Een model voor de beheersing en controle van ICT-ketens



Vergelijkbare documenten
Een model voor de beheersing en controle van ICT-ketens

Beheersing van risico s en controls in ICT-ketens

Trust audits en hun rol in het beoordelen van de robuustheid van ICT-ketens

MKB Cloudpartner Informatie TPM & ISAE

Vertrouwen in ketens. Jean-Paul Bakkers

Hoe goed bent u in control over de robuustheid van uw ICT-keten? -----

Generiek Framework voor Assurance in ICT-ketens

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Hoe groot was de appetite voor risk appetite?

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit

Jacques Herman 21 februari 2013

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Actuele ontwikkelingen in IT en IT-audit

BEVEILIGINGSARCHITECTUUR

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

DATAMODELLERING SIPOC

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Post Graduate IT Audit opleiding

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Verantwoordingsrichtlijn

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Enterprisearchitectuur

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Agile : Business & IT act as one

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Wees in control over uw digitale landschap

Business Continuity Management conform ISO 22301

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

HET GAAT OM INFORMATIE

NOREA Visie Brigitte Beugelaar. 14 september 2015

Risico management 2.0

Databeveiliging en Hosting Asperion

Ook werden verschillende uitvoeringsmodellen voor

Notitie Doel en noodzaak conceptueel (informatie)model

ISO/IEC in een veranderende IT wereld

Het succes van samen werken!

Hoezo dé nieuwe ISO-normen?

Partnering Trust in online services AVG. Vertrouwen in de keten

Het BiSL-model. Een whitepaper van The Lifecycle Company

VISIEDOCUMENT INFORMATIEMANAGEMENT Stichting Openbaar Onderwijs Zwolle en Regio

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

III Stream IT Auditing. UWV / CIP / VU- IT auditing

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

2014 KPMG Advisory N.V

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Risicomanagement functie verzekeraars onder Solvency II

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Meer Business mogelijk maken met Identity Management

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

Digikoppeling adapter

Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Acceptatietesten

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Readiness Assessment ISMS

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

SURFshare. Shared application services & expertise. Edwin van der Zalm directeur SURFshare

A7 Richtlijn Permanente Educatie (wijzigingsvoorstel 2018, ter consultatie)

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

EXIN WORKFORCE READINESS werkgever


Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Goed functioneel beheer noodzaak voor effectievere SPI

De controller met ICT competenties

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Informatie is overal: Heeft u er grip op?

Archimate risico extensies modelleren

Het nieuwe plug-in model: interpretatie en certificatie

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

Pronto. Business Architectuur met

28 september 2017 PON Outsourcing Kenniscongres

Zwaarbewolkt met kans op neerslag

Copyright Stork N.V. 1

Security (in) architectuur

Shared Services in ontwikkeling binnen de Rijksoverheid

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

EXIN WORKFORCE READINESS opleider

Taakcluster Management support

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Medical device software

Handreiking Interoperabiliteit tussen XDS Affinity Domains. Vincent van Pelt

Inhoudsopgave. Inleiding 4. Programma 5. Module Theoretische Fundament 5. Module Praktijkproject 5. Rooster 6. Opleidingskosten 6

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Transcriptie:

Een model voor de beheersing en controle van ICT-ketens Het Chain Content, Context & Control (C 4 -) model (Gepubliceerd in de IT-Auditor Q4, 2012) Het belang van (de beheersing van) ICT-ketens neemt sterk toe. Bestaande modellen voor ICT-beheersing en controle van zijn veelal intra-organisatorisch, en niet gericht op ICT-ketens. Dit artikel introduceert het C 4 -model als hulpmiddel voor het inrichten van kwaliteitsbeheersing in ICT-ketens gericht op het verkrijgen van keten assurance. Harrie Bastiaansen, Ype van Wijk In de maatschappij neemt het belang van ICT-ketens sterk toe. Bij ICT-ketens gaan ICT-diensten en - infrastructuren over de grenzen van bedrijven en bedrijfsonderdelen heen. Niet alleen neemt het aantal ICTketens sterk toe, ook worden ze steeds complexer: ze ondersteunen meer functionaliteit en er zijn steeds meer partijen (ketenpartners) betrokken. Doordat ICT-ketens in belang toenemen wordt het steeds meer noodzakelijk dat deze ketens robuust zijn. Dit brengt de noodzaak mee om de ICT-ketens goed te beheersen en de kwaliteit ervan te auditen. Getuige hiervan zijn de Norea werkgroep voor ketenauditing [NORE12], onderzoeksinitiatieven bijvoorbeeld in de EU [ENIS09] en Nederland [SEQU12] en eerdere publicaties in het Norea tijdschrift de IT-auditor over ICTketenauditing [MEER05], [BRUI06-1], [BRUI06-2], [MOLL10]. Het Nederlands onderzoeksproject TTISC [TTIS12] werkt aan een Assurance-raamwerk voor ICTketenbeheersing en -controle. Als resultaat daarvan presenteren we in dit artikel het Chain Content, Context & Control model (het C 4 -model). Dit model bestaat uit drie delen: (1) de content, gericht op wat het te beheersen object in de ICT-keten inhoudt; (2) de context, gericht op het perspectief van waaruit beheersing (of beoordeling) van de ICT-ketens plaatsvindt; (3) de control, gericht op de wijze waarop beheersing in ICT-ketens wordt vormgegeven. Dit artikel is het eerste deel van een drieluik. In dit artikel ligt de nadruk op het C 4 -model voor integrale ICTketenbeheersing. Zoals wordt beschreven in de afsluitende paragraaf van dit artikel, geven de andere twee delen hier vervolg aan door te beschouwen hoe hiermee de governance van ICT-ketens verder kan worden geoptimaliseerd. Dit artikel is als volgt opgebouwd: de volgende twee paragrafen lichten de doelstelling van een model voor de integrale beheersing van ICT-ketens toe en schetsen de opzet voor zo n model. De daaropvolgende paragrafen gaan achtereenvolgens in op de individuele componenten van het model: de content, context en control. Het artikel wordt afgesloten met een concluderende paragraaf die de voorgaande paragrafen samenvat in een integrale weergave van het C 4 -model, aangevuld met een beknopte beschrijving van de twee vervolgartikelen die onderdeel uitmaken van eerdergenoemd drieluik. DOELSTELLING VOOR EEN MODEL VOOR INTEGRALE ICT-KETENBEHEERSING Zoals in de inleiding aangegeven, staat het onderwerp van beheersing en controle van ICT-ketens volop in de belangstelling. Het onderwerp kan daarbij vanuit een groot aantal verschillende oogpunten bekeken worden, hetgeen eenduidige communicatie hierover lastig maakt. Uit de praktijk is dan ook de behoefte ontstaan aan een gedegen model om de diverse perspectieven op ICT-ketenbeheersing in beeld te brengen. Dit model dient het volledige speelveld af te dekken ten einde van integrale ICT-ketenbeheersing te kunnen spreken. Deze behoefte aan een integraal model is ook bekend uit de literatuur (citaat [RAVA07], bladzijde 49/50): Page 1

For a complete and comprehensive solution to its control needs, a business needs a systemic framework for control system development. Without an overarching model (a framework), it would be almost impossible to prove risks are managed well and as completely as necessary. Frameworks permit us to define the scope of control and security systems within a business. Er bestaan allerlei modellen, raamwerken en richtlijnen, onder meer voor ICT-beheersing, auditing, assurance en governance. Deze zijn onder meer opgesteld vanuit de internationale accountantspraktijk (IFAC, www.ifac.org), de IT-audit professie (ISACA, www.isaca.org) en de ISO standaardisatie-omgeving (www.iso.org). Nagenoeg al deze modellen en richtlijnen zijn echter opgesteld vanuit intra-organisatorisch perspectief. Soortgelijke modellen en richtlijnen ontbreken nog voor automatisering in ICT-ketens. Een aantal aspecten maakt de beheersing van ICT-ketens anders dan intra-organisatorische beheersing van ICT. In ICT-ketens is sterke governance niet een gegeven. Er is veelal geen (strikte) line of command. De span of control voor individuele organisaties is beperkt. Vaak moeten beslissingen middels consensus worden genomen. Daarnaast definiëren de verschillende ketenpartners kosten, baten en doelstellingen niet eenduidig en zijn kosten en baten ook niet noodzakelijkerwijs evenredig verdeeld over alle ketenpartners. Tot slot kunnen er communicatie- en cultuurverschillen zijn tussen ketenpartners. Zelfs binnen hetzelfde land kunnen verschillende sectoren specifieke terminologie hanteren. Een gedeeld begrip en afstemming in de communicatie zijn van groot belang. Het onderzoeksproject TTISC wil tegemoetkomen aan de behoefte aan een model voor integrale ICTketenbeheersing en heeft daarom het initiatief genomen om zo n model op te stellen, daarbij zoveel mogelijk hergebruik makend van bestaande modellen. Dit model wordt in het vervolg van dit artikel beschreven. DE OPZET VAN HET MODEL VOOR INTEGRALE ICT-KETENBEHEERSING Een basiseis aan een model voor integrale ICT-ketenbeheersing is dat het zowel de verschillende onderwerpen van ICT-ketenbeheersing (ofwel de content ) benoemt, de verschillende perspectieven beschouwt van waaruit beheersing en beoordeling van ICT-ketens plaatsvindt (ofwel de context ) als de methoden omvat waarop control kan worden uitgeoefend (ofwel de control ). Het C 4 -model omvat deze onderwerpen content, context en control. Het model beschrijft elk van de onderwerpen op twee assen, waardoor voor elk van de drie onderwerpen een vlak ontstaat. Het content-vlak wordt gedefinieerd door de as beheersingsniveau en de as beheersingsobject, het context-vlak door de as ketentypologie en de as ketenperspectief, en het control-vlak door de as afspraken en de as implementatie. In de volgende paragrafen wordt elk van de vlakken met hun assen verder toegelicht, uitmondend in een detaillering van het C 4 -model. HET CONTENT-VLAK VAN HET C 4 -MODEL Het content-vlak wordt gedefinieerd door de assen beheersingsobject en beheersingsniveau, zoals weergegeven in Figuur 1: Het content-vlak. Page 2

De as Beheersingsobject Deze as geeft aan of het object van beheersing de (financiële) waarde van de ICT-keten betreft, de functionele onderdelen (de te leveren service ) per ketenpartner, of de kwaliteit waarmee deze diensten en dienstonderdelen aan elkaar worden geleverd. Waarde: De bijdrage aan strategische doelstellingen, baten en kosten van het werken en afstemmen van ketens. Functioneel: Afstemming van servicecomponenten, baten en kosten met individuele ketenpartners. Kwalitatief: De mate waarin aan de (kwalitatieve) verplichtingen van de serviceverlening wordt voldaan. De term kwaliteit is hierbij een breed begrip. Het kan een breed palet aan kwaliteitseigenschappen voor software systemen aanduiden, zoals bijvoorbeeld uitgewerkt in het Quint-model [QUIN96] (afgeleid van de ISO/IEC norm 9126-1 [ISO01]) dat is weergegeven in Figuur 2. De as Beheersingsniveau Figuur 2: Kwaliteitsaspecten volgens het Quint-model. Deze as geeft het bestuurlijke niveau aan waarop de beheersing van toepassing is. Drie beheersingsniveaus worden onderscheiden, zoals bekend uit het KAD+ model [HART10] gericht op de beheersing van intraorganisatorische administratieve dienstverlening. Deze drie niveaus zijn: Strategische beheersing: De strategische uitgangspunten en aansturing voor de ICT-keten. Organisatorische beheersing: De vertaling van de strategische uitgangspunten naar het organisatorische beheerskader van de ICT-keten. Operationele beheersing: De inrichting en de beheersing van de werkprocessen. Page 3

HET CONTEXT-VLAK VAN HET MODEL Het context-vlak wordt gedefinieerd door de assen ketentypologie en ketenperspectief, zoals weergegeven in De as Ketentypologie Figuur 3: Het context-vlak. De typologie geeft de wijze weer waarop de samenwerkings- en afstemmingsrelaties in een ICT-keten zijn ingevuld. Het basisonderscheid is de mate waarin er een overkoepelend gezag in de keten is dat eisen aan ketenpartners kan opleggen over de wijze van invulling van ICT-voorzieningen. We onderscheiden drie typen: Ketenkoppeling: Bij ketenkoppeling werken ketenpartners met elkaar samen op basis van afspraken over hun koppelvlak, zonder daarbij afstemming te hebben over de geleverde functionaliteit of de (kwaliteit van) de technische implementatie. Deze situatie treedt bijvoorbeeld op wanneer een organisatie diensten op dynamische wijze via service oriëntatie van een andere ketenpartner afneemt. Ketenafstemming: Bij ketenafstemming stemmen ketenpartners wel de functionaliteit en de kwaliteit van de technische implementatie op elkaar af. Op basis van consensus kunnen daarbij beslissingen worden genomen. Een voorbeeld hiervan is de situatie waarin ketenpartners op vanuit een gedeeld belang met elkaar de kwaliteit van hun technische implementatie bespreken, risico s en zwakheden identificeren en eventueel tot (technische of procesmatige) compenserende maatregelen besluiten, zoals bijvoorbeeld in [BAST11] beschreven is voor het kwaliteitsaspect continuïteitsmanagement. Als speciale uitingsvormen hiervan kunnen het sluiten van een Service Level Agreement (SLA) of afgeven van een Third Party Mededeling (TPM) worden genoemd. Ketensturing: Bij ketensturing is er sprake van een ketenpartner met voldoende overkoepelend gezag om eisen aan ketenpartners op te kunnen leggen over de wijze van invulling van hun ICTvoorzieningen. Dit zowel bijvoorbeeld doordat er een ketenpartner is met een dominante marktpositie of doordat de wet- en regelgeving eisen oplegt. In zijn algemeenheid zullen ICT-ketens hybride van aard zijn: één van bovenstaande types zal niet voor alle relaties in de keten van toepassing zijn. De as Ketenperspectief Het ketenperspectief beschrijft de optiek van waaruit de ICT-keten wordt beschouwd. De volgende perspectieven worden daarbij onderscheiden: Page 4

Het toezichtperspectief: In dit perspectief wordt de gehele ICT-keten van buitenaf beschouwd ten einde over de compliance met wet- en regelgeving te kunnen oordelen. Het ketenperspectief: In dit perspectief wordt de gehele ICT-keten (van buitenaf ) beschouwd ten einde te kunnen oordelen over een beheersingsaspect van de ICT-keten in zijn geheel, bijvoorbeeld de eind-tot-eind beheersing van business continuïteit, zowel organisatorisch als operationeel. Het partnerperspectief: In dit perspectief wordt een beheersingsaspect beschouwd vanuit de positie van een specifieke partij en ketenpartner binnen de ICT-keten. Niet de gehele ICT-keten wordt beschouwd maar het belang van slechts één enkele schakel hierin. HET CONTROL-VLAK VAN HET MODEL Het control-vlak wordt gedefinieerd door de assen afspraken en implementatie, zoals weergegeven in Figuur 4. De as Afspraken Figuur 4: Het control-vlak. De afspraken omvatten de (contractuele) afspraken tussen de ketenpartners, zoals vastgelegd in een Service Level Agreement (SLA). De volgende aspecten zijn van belang bij beoordeling van de gemaakte afspraken: Volledigheid: Zowel de (technische) kwaliteitsaspecten als de procesinteracties dienen in de afspraken met voldoende detail te zijn benoemd. Als voorbeeld van een kwaliteitsaspect kan beschikbaarheid worden genoemd, uitgedrukt in bijvoorbeeld zowel minimaal percentage beschikbaarheid, maximaal aantal incidenten per jaar en maximale duur van de verstoring per incident. Als voorbeeld van procesinteractie noemen we procesafspraken rondom business continuïteit [BAST10]. Betrouwbaarheid: De betrouwbaarheid van afspraken dienen een waarheidsgetrouwe afspiegeling te geven van de implementatie en de beheersingsmaatregelen die de aanbieder getroffen heeft. Hier komt het aspect vertrouwen om de hoek kijken, met het instrument trust audit [BAST12] ter beoordeling hiervan. Aaneenschakeling: Dit omvat de aaneenschakeling van de afspraken die tussen de diverse ketenpartners op de verschillende plaatsen in de ICT-keten zijn afgesproken. Zijn ze consistent? Hoe tellen de verschillende afspraken bij elkaar op tot het vereiste niveau van beheersing van de gehele keten. Het is mogelijk hiervoor wiskundige modellen te ontwikkelen [SEQU12], waar zelfs de betrouwbaarheid van gemaakte afspraken in kan worden verdisconteerd. Hieraan wordt in het Nederlandse onderzoeksproject TTISC [TTIS12] gewerkt. De as Implementatie Page 5

De implementatie omvat de daadwerkelijke bestuurlijke en technische maatregelen die in de ICT-keten en door ketenpartners zijn genomen om beheersing van de ICT-ketens te realiseren, bijvoorbeeld de maatregelen om het kwaliteitsaspect beschikbaarheid te verhogen. Zoals vertrouwd zal voorkomen in de audit professie, zijn de volgende aanpakken daarbij te onderscheiden: Systeemgericht: Dit betreft de besturings- en beheersingsprocessen en maatregelen. Deze dienen op zodanige wijze te zijn vormgegeven zodat de beheersing van de keten adequaat is. Gegevensgericht: De (uitwisseling en transformatie van) gegevens in de ICT-keten is hetgeen waar het uiteindelijk om gaat. Dit wordt ook wel aangeduid als het content network. De gegevensgerichte aanpak beschouwt derhalve of de ICT-keten zodanig is ingericht dat de uitwisseling van informatie en gegevens, binnen de waardeketen juist en controleerbaar is. Distributiegericht: De applicaties en ICT-systemen (zowel servers als operating systemen) in de ICT-keten vervullen de taak om de gegevens en informatie daadwerkelijk uit te wisselen tussen de verschillende partijen. Dit wordt ook wel aangeduid als het delivery network. De distributiegerichte aanpak beschouwt daarom de implementatiegerichte maatregelen die de kwaliteit hiervan moeten borgen. Hieronder vallen maatregelen zoals redundantie (om beschikbaarheid te verhogen), encryptie (om vertrouwelijkheid te verhogen) en informatievalidatie (om integriteit te borgen). CONCLUSIES In dit artikel hebben we een model voorgesteld en uitgewerkt voor de beheersing en controle van ICT-ketens. Het geeft een handvat om het totale speelveld van ICT-ketenbeheersing te overzien, hiaten hierin te identificeren en communicatie hierover te vergemakkelijken. Daarbij kan het model tevens dienen om de scope van ICT-ketenaudits te bepalen. De sterkte van model is dat het vanuit zowel een content, context als control perspectief is vormgegeven, waardoor het de grote diversiteit aan en wijze van kijken naar ICT-ketens afdekt. Daarmee is het model een goed hulpmiddel bij het beheersen en auditen van ICT-ketens. De gezamenlijke uitwerking van de content-, context- en control-vlakken op beide assen uit de voorgaande paragrafen, kan visueel in het (kubusvormige) C 4 -model voor integrale ICT-ketenbeheersing worden weergegeven, zie Figuur 5 Page 6

Figuur 5: Gedetailleerde weergave van C 4 -model voor integrale ICT-ketenbeheersing. Zoals gezegd, het combineren van de drie vlakken tot een kubus in deze figuur is louter is bedoeld voor visualisatie. Om de kubus te gebruiken (voor bijvoorbeeld het positioneren van ICT-audits) zal veelal gebruik worden gemaakt van de individuele onafhankelijke vlakken (i.e. het content-vlak het context-vlak en het control-vlak), waarbij voor specifieke ICT-ketens per vlak de afweging kan worden gemaakt welke van de aspecten voor beheersing en controle als relevant worden beoordeeld. Wij roepen hierbij organisaties tevens op om samen met ons dit model voor het beheersen van ICT-ketens en het positioneren van ketenaudits voor hun (bedrijfs-) of ketensituatie te beproeven en verder te ontwikkelen. Het verder invullen van het model door de ontwikkeling van best practices en governance richtlijnen voor ketens zou hierbij een goede vervolgstap kunnen zijn. Het vervolg Het Nederlands onderzoeksproject TTISC [TTIS12] werkt aan een Assurance-raamwerk voor ICTketenbeheersing, -besturing, -riskmanagement en -controle. Dit artikel is een resultaat van het project en is het eerste deel van een drieluik. De volgende twee delen hiervan, zoals ter publicatie in dit tijdschrift worden aangeboden, zijn: Assurance determinanten analyse voor optimale governance van ICT-ketens Dit deel beschrijft hoe vanuit Assurance-perspectief op adequate wijze de governance van ICT-ketens kan worden vormgegeven. Op basis van de analyse van risico, control en keten-inrichting worden determinanten van assurance gebruikt voor de initiële opzet van een controleerbare ICT-keten, aansluitend bij het organisatorisch beleid van de initiator van deze ICT-keten. Governance van ICT-ketens op basis van dynamisch (near) real time risicomanagement in ICT-ketens en technieken voor continuous service based auditing Dit derde deel neemt deel twee als startpunt en gaat in op het dynamiseren van de governance van ICTketens door middel van (near) real-time risicomanagement in ICT-ketens en dynamische keten-auditing vanuit het organisatorische beleid van de initiator van de ICT keten. Dit heeft tot doel het realiseren van de opzet, bestaan en werking van adequate governance van ICT-ketens. LITERATUURVERWIJZINGEN [BAST11] Bastiaansen, H.J.M., Matthijssen, E., Schenk, M., Continuïteitsmanagement in vitale ICTketeninfrastructuren vergt nieuwe bestuurlijke aanpak, TIEM 2.0, nr. 42, najaar 2011. [BAST12] Bastiaansen, H.J.M., Trust audits en hun rol in het beoordelen van de robuustheid van ICT-ketens, Informatiebeveiliging, nr. 6, 2012. [BRUI06-1] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: startpunt voor keteninrichting en ketenauditing, de EDP-Auditor, nr. 1, 2006. [BRUI06-2] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: ketensamenwerking binnen het publieke domein, de EDP-Auditor, nr. 2, 2006. [ENIS09] EU-initiave, ENISA - European Network and Information Security Agency, initiated in 2009, www.enisa.europa.eu. Page 7

[HART10] Hartog, P., Korte, de R., Otten J., Model voor het auditen van Management Control, Auditing.nl, April 2010. [ISO01] International Standard ISO/IEC 9126-1, Software engineering Product quality Part 1: Quality model, first edition, 2001. [MEER05] Meer, van der A.J., Dirks, L.G., Ketenauditing in de publieke sector, complex en daarom spannend!, de EDP-Auditor nr. 3, 2005. [MOLL10] Mollema, R.J., Welters, M.M.J.M., Vaktechnisch verantwoorde ketenaudits: optie of utopie?, de EDP- Auditor nr. 3, 2010. [NORE12] Norea Werkgroep Ketenauditing, www.norea.nl. [QUIN96] SERC, Kwaliteit van softwareproducten - Praktijkervaringen met een kwaliteitsmodel, 1996. [RAVA07] Raval, V., Fichadia, A., Risks, Controls and Security Concepts and Applications, Wiley, 2007. [SEQU12] IOP GenCom onderzoeksproject, SEQUAL (SErvice optimization and QUALity), www.agentschapnl.nl/content/project-service-optimization-and-quality-sequal. [TTIS12] IIP onderzoeksproject, TTISC (Towards Trustworthy ICT Service Chains), ICT-regie innovatieplatform, www.ict2030.nl/iip-cooperation-challenge.html. PERSONALIA Dr. Ir. H.J.M. (Harrie) Bastiaansen is senior consultant bij TNO. Hij heeft veel ervaring in het adviseren over enterprise architectuur en over de organisatie, processen en techniek voor integratie omgevingen in grote en complexe omgevingen. In de recente jaren is zijn aandacht uitgebreid naar IT-besturing. Daarbij heeft hij recentelijk succesvol zijn opleiding tot IT-Auditor aan de Erasmus Universiteit Rotterdam afgerond. E-mailadres: harrie.bastiaansen@tno.nl. Drs Y.W. (Ype) van Wijk RE RA is werkzaam bij de Rijksuniversiteit Groningen voor het TTISC project. Daarnaast is hij werkzaam als promovendus op het gebied van assurance in IT service ketens, hetgeen gericht is op de ontwikkeling van het assurance raamwerk voor ICT-enabled service ketens. E-mailadres: y.w.van.wijk@rug.nl Page 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback