamen de volgende competenties uit het e-cf: E.2 Project and Portfolio Management E.3 Risk Management E.7 Business Change Management E.8 Information Security Management Toetsvorm De toetsing bestaat uit een computergestuurd eamen met gesloten vragen. Indicatie studielast De gemiddelde studielast voor dit eamen is 280 uur. Pag. 6 van 14

7 3. Eamenspecificaties Eamenonderwerpen In het eamen komen de volgende hoofdonderwerpen aan de orde: 1. Project and Portfolio Management 2. Risk Management 3. Business Change Management 4. Information Security Management Eindtermen en eamenspecificaties k b t a E2 Project- and Portfoliomanagement E2.1 De kandidaat heeft inzicht in projectmethoden en technieken, intellectueel eigendomsrecht en kan omgaan met projectrisico s. E2-K6.1 De kandidaat kan van een aantal projectmanagement methoden de uitgangspunten, processen, technieken en rollen onderscheiden. E2-K5.1 De kandidaat kan de soorten intellectueel eigendomsrecht onderscheiden. E2-K5.2 De kandidaat kan de belangrijkste principes en regelgeving van het intellectueel eigendomsrecht beschrijven. E2-S1.1 De kandidaat kan projectrisico s beoordelen. E2-S1.2 De kandidaat kan actieplannen beoordelen om risico s te reduceren. E2.2 De kandidaat kan over de projectvoortgang communiceren en de projectteamleden aansturen. E2-S3.1 De kandidaat kan de projectvoortgang aan alle relevante partijen communiceren en daarbij informatie geven over onderwerpen zoals kostenbeheersing, nakoming van het schema, kwaliteitscontrole, risicovermijding en wijzigingen van de projectspecificaties. E2-S4.1 De kandidaat kan taken delegeren. E2-S4.2 De kandidaat kan de bijdragen van teamleden bepalen. k b t a E3 Risk Management E3.1 De kandidaat heeft inzicht in algemene principes en methoden van risicomanagement. E3.1.1 De kandidaat kan verschillende houdingen ten opzichte van risico onderscheiden. E3-K2.1 De kandidaat kan een aantal voor risicomanagement relevante methoden om de rentabiliteit te bepalen van investeringen beschrijven. E3-K3.1 De kandidaat kan methoden en standaarden op gebied van risicoanalyse onderscheiden. E3.2 De kandidaat kan met betrekking tot risico plannen opstellen, communiceren, documenteren en acties uitvoeren. E3-S1.1 De kandidaat kan een risico management plan interpreteren waarin preventieve acties worden geïdentificeerd. E3-S1.2 De kandidaat kan een analyse maken van het risico. E3-S2.1 De kandidaat kan beschrijven hoe de resultaten van de bedrijfsrisicoanalyse en de risicomanagementprocessen gecommuniceerd en gepromoot kunnen worden. Pag. 7 van 14

8 E3-S3.1 E3-S4.1 De kandidaat kan beschrijven hoe processen voor risicoanalyse en -management ontwikkeld en gedocumenteerd kunnen worden. De kandidaat kan proactieve en reactieve maatregelen bepalen om het optreden van risico te beperken. k b t a E7 Business Change Management E7-1 De kandidaat heeft inzicht in algemene principes en methoden van management van verandering. E7-1.1 De kandidaat kan methoden van verandermanagement onderscheiden. E7-K1.1 De kandidaat kan digitale strategieën onderscheiden. E7-K1.2 De kandidaat kan technieken die ingezet worden bij digitale strategieën onderscheiden. E7-K2.1 De kandidaat kan de impact van organisatieveranderingen op de organisatie en de medewerkers beschrijven. E7-S4.1 De kandidaat kan normen en hulpmiddelen voor projectmanagement toepassen. k b t a E8 Information Security Management E8-1 De kandidaat heeft inzicht in informatiebeveiligingsmanagement en -beleid en kan dit beleid ten uitvoer brengen. E8-K2.1 De kandidaat kan de implicaties bepalen die het organisatie beveiligingsmanagementbeleid kan hebben voor de samenwerking met klanten, leveranciers en onderaannemers. E8-S3.1 De kandidaat kan een risicomanagement plan interpreteren. E8-S3.2 De kandidaat kan preventieve actieplannen interpreteren. E8-S6.1 De kandidaat kan een herstelplan interpreteren. E8-S4.1 De kandidaat kan een beveiligingsaudit interpreteren. E8-2 De kandidaat heeft inzicht in specifieke technieken en maatregelen met betrekking tot informatie beveiliging. E8-K6.1 De kandidaat kan maatregelen tegen cyberaanvallen bepalen. E8-K7.1 De kandidaat kan computer forensisch onderzoek en de daarmee samenhangende zaken beschrijven. E8-S5.1 De kandidaat kan monitoring en testing technieken met betrekking tot informatiebeveiliging bepalen. Toelichting E2 Project- and Portfolio Management E2.1 De kandidaat heeft inzicht in projectmethoden en technieken, intellectueel eigendomsrecht en kan omgaan met projectrisico s. E2-K6.1 De kandidaat kan van een aantal projectmanagement methoden de uitgangspunten, processen, technieken en rollen onderscheiden. Prince2 Agile Projectmanagement Scrum PMBOK Guide ISO IPMA ICB k b t a Pag. 8 van 14

9 E2-K5.1 De kandidaat kan de soorten intellectueel eigendomsrecht onderscheiden. Volgens de World Intellectual Property Organization (WIPO): Patents Copyright and Related Rights Trademarks Industrial Designs and Integrated Circuits Geographical Indications Protection Against Unfair Competition En kent de invulling hiervan in het Nederlands recht. E2-K5.2 De kandidaat kan de belangrijkste principes en regelgeving van het intellectueel eigendomsrecht beschrijven. De kandidaat kent de strekking van de volgende zaken: Bescherming van software middels copyright: o Berne Convention; art. 2(1), art. 9 reproductie, art. 5(2) o TRIPS Agreement; art. 10(1) copyright bescherming van computer programma s, art. 10(2) bescherming van databases o WIPO Copyright Treaty (WCT); art. 4copyright bescherming van computer programma s, art. 5 bescherming van databases Bescherming van software middels patenten: o TRIPS Agreement; art Report of the Second Committee of Governmental Eperts on Copyright Problems Arising from the Use of Computers for Access to or the Creation of Works convened by WIPO and Unesco in Paris in June 1982 WIPO Internet Domain Name Processes Digital Rights Management De invulling hiervan in het Nederlands recht E2-S1.1 De kandidaat kan projectrisico s beoordelen. Met behulp van: Risico Diagnose Methode (RDM) Risk Breakdown Structure Risicobeoordeling E2-S1.2 De kandidaat kan actieplannen beoordelen om risico s te reduceren. Pag. 9 van 14

10 E2.2 De kandidaat kan over de projectvoortgang communiceren en de projectteamleden aansturen. E2-S3.1 De kandidaat kan de projectvoortgang aan alle relevante partijen communiceren en daarbij informatie geven over onderwerpen zoals kostenbeheersing, nakoming van het schema, kwaliteitscontrole, risicovermijding en wijzigingen van de projectspecificaties. Met behulp van: Tijdsplan Geldplan Kwaliteitsplan Informatieplan Organisatieplan Risicomanagementplannen E2-S4.1 De kandidaat kan taken delegeren. E2-S4.2 De kandidaat kan de bijdragen van de teamleden bepalen. Met behulp van: Teamprofiel volgens Belbin Model van Tannenbaum en Schmidt E3 Risk Management E3.1 De kandidaat heeft inzicht in algemene principes en methoden van k b t a risicomanagement. E3.1.1 De kandidaat kan verschillende houdingen ten opzichte van risico onderscheiden. risicozoekend risiconeutraal risicomijdend E3-K2.1 De kandidaat kan een aantal voor risicomanagement relevante methoden om de rentabiliteit te bepalen van investeringen beschrijven. Capital Asset Pricing Model Weighted Average Cost of Capital Scenarioanalyse E3-K3.1 De kandidaat kan methoden en standaarden op gebied van risico analyse onderscheiden. Standaarden: ISO ISO ISO Methoden: CRAMM M_o_R E3.2 De kandidaat kan met betrekking tot risico plannen opstellen, communiceren, documenteren en acties uitvoeren. E3-S1.1 De kandidaat kan een risico management plan interpreteren waarin preventieve acties worden geïdentificeerd. Voorbereiden: Steun van het management Middelen in de vorm van tijd, budget, en mensen Pag. 10 van 14

11 Stappen: Bepalen van de kritieke bedrijfsactiviteiten Identificeren risico s: o Afhankelijkheidsanalyse o Configuratieanalyse o Kwetsbaarheidsanalyse o Maatregelanalyse Analyse van niveau van risico Evalueren van risico s Manieren om met risico s om te gaan: o vermijden o verminderen o verplaatsen o accepteren Onderdelen per risico: Maatregelen Benodigde middelen en mensen Termijn waarop maatregelen genomen gaan worden en afgerond zijn Kosten Wanneer het risico voldoende afgedekt is Benodigde kennis en ervaring om het plan uit te voeren E3-S1.2 De kandidaat kan een analyse maken van het risico. Met behulp van de volgende technieken: Fault Tree Analysis, foutenboom Ishikawa, visgraatmethode Likelihood diagram 'What-if'-methode E3-S2.1 De kandidaat kan beschrijven hoe de resultaten van de bedrijfsrisicoanalyse en de risicomanagementprocessen gecommuniceerd en gepromoot kunnen worden. E3-S3.1 E3-S4.1 De kandidaat kan beschrijven hoe processen voor risicoanalyse en -management ontwikkeld en gedocumenteerd kunnen worden. Processen vastleggen met behulp van: 1. Inventarisatie/ identificatie 2. Analyse en beoordeling 3. Afwegen van alternatieven en opstellen plan van aanpak 4. Toetsen 5. Uitvoeren beheersstrategie/ Implementatie van plan van aanpak 6. Evaluatie De kandidaat kan proactieve en reactieve maatregelen bepalen om het optreden van risico te beperken. Pag. 11 van 14

12 E7 Business Change Management E7-1 De kandidaat heeft inzicht in algemene principes en methoden van k b t a management van verandering en kan projectmanagement toepassen. E7-1.1 De kandidaat kan methoden van verandermanagement onderscheiden. Lewin: Driefasenmodel Chin en Benne: Veranderingsstrategieën Zaltman: Veranderingsstrategieën en adoptie Argyris: Action learning Senge: Lerende organisatie Kotter: 8-stappenmodel De Caluwe en Vermaak: Kleurenmodel E7-K1.1 De kandidaat kan digitale strategieën onderscheiden. Digitale business strategie Digitale marketing strategie E7-K1.2 De kandidaat kan technieken die ingezet worden bij digitale strategieën onderscheiden. Search Engine Marketing Search Engine Optimization Search Engine Advertising Banner advertising Affiliate marketing Sociale media marketing E7-K2.1 De kandidaat kan de impact van organisatieveranderingen op de organisatie en de medewerkers beschrijven. Met behulp van een change impact assessment. E7-S4.1 De kandidaat kan normen en hulpmiddelen voor projectmanagement toepassen. Deze toetsterm wordt in dit eamen reeds afgetoetst middels de toetstermen onder E2. E8 Information Security Management E8-1 De kandidaat heeft inzicht in informatiebeveiligingsmanagement en -beleid en k b t a kan dit beleid ten uitvoer brengen. E8-K2.1 De kandidaat kan de implicaties bepalen die het organisatie beveiligingsmanagementbeleid kan hebben voor de samenwerking met klanten, leveranciers en onderaannemers. Beveiligingsmanagementbeleid wordt doorvertaald naar afspraken in de SLA, de beveiligingsparagraaf Hogere kwaliteit van de beveiliging Voorkomen dat door onzorgvuldigheid bij de afnemer de aanbieder niet aan zijn verplichting kan voldoen Voorkomen van imagoschade bij de aanbieder door ontbreken impliciete verwachtingen bij afnemer Vermijden van vaagheid en onveiligheid door vastleggen wederzijdse verantwoordelijkheden Basis voor aansprakelijkheidskwesties na optreden incident E8-S3.1 De kandidaat kan een risicomanagement plan interpreteren. Deze toetsterm wordt in dit eamen reeds afgetoetst middels toetsterm E3-S1.1. Pag. 12 van 14

13 E8-S3.2 De kandidaat kan preventieve actieplannen interpreteren. Onderdelen: Wijze waarop een potentieel probleem geïdentificeerd wordt Waar en hoe een potentieel probleem gerapporteerd wordt Wijze waarop en door wie de oorzaak wordt onderzocht Welke actie ondernomen wordt Hoe acties gerapporteerd worden Inschatten van de effectiviteit van de oplossing en documenteren van de onderbouwing van deze beslissing Wanneer en door wie het probleem afgerond wordt verklaard E8-S6.1 De kandidaat kan een herstelplan interpreteren. Met behulp van: Businessimpactanalyse Critical recovery timeframe Recovery point objective Recoverystrategie (break-even-punt kosten beperken recoverytijd vs kosten impact calamiteit) Strategieën voor de technische infrastructuur: o Vervanging o Cold site o Warm site o Wederzijdse overeenkomst o Hot site o Ontdubbeling Minimale IT-bezetting bij herstellen serviceverlening Storage strategie voor locatie back-ups In geval van een crisissituatie met behulp van: Disaster response Disaster recovery Relocatie of heringebruikname E8-S4.1 De kandidaat kan een beveiligingsaudit interpreteren. E8-2 De kandidaat heeft inzicht in specifieke technieken en maatregelen met betrekking tot informatie beveiliging. E8-K6.1 De kandidaat kan maatregelen tegen cyberaanvallen bepalen. Cyberaanvallen: Distributed denial-of-service (Ddos) Mailbom Spyware Virussen, Wormen, Trojaanse paarden Hacking Man-in-the-middle Maatregelen: DNS-sinkhole Deep-packet inspection Tarpits Firewall Clean pipes Scrubbing center Pag. 13 van 14

14 E8-K7.1 E8-S5.1 De kandidaat kan computer forensisch onderzoek en de daarmee samenhangende zaken beschrijven. Ten behoeve van: Strafrechtelijk onderzoek Civiele zaken Inlichtingen Administratieve zaken Met behulp van analyse van digitale sporen op: computer c.q. laptop Internet en verkeer Netwerken Mobiele apparaten De kandidaat kan monitoring en testing technieken met betrekking tot informatiebeveiliging bepalen. een kwetsbaarheden assessment een penetratietest (pentest) firewalking 4. Toetsmatrijs Eamengegevens Eamenvorm: schriftelijk eamen met gesloten vragen. Aantal vragen: 50 Eamentijd: 120 min. Matrijs De toetsmatrijs geeft een overzicht van het minimaa l en maimaal aantal vragen per eindterm en per vraagsoort. Eindterm Specificatie Puntenverdeling vorm Soort in % min ma K B T A E2 K6.1, K5.1, K X E2 S1.1, S1.2, S3.1, S4.1, S X E3 1.1, K2.1, K3.1, S2.1, S3.1, 5 10 X E3 S1.1, S1.2, S X E7 1.1, K1.1, K1.2, K X S X E8 K2.1, K6.1, K X S3.1, S3.2, S6.1, S4.1, S X Kennisvragen 0 0 Begripsvragen Toepassingsvragen Analysevragen 0 0 Totaal 100% Pag. 14 van 14