Vragenlijst ten behoeve van inventarisatie ICT-risico s bij verzekeraars en pensioenfondsen



Vergelijkbare documenten
Zelftest Informatica-terminologie

We danken u voor u bijdrage in de vorm van het invullen van de vragenlijst. 1. De organisatie waarvoor u de vragenlijst gaat beantwoorden?

ICT-scan voor het MKB

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

MKB Cloudpartner Informatie TPM & ISAE

Er zijn verschillende OS bv: Microsoft Windows Apple Macintosh Linux-versies/distributies zoals Ubuntu en Knoppix

Beleid Informatiebeveiliging InfinitCare

BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Systeemontwikkeling

Lifecycle management. Why you should do it

Portability, Interoperability of toch maar Connectivity Portability, Interoperability of toch maar Connectivity.

Upgrade of Her-implementatie PeopleSoft FMS bij DNB

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

INTERPRETATIEDOCUMENT vastgesteld door het CCvD Bodembeheer

AANVULLEND AANVRAAGFORMULIER TESTEN. RvA-F004-1-NL

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

SuperOffice Systeemvereisten

Applicatie Architectuur en ICT-Infrastructuur

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Draaiboek Invoering Basisregistratie Personen l Afnemers

IP Businessmanager voor gevorderden

Gemeentelijke samenwerkingsverbanden en de Basisregistratie Personen

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

ICT-uitbestedingsdiensten en Software as a Service:

Het besturingssysteem of operating system, vaak afgekort tot OS is verantwoordelijk voor de communicatie van de software met de hardware.

ADVISIE SERVICE SOLUTIONS

Bijlage 9. UNI REB GD. Releasebeleid

Het plan van aanpak, een hele klus

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

Informatiebeveiliging: Hoe voorkomen we issues?

Werkprogramma Risicobeheersing Volmachten 2018

Grenzen verleggen. Intro. Samenwerking Gemeente Coevorden, Borger-Odoorn en Emmen

Voortgangsrapportage

1. Algemeen Algemene voorwaarden Bewerker Gegevens Opdrachtgever Opdrachtnemer Overeenkomst Verantwoordelijke Werkzaamheden

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Handleiding uitvoering ICT-beveiligingsassessment

PRIVACY VOORWAARDEN. Pagina 1 6

Verbeterplan. Informatiebeveiliging. Versie november 2011

Inrichting ICT organisatie

Nr. Aspect Aanlevering van de beschrijving van de AO/IC Toetsingscriteria 1. Wet- en regelgeving

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

SiSa cursus Gemeente en accountant. 21 november 2013

Wel of niet certificatie? K. de Jongh

Functioneel Applicatie Beheer

Applicatie Virtualisatie Wat levert het op? 17 september 2010

Overzicht van taken en competenties. Demandmanager-rol

Testomgevingen beheer

Aanbesteden van ICT: de business case

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

OUTSOURCING In dit document wordt het begrip outscourcing of aanbesteding nader toegelicht.

rliiiiihihhiiiivi.ilhn

Project Fasering Documentatie Applicatie Ontwikkelaar

Maatschappelijke Ontwikkeling

Aanvragen van een machtiging bij het Sectoraal comité voor de Federale Overheid

: Beheersing van Nederlands en Engels in woord en geschrift.

Q3 Concept BV Tel: +31 (0)

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.

RAAD VOOR ACCREDITATIE AANVRAAG ACCREDITATIE

Met vragen over de leverancier kwaliteitsbeoordelingvragenlijst kunt u contact opnemen met ondergetekende.

Plan van aanpak voorbeeld. Zo kan je een plan van aanpak maken. 1. Inleiding Plan van Aanpak. 1.1 Doel plan van aanpak project

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

ACCOUNTANTS & ADVISEURS VERWERKERSVOORWAARDEN 1. Algemeen In deze verwerkersvoorwaarden wordt verstaan onder: 1.1 Algemene voorwaarden: de Algemene vo

Contractmanagement in Nederland anno 2011

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

0.1 Opzet Marijn van Schoote 4 januari 2016

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

DYNAMIC INFRASTRUCTURE Helping build a smarter planet

Food Solution & Heemskerk OBUG 2014

PRIVACYVOORWAARDEN. 3.3 De zeggenschap over de Gegevens komt nooit bij Bewerker te rusten. Versie

Cloud2 Online Backup - CrashplanPRO

Nieuwe ontwikkelingen in de LSP-keten

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Versie Privacyvoorwaarden

IT Beleid Bijlage R bij ABTN

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Business Continuity Planning Consultants

Factsheet Backup on demand

1 Dienstbeschrijving all-in beheer

2015; definitief Verslag van bevindingen

Whitepaper implementatie workflow in een organisatie

Artikel 3:95, Wet op het financieel toezicht (Wft)

Vaals, juni 2013 Versie 1.2. PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Bijlage 2 Newway Definities UNI DEF v3. Newway-Definities. Venlo, november 2012, directie. Pagina 1 van 5

Kantoor Utrecht. NAW gegevens aanvrager. Geachte heer/mevrouw,

Van 6 weken naar 6 minuten. met. OpenSource. Jan-Taeke Schuilenga Infrastructuur Architect Jantaeke.schuilenga@duo.nl

De strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle

VERWERKERSVOORWAARDEN

Application deployment bij Fortis Verzekeringen Nederland

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Digikoppeling adapter

i\ r:.. ING. 1 8 FEB 2016

PRESENTATIE SCAN-OFFICE DINSDAG 17 FEBRUARI: ZEIJEN WOENSDAG 18 FEBRUARI: APELDOORN DONDERDAG 19 FEBRUARI: BODEGRAVEN WOENSDAG 25 FEBRUARI: DEN BOSCH

Transcriptie:

Vragenlijst ten behoeve van inventarisatie ICT-risico s bij verzekeraars en pensioenfondsen Peildatum 1 september 2004

AFHANDELING VRAGENLIJST De instructies voor het retourneren van deze vragenlijst zijn als volgt: Deze vragenlijst dient na invulling te worden ondertekend door het bestuur van de instelling; U dient de vragenlijst in zijn geheel, inclusief voorblad en toelichting, te retourneren; U voegt als bijlagen bij de vragenlijst: o Overzicht van de ict-organisatie (zie vraag 2.1); o Overzicht van de technische infrastructuur van de automatisering (zie vraag 3.1); Voor retournering van de vragenlijst en de bijlagen kunt u gebruik maken van de bijgevoegde retourenvelop. Voor het geval u daar niet meer over beschikt; het retouradres is: AUTOMATISERINGSONDERZOEK 2004 Pensioen- & Verzekeringskamer Antwoordnummer 1311 7300 VB Apeldoorn De uiterste inzenddatum is 30 september 2004. Bij onduidelijkheden in de vraagstelling kunt u contact opnemen met de relatiebeheerder van de Pensioen - & Verzekeringskamer of met de heer Evert Koning (020-5242428) Blad 2 van 14

TOELICHTING OP DE VRAGENLIJST Inleiding Vanaf begin 2003 gebruikt de Pensioen- & Verzekeringskamer (PVK) de Methode Analyse Risico s (MARS). Hierbij inventariseert de PVK voor negen risicogebieden de inherente risico s van de instelling en de door de instelling gehanteerde beheersingsmaatregelen (controls). De resultaten geven een indicatie van het resterende risico. De toezichtsactiviteiten zijn hiervan afhankelijk, waardoor efficiency en effectiviteit van het toezicht toenemen. Eén van de risicogebieden is de automatisering. Aan dit onderdeel is tot dusver beperkt aandacht gegeven. Daarom heeft de PVK besloten door middel van deze vragenlijst informatie te verzamelen. De vragen vindt u vanaf pagina 5 in dit vragenformulier. Hieronder treft u een toelichting bij de vragen aan. Toelichting is alleen gegeven in die gevallen waar dat relevant wordt geacht. Toelichting op de vragen Bovenaan pagina 5 vragen wij naam, functie en intern telefoonnummer van degene die de vragenlijst invult. De PVK zal, mochten de antwoorden daartoe aanleiding geven, contact opnemen om te overleggen over de aangeleverde gegevens. 1. Invloed van ICT Dit onderdeel betreft de afhankelijkheid en de kwetsbaarheid van een instelling voor automatisering. 2. Omvang van de ICT activiteiten Dit onderdeel betreft de relevantie van automatisering voor de instelling. Vraag 2.1 Er wordt een organisatieschema gevraagd waaruit de positionering van de automatisering binnen de instelling blijkt. Het schema dient alle relevante automatiseringsfuncties te tonen. Vraag 2.2 Onder eigen ICT-personeel wordt verstaan het personeel dat binnen de instelling met ICT-taken is belast; dus zowel systeemontwikkeling als het beheer en de uitvoering van ICT-diensten. Personeel bij eventueel ingeschakelde interne of externe dienstverleners valt hierbuiten. Vraag 2.3 In het budget dienen alle kosten (personeel en overig) te worden meegenomen. 3. Hardware en software In dit onderdeel worden de belangrijkste automatiseringsonderdelen geïnventariseerd. Vraag 3.1 Geef voor alle automatiseringscomponenten aan welk merk, type en, indien van toepassing, welk operating system wordt gebruikt. Indien u beschikt over meerdere rekencentra geeft u de componenten per locatie aan. Als de automatisering is uitbesteed worden alleen de componenten vermeld die (grotendeels) voor de instelling worden gebruikt. Geef hierbij ook de locatie aan. Vermeld tevens de externe koppelingen 1. Voor een goed inzicht vragen wij u de externe koppelingen en de belangrijkste componenten ook schematisch weer te geven (netwerktopografie). Ter verduidelijking onderstaand een aantal voorbeelden van componenten. - Mainframes: IBM z/os (of OS/390), Siemens, ICL, Unisys, Hitachi, overigen; 1 Zie Verklarende woordenlijst op pagina 14 Blad 3 van 14

- Midrange: DEC Vax -VMS/Alpha, AS/400, HP-Unix, Sun-Unix (Solaris), Unix-AIX (RS/6000), Tandem, Freeware Unix, Linux, overigen; - Client-server omgeving: Windows XP, Windows 2000, Windows NT, Windows 95/98, Windows 3.11, OS/2, Novell Netware, Apple Mac, MS-DOS, overigen; - Netwerkcomponenten: Cisco routers/switches/hubs, 3Com idem, Cisco Pix firewall, Checkpoint firewalls, freeware firewalls, overigen; - Database managementsystemen (DBMS): DB2, Oracle, IMS, DB/400, Sybase, Informix, Ingres, Access, overigen; - Ontwikkelingsomgevingen: Java, C of C++, Pascal, Delphi, Visual Basic, RPG, Cobol, Easytrieve, Fortran., Algol, APL, PL/2, overigen. Vraag 3.2 Uitgaande van de primaire activiteiten wordt een overzicht gevraagd van de belangrijkste applicatiesoftware die de instelling zelf of via de dienstverlener gebruikt. Indien meerdere versies van een bepaalde applicatie actief zijn, dient u dat met versienummers duidelijk te maken. Geef aan op welke automatiseringsplatforms de applicaties zijn geïnstalleerd en of de software als pakket is gekocht dan wel door of in opdracht van de instelling is ontwikkeld. 4. Risicoanalyse en controls inzake ICT In dit onderdeel komt het toepassen van risicoanalyse aan bod en wordt geïnventariseerd welke beheersingsmaatregelen de instelling rondom automatisering heeft genomen. Vraag 4.2 ICT-strategie en beleid Bij de vraag 1 dient u in de kolom datum de verschijningsdatum van het betreffende document op te geven. In kolom plan geeft u met ja of nee aan of het document in detailplannen is uitgewerkt. Als u onderdeel 1d aankruist (overige beleidsstukken), dient in de toelichting te worden vermeld om welk(e) document(en) het gaat. Vraag 4.3 Systeemmigratie en overige projecten Voor elk onderdeel van vraag 2 (i.e. 2a, 2b, 2c en 2d) dat niet is aangekruisd, is een toelichting nodig. Bij onderdeel 3 is de overgang naar een dienstverlener ook te beschouwen als een migratietraject. Vraag 4.5 Exclusiviteit De bij onderdeel 1a bedoelde classificatie van data en systemen houdt in dat door de gebruikers/eigenaar is vastgesteld welke mate van kwetsbaarheid de data c.q. systemen hebben. Hiervan uitgaand behoort de vereiste mate van beveiliging te worden bepaald. Bij onderdeel 1f gaat het om instellingen van het operating system. Deze instellingen hebben vaak effect op de werking van de ict en daarmee op de kwaliteit van de gegevensbewerking. Implementatie van toereikende procedures is nodig om het instellen en muteren van deze parameters te beheersen. Vraag 4.8 Continuïteit Bij onderdeel 3 en 4 gaat het om de uitwijkvoorziening van automatiseringscomponenten die door de instelling worden beheerst. Indien u onderdeel 7e aankruist dient u toe te lichten om wat voor soort voorziening(en) het gaat. 5. Uitbesteding van activiteiten Vraag 5.1 Geef een volledig overzicht van interne en externe dienstverleners 2 zowel voor uitbestede primaire als automatiseringsactiviteiten. Indien een bepaalde activiteit voor een deel is uitbesteed of aan twee of meer dienstverleners is uitbesteed, dient dat duidelijk in het overzicht te worden vermeld. Geef in die gevallen aan hoe de activiteiten zijn verdeeld. Vraag 5.2 Als geen sprake is van uitbesteding van automatisering kan deze vraag worden overgeslagen. 2 Zie Verklarende woordenlijst op pagina 14 Blad 4 van 14

Formulier ingevuld door : Afdeling : Telefoon : 1. Invloed van ICT 1.1 Hoe typeert u het belang van ICT voor uw instelling (ongeacht of de automatiseringsprocessen al dan niet zijn uitbesteed): Antwoord Uitleg Toelichting Hoog Laag ICT is voor de primaire processen van vitaal belang. ICT is een waardevol hulpmiddel maar is voor de primaire processen niet van vitaal belang. 1.2 Is uw organisatie voor wat betreft het toepassen van automatisering te beschouwen als: Antwoord Uitleg Toelichting Innovator Follower Toepassen van de nieuwste technologie en/of methodieken waarvan het succes nog niet breed is aangetoond. Uitsluitend toepassen technologie en methodieken die hun nut hebben bewezen. 2. Omvang van de ICT activiteiten 2.1. IT-organisatie Geef op een bijlage een overzicht van de ICT-organisatie binnen de instelling. 2.2. Aantal personeelsleden in full time equivalenten (fte) in dienst van de instelling 1. Totaal 2. Eigen ICT personeel 3. Extern ICT personeel 4. Eigen ICT-auditors a. Ultimo 2003 b. Ultimo 2002 2.3. Kostenbudget (in euro s) binnen de instelling 1.Totaal kostenbudget 2.ICT budget a.2004 b.2003 Blad 5 van 14

3. Hardware en software 3.1 Inventarisatie hardware en externe koppelingen: Vermeld op een bijlage de belangrijkste ICT-componenten (technische infrastructuur) die onder het beheer van uw instelling vallen. Geef hiervan de locatie aan in een netwerktopografie en voeg die als bijlage toe. Vermeld tevens welke externe koppelingen bestaan. 3.2 Inventarisatie van de belangrijkste applicaties (per primaire activiteit) a. (primaire) Activiteit 1. b. Naam applicatie (evt. versienummer) c. Platform d. Maatwerk / Pakket 2. 3. 4. 5. 6. 7. Blad 6 van 14

4. Risicoanalyse en controls inzake ICT Om een goed beeld van haar eigen risico s te krijgen is het van belang dat een organisatie periodiek een risicoanalyse uitvoert. De uitkomsten moeten leiden tot een stelsel toereikende beheersingsmaatregelen. Onderstaande vragen gaan hier op in. 4.1 Risicoanalyse 1. Ja Nee 2. Ja Nee 3. Ja Nee 4. (maand/ jaartal) Beschikt uw organisatie over een methode voor risicoanalyse van de automatisering? Zo ja, wordt deze analyse periodiek uitgevoerd? Indien de risicoanalyse periodiek wordt uitgevoerd, worden dan telkens aansluitend de beheersingsmaatregelen geanalyseerd? Wanneer is de risicoanalyse voor de automatiseringsomgeving voor het laatst uitgevoerd? 4.2 ICT-strategie en Beleid Antwoord a.vraag b.datum c. Plan d. Toelichting Kruis onderstaand de beleidsstukken aan die de instelling heeft opgesteld en vul de datum van oplevering in. Geef aan of de beleidsstukken in een plan zijn uitgewerkt: 1. - ICT-strategie. 2. - Automatiseringsbeleid. 3. - Beveiligingsbeleid. 4. - Overige. Vraag Is de ICT-strategie gekoppeld aan de ondernemingsstrategie? Toelichting 5. Ja Nee (als u met nee antwoordt is een uiteenzetting in de toelichting noodzakelijk) Blad 7 van 14

4.3 Systeemmigratie en overige projecten 1. Ja Nee Loopt in uw instelling momenteel een migratietraject (grootschalige overgang van oude naar nieuwe applicaties) of bestaat het voornemen een migratietraject te starten? Zo ja, geef een uiteenzetting in de toelichting waarin u in elk geval een korte omschrijving en een tijdpad vermeldt en kruis vervolgens de beschrijvingen aan die op de migratie van toepassing zijn. 2a. - Er is een business case opgesteld. 2b. 2c. 2d. 3. Ja Nee - Projectrisico s worden onderkend en beheerst. - Er is geen afhankelijkheid van een derde partij. - De data-integriteit bij conversie is gewaarborgd. Lopen in uw instelling op andere terreinen dan migratie langdurige programma s en grote projecten (te denken valt aan o.a. ontwikkeling en beheer) of bestaat het voornemen deze op korte termijn te starten? (Als u met ja antwoordt is een uiteenzetting in de toelichting noodzakelijk, waarin u in elk geval een korte omschrijving en een tijdpad vermeldt) 4.4 Infrastructuur a. Standaarden b. Documentatie Kruis de objecten aan waar u standaarden c.q. documentatie van heeft: 1. - hardware? 2. - operating systems? 3. 4. 5. - datacommunicatie / netwerken? - applicatieve systemen? - systeemontwikkeling? 6. - internet? 7. - beveiligingsinfrastructuur? Blad 8 van 14

4.5 Exclusiviteit Kruis de objecten aan waarvoor u procedures heeft geïmplementeerd: 1a. - Eigenaarschap van systemen. 1b. - Classificatie van data en systemen. 1c. - Autorisatie. 1d. - Wachtwoordbeleid. 1e. - Vastlegging en rapportage van ongeautoriseerde toegangspogingen. 1f. - Het instellen van systeemparameters. Indien externe koppelingen bestaan, kruis dan de beheersings- c.q. beveiligingsmaatregelen aan waar gebruik van wordt gemaakt: 2a. - Separate risicoanalyse. 2b. - Firewalls. 2c. - Intrusion detection. 2d. - Regelmatige penetratietesten. 2e. - Actuele virusscanner. 2f. - Encryptie. 4.6 Controllability 1a. 1b. Kruis de rapportages aan die door de instelling met toereikende frequentie worden opgesteld: - voortgang ICT-projecten (planning, status, knelpunten). - ICT performance-indicatoren (hardware, netwerk, et cetera). 1c. - ICT-storingen en problemen. 2. Ja Nee 3. Ja Nee 4. Ja Nee 5. Ja Nee Bestaat binnen de ICT-omgeving een verbijzonderde interne controlefunctie? Worden jaarlijks door de interne accountants ICT-audits uitgevoerd? Worden jaarlijks door de externe accountants ICT-audits uitgevoerd? Vindt bewaking plaats van de follow up van gerapporteerde bevindingen? Blad 9 van 14

4.7 Informatie-integriteit 1. Ja Nee Is er een geautoriseerde change management procedure in gebruik? Zo ja, kruis de beheersingsmaatregelen aan die in de procedure zijn opgenomen: 2a. 2b. 2c. 2d. 2e. 2f. 3. Ja Nee 4. Ja Nee 5. Ja Nee 6a. 6b. 6c. - Er zijn eisen gesteld aan het vastleggen van wijzigingsverzoeken. - De impact van de wijzigingen wordt bepaald. - Wijzigingen moeten worden goedgekeurd. - Er is controle op voortgang van het realiseren van de wijzigingen. - Er is communicatie over voortgang naar de aanvrager. - Er is controle op de implementatie van de wijziging. Zijn zowel ontwikkel-, test-, acceptatieen productieomgeving (OTAP) van elkaar gescheiden? Maakt u voor overdracht van software van de ene naar de andere omgeving (OTAP) gebruik van geautomatiseerde tools? Is er een geautoriseerde testprocedure in gebruik? Zo ja, kruis de beheersingsmaatregelen aan die op de procedure van toepassing zijn: - Voorafgaand aan het testen worden testplannen opgesteld. - Over het testen van systemen wordt gerapporteerd. - De systemen worden getest door of namens de gebruikers. Blad 10 van 14

4.8 Continuïteit 1. Ja Nee Is in overleg met de gebruikersorganisatie per systeem bepaald hoe lang elk systeem ten hoogste uit de lucht mag zijn? Kruis de procedures en plannen aan waarover uw instelling beschikt: 2a. - Calamiteitenplan. 2b. - Uitwijkprocedure. 2c. - Back-upprocedure. 2d. - Recoveryprocedure. 3. Ja Nee 4. Ja Nee Beschikt uw organisatie over interne uitwijkvoorzieningen voor de automatisering? Beschikt uw organisatie over externe uitwijkvoorzieningen voor de automatisering? Kruis de onderdelen aan waarop de uitwijkprocedures met voldoende frequentie wordt getest: 5a. - op technische aspecten. 5b. - op gebruikersaspecten. 6. Ja Nee Indien u gekochte softwarepakketten gebruikt, zijn er dan toereikende afspraken gemaakt met de leverancier over ondersteuning (zoals bijvoorbeeld escrow)? Kruis de fysieke beveiligingsmaatregelen aan die zijn genomen: 7a. - Inbraakpreventie. 7b. - Branddetectie. 7c. - Brandbestrijding. 7d. - No breakvoorziening. 7e. - Overige noodstroomvoorziening(en). Blad 11 van 14

5. Uitbesteding van activiteiten 5.1. Geef in de onderstaande tabel de relevante gegevens van alle in- en externe dienstverleners waaraan zowel primaire activiteiten als automatiseringsactiviteiten zijn uitbesteed. In de laatste kolom geeft u de kosten op jaarbasis aan. Gegevens dienstverlener indien extern: NAW gegevens indien intern: organisatieonderdeel en naam verantwoordelijke leidinggevende Verleende diensten (indien twee of meer dienstverleners een zelfde soort dienst verstrekken, tevens aangeven met welk percentage elke dienstverlener deelneemt) Kosten (euro s per jaar) Blad 12 van 14

5.2. Uitbesteding van ICT-diensten. 1. Ja Nee 2. Ja Nee 3. Ja Nee 4a. 4b. 4c. 4d. 4e. 4f. Beschikt uw instelling over een beleidsdocument inzake uitbesteding? Worden de risico s samenhangende met uitbesteding periodiek geanalyseerd? Voldoen de uitbestedingscontracten aan de Regeling uitbesteding verzekeraars c.q. Beleidsregel uitbesteding pensioenfondsen van de PVK? Kruis de beheersingsmaatregelen aan die van toepassing zijn op de uitbesteding: - In contracten is opgenomen dat de uitvoerende organisatie(s) informatie zal (zullen) verstrekken waarom de PVK verzoekt. - De eisen die aan de uitvoerende organisatie(s) zijn gesteld zijn meetbaar. - Afspraken met de uitvoerende organisatie(s) en haar (hun) prestaties worden stelselmatig bijgehouden. - Met toereikende frequentie worden managementrapportages opgesteld over de uitvoering van het (de) contract(en). - Er vindt periodiek overleg plaats met de uitvoerende organisatie(s). - U hebt een mededeling van een externe accountant ontvangen over de opzet en werking van de beheersmaatregelen van de uitvoerende organisatie. Datum: Naam bestuurslid*: Handtekening: * Of wettige vervanger. Indien dit een rechtspersoon is, tekent de natuurlijke persoon die de statutaire directie vertegenwoordigt. Blad 13 van 14

Verklarende woordenlijst Dienstverlener Externe Dienstverlener Externe koppeling Instelling Interne Dienstverlener Primaire activiteit Uitbesteden Een organisatie die rechtstreeks of via een andere dienstverlener diensten verleent aan een instelling. Binnen de kaders van deze vragenlijst kan het gaan om het uitvoeren van primaire activiteiten en om het uitvoeren van automatiseringswerkzaamheden. De automatiseringswerkzaamheden kunnen betrekking hebben op gegevensverwerking en op het verlenen van overige ICTdiensten zoals systeemontwikkeling, beheer infrastructuur e.d. Dienstverlener die niet is verbonden aan de instelling. Een koppeling tussen interne ICT componenten van een instelling en externe ICT componenten of een koppeling die over een communicatiekanaal van derden loopt. Een door de PVK in verband met dit onderzoek aangeschreven juridische entiteit, zijnde verzekeraar of pensioenfonds. Dienstverlener die verbonden is aan de instelling, bijvoorbeeld omdat hij deel uitmaakt van dezelfde groep (bijvoorbeeld een financieel conglomeraat) als de instelling. Alle activiteiten die wezenlijk onderdeel uitmaken van een verzekeraar of pensioenfonds, zoals: Acceptatie, Prolongatie, Claimafhandeling, etc. Ondersteunende diensten, zoals Facilitaire diensten en automatisering, vormen geen onderdeel van primaire activiteiten. Het laten verrichten van instellingsactiviteiten door derden. Een organisatieonderdeel dat buiten de juridische entiteit van de instelling valt, maar wel een onderdeel is van de groep waar de instelling deel van uitmaakt, wordt ook als derde beschouwd (zie interne dienstverlener). Blad 14 van 14

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback