Een model voor de beheersing en controle van ICT-ketens



Vergelijkbare documenten
Een model voor de beheersing en controle van ICT-ketens

Beheersing van risico s en controls in ICT-ketens

Trust audits en hun rol in het beoordelen van de robuustheid van ICT-ketens

Vertrouwen in ketens. Jean-Paul Bakkers

MKB Cloudpartner Informatie TPM & ISAE

Generiek Framework voor Assurance in ICT-ketens

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Hoe goed bent u in control over de robuustheid van uw ICT-keten? -----

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit

Hoe groot was de appetite voor risk appetite?

DATAMODELLERING SIPOC

Jacques Herman 21 februari 2013

Notitie Doel en noodzaak conceptueel (informatie)model

BEVEILIGINGSARCHITECTUUR

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Het succes van samen werken!

Verantwoordingsrichtlijn

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Het BiSL-model. Een whitepaper van The Lifecycle Company

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

NOREA Visie Brigitte Beugelaar. 14 september 2015

Goed functioneel beheer noodzaak voor effectievere SPI

VISIEDOCUMENT INFORMATIEMANAGEMENT Stichting Openbaar Onderwijs Zwolle en Regio

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Wees in control over uw digitale landschap

ISO/IEC in een veranderende IT wereld

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Ook werden verschillende uitvoeringsmodellen voor

Actuele ontwikkelingen in IT en IT-audit

Copyright Stork N.V. 1

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Taakcluster Management support

Enterprisearchitectuur

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

Readiness Assessment ISMS

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

EXIN WORKFORCE READINESS werkgever

Hoezo dé nieuwe ISO-normen?

Archimate risico extensies modelleren

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Offshore Outsourcing van Infrastructure Management

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

SURFshare. Shared application services & expertise. Edwin van der Zalm directeur SURFshare

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

EXIN WORKFORCE READINESS opleider

Security (in) architectuur

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

LIO NOREA bijeenkomst 4 februari 2019

Agile : Business & IT act as one

EXIN WORKFORCE READINESS professional

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Shared Services in ontwikkeling binnen de Rijksoverheid

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Partnering Trust in online services AVG. Vertrouwen in de keten

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

HET GAAT OM INFORMATIE

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

In een keten gaat het om de verbindingen, niet om de schakels.

Databeveiliging en Hosting Asperion

2014 KPMG Advisory N.V

Procesmodel in de High Level Structure

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Visie op Cloud & ICT Outsourcing

Post Graduate IT Audit opleiding

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Inkopen van ICT. Inkopen Complexe Techniek? 20 april 2009

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Zwaarbewolkt met kans op neerslag

28 september 2017 PON Outsourcing Kenniscongres

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

Handreiking Interoperabiliteit tussen XDS Affinity Domains. Vincent van Pelt

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

Grip op fiscale risico s

De controller met ICT competenties

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER

Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Acceptatietesten

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Geef handen en voeten aan performance management

Risico management 2.0

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Meer Business mogelijk maken met Identity Management

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

Transcriptie:

HET CHAIN CONTENT, CONTEXT & CONTROL (C 4 -) MODEL Een model voor de beheersing en controle van ICT-ketens HHet belang van (de beheersing van) ICT-ketens neemt sterk toe. Bestaande modellen voor ICT-beheersing en controle zijn veelal intraorganisatorisch, en niet gericht op ICT-ketens. Dit artikel introduceert het C 4 -model als hulpmiddel voor het inrichten van kwaliteitsbeheersing in ICT-ketens gericht op het verkrijgen van keten assurance. HARRIE BASTIAANSEN EN YPE VAN WIJK In de maatschappij neemt het belang van ICT-ketens sterk toe. Bij ICTketens gaan ICT-diensten en -infrastructuren over de grenzen van bedrijven en bedrijfsonderdelen heen. Niet alleen neemt het aantal ICT-ketens sterk toe, ook worden ze steeds complexer: ze ondersteunen meer functionaliteiten en er zijn steeds meer partijen (ketenpartners) bij betrokken. Het wordt steeds noodzakelijker dat ICT-ketens robuust zijn. Dit brengt de noodzaak mee om de ICT-ketens goed te beheersen en de kwaliteit ervan te auditen. Hiervan getuigen onder meer de NOREA-werkgroep voor ketenauditing [NORE12], onderzoeksinitiatieven zoals die in de EU [ENIS09] en Nederland [SEQU12] en eerdere publicaties in de EDP-Auditor over ICT-ketenauditing [MEER05], [BRUI06-1], [BRUI06-2], [MOLL10]. Het Nederlandse onderzoeksproject TTISC [TTIS12] werkt aan een assurance-raamwerk voor ICT-ketenbeheersing en -controle. Als één van de resultaten daarvan presenteren we in dit artikel het Chain Content, Context & Control model (het C 4 -model). Dit model bestaat uit drie delen: (1) de content, gericht op wat het te beheersen object in de ICT-keten inhoudt; (2) de context, gericht op het perspectief van waaruit beheersing (of beoordeling) van de ICT-ketens plaatsvindt; (3) de control, gericht op de wijze waarop beheersing in ICT-ketens wordt vormgegeven. Dit artikel is als volgt opgebouwd: de volgende twee paragrafen lichten de doelstelling van een model voor de integrale beheersing van ICTketens toe en schetsen de opzet voor zo n model. De daaropvolgende paragrafen gaan achtereenvolgens in op de individuele componenten van het model: de content, context en control. Het artikel wordt afgesloten met een concluderende paragraaf die de voorgaande paragrafen samenvat in een integrale weergave van het C 4 -model. DOELSTELLING VOOR EEN MODEL VOOR INTEGRALE ICT-KETENBEHEERSING Zoals in de inleiding aangegeven, staat het onderwerp van beheersing en controle van ICT-ketens volop in de belangstelling. Het onderwerp kan daarbij vanuit een groot aantal verschillende oogpunten bekeken worden, waardoor eenduidige communicatie hierover lastig wordt. Uit de praktijk is dan ook de behoefte ontstaan aan een gedegen model om de diverse perspectieven op ICTketenbeheersing in beeld te brengen. Dit model dient het volledige speelveld af te dekken teneinde van integrale ICT-ketenbeheersing te kunnen spreken. Deze behoefte aan een integraal model is ook bekend uit de de IT-Auditor nummer 4 2012 5

literatuur. Zo merken Raval en Fichadia het volgende op [RAVA07, p. 49-50]: For a complete and comprehensive solution to its control needs, a business needs a systemic framework for control system development. Without an overarching model (a framework), it would be almost impossible to prove risks are managed well and as completely as necessary. Frameworks permit us to define the scope of control and security systems within a business. Er bestaan allerlei modellen, raamwerken en richtlijnen, onder meer voor ICT-beheersing, auditing, assurance en governance. Deze zijn onder meer opgesteld vanuit de internationale accountantspraktijk (IFAC, www.ifac.org), de IT-auditprofessie (ISACA, www.isaca.org) en de ISO standaardisatie-omgeving (www.iso. org). Nagenoeg al deze modellen en richtlijnen zijn echter opgesteld vanuit intra-organisatorisch perspectief. Soortgelijke modellen en richtlijnen ontbreken nog voor automatisering in ICT-ketens. Een aantal aspecten maakt de beheersing van ICT-ketens anders dan intra-organisatorische beheersing van ICT. In ICT-ketens is sterke governance niet een gegeven. Er is veelal geen (strikte) line of command. De span of control voor individuele organisaties is beperkt. Daarnaast definiëren de verschillende ketenpartners kosten, baten en doelstellingen niet eenduidig en zijn kosten en baten ook niet noodzakelijkerwijs evenredig verdeeld over alle ketenpartners. Tot slot kunnen er communicatie- en cultuurverschillen zijn tussen ketenpartners. Zelfs binnen hetzelfde land kunnen verschillende sectoren specifieke terminologie hanteren. Een gedeeld begrip en afstemming in de communicatie zijn van groot belang. Het onderzoeksproject TTISC wil tegemoetkomen aan de behoefte aan een model voor integrale ICT-ketenbeheersing en heeft daarom het initiatief genomen om zo n model op te stellen, daarbij zoveel mogelijk gebruik makend van bestaande modellen. Dit model wordt in het vervolg van dit artikel beschreven. DE OPZET VAN HET MODEL VOOR INTEGRALE ICT- KETENBEHEERSING Een basiseis voor een model voor integrale ICT-ketenbeheersing is dat het zowel de verschillende onderwerpen van ICT-ketenbeheersing (de content ) benoemt, de verschillende perspectieven beschouwt van waaruit beheersing en beoordeling van ICT-ketens plaatsvindt (de context ), als de methoden omvat waarop control kan worden uitgeoefend (de control ). Het C 4 -model omvat deze onderwerpen content, context en control. Het model beschrijft elk van de onderwerpen op twee assen, waardoor voor elk van de drie onderwerpen een vlak ontstaat. Het content-vlak wordt gedefinieerd door de as beheersingsobject en de as beheersingsniveau, het contextvlak door de as ketentypologie en de as ketenperspectief, en het control-vlak door de as afspraken en de as implementatie. In de volgende paragrafen wordt elk van de vlakken met hun assen verder toegelicht, uitmondend in een detaillering van het C 4 -model. Het content-vlak Het content-vlak wordt gedefinieerd door de assen beheersingsobject en beheersingsniveau, zoals weergegeven in Figuur 1. De as Beheersingsobject Deze as geeft aan of het object van beheersing de (financiële) waarde van de ICT-keten betreft, de functionele onderdelen (de te leveren service ) per ketenpartner, of de kwaliteit waarmee deze diensten en dienstonderdelen aan elkaar worden geleverd. Waarde. De bijdrage aan strategische doelstellingen, baten en kosten van het werken en afstemmen van ketens. Figuur 1: Het content-vlak Functioneel. Afstemming van servicecomponenten, baten en kosten met individuele ketenpartners. Kwalitatief. De mate waarin aan de (kwalitatieve) verplichtingen van de serviceverlening wordt voldaan. De term kwaliteit is hierbij een breed begrip. Het kan een breed palet aan kwaliteitseigenschappen voor softwaresystemen aanduiden, zoals bijvoorbeeld uitgewerkt in het Quint-model [QUIN96] (afgeleid van de ISO/IEC norm 9126-1 [ISO01]) dat is weergegeven in Figuur 2. De as Beheersingsniveau Deze as geeft het bestuurlijke niveau aan waarop de beheersing van toepassing is. Drie beheersingsniveaus worden onderscheiden, zoals bekend uit het KAD+ model [HART10] gericht op de beheersing van intraorganisatorische administratieve dienstverlening. Deze drie niveaus zijn: Strategische beheersing. De strategische uitgangspunten en aansturing voor de ICT-keten. Organisatorische beheersing. De vertaling van de strategische uitgangspunten naar het organisatorische beheerskader van de ICT-keten. Operationele beheersing. De inrichting en de beheersing van de werkprocessen. Het context-vlak Het context-vlak wordt gedefinieerd door de assen ketentypologie en ketenperspectief, zoals weergegeven in Figuur 3. 6 de IT-Auditor nummer 4 2012

Figuur 2: Kwaliteitsaspecten volgens het Quint-model De as Ketentypologie De typologie geeft de wijze weer waarop de samenwerkings- en afstemmingsrelaties in een ICTketen zijn ingevuld. Het basisonderscheid is de mate waarin er een overkoepelend gezag in de keten is dat eisen aan ketenpartners kan opleggen over de wijze van invulling van ICTvoorzieningen. We onderscheiden drie typen: Ketenkoppeling. Bij ketenkoppeling werken ketenpartners met elkaar samen op basis van afspraken over hun koppelvlak, zonder daarbij afstemming te hebben over de geleverde functionaliteit of de (kwaliteit van) de technische implementatie. Deze situatie treedt bijvoorbeeld op wanneer een organisatie diensten op dynamische wijze via serviceoriëntatie van een andere ketenpartner afneemt. Ketenafstemming. Bij ketenafstemming stemmen ketenpartners wel Figuur 3: Het context-vlak de functionaliteit en de kwaliteit van de technische implementatie op elkaar af. Op basis van consensus kunnen daarbij beslissingen worden genomen. Een voorbeeld hiervan is de situatie waarin ketenpartners vanuit een gedeeld belang met elkaar de kwaliteit van hun technische implementatie bespreken, risico s en zwakheden identificeren en eventueel tot (technische of procesmatige) compenserende maatregelen besluiten, zoals bijvoorbeeld in [BAST11] beschreven is voor het kwaliteitsaspect continuïteitsmanagement. Als speciale uitingsvormen hiervan kunnen het sluiten van een Service Level Agreement (SLA) of afgeven van een Third Party Mededeling (TPM) worden genoemd. Ketensturing. Bij ketensturing is er sprake van een ketenpartner met voldoende overkoepelend gezag om eisen aan ketenpartners op te kunnen leggen over de wijze van invulling van hun ICT-voorzieningen. Dit kan bijvoorbeeld het geval zijn doordat er een ketenpartner is met een dominante marktpositie of doordat de wet- en regelgeving eisen oplegt. In het algemeen zullen ICT-ketens hybride van aard zijn: één van bovenstaande types zal niet voor alle relaties in de keten van toepassing zijn. De as Ketenperspectief Het ketenperspectief beschrijft de optiek van waaruit de ICT-keten wordt beschouwd. De volgende perspectieven worden daarbij onderscheiden: Het toezichtperspectief. In dit perspectief wordt de gehele ICTketen van buitenaf beschouwd ten einde over de compliance met wet- en regelgeving te kunnen oordelen. Het ketenperspectief. In dit perspectief wordt de gehele ICT-keten van buitenaf beschouwd teneinde te kunnen oordelen over een beheersingsaspect van de ICT-keten in zijn geheel, bijvoorbeeld de eindtot-eind beheersing van business continuïteit, zowel organisatorisch als operationeel. Het partnerperspectief. In dit perspectief wordt een beheersingsaspect beschouwd vanuit de positie van een specifieke partij en ketenpartner binnen de ICT-keten. Niet de gehele ICT-keten wordt beschouwd, maar het belang van slechts één enkele schakel hierin. Het control-vlak van het model Het control-vlak wordt gedefinieerd door de assen afspraken en implementatie, zoals weergegeven in Figuur 4. De as Afspraken De afspraken omvatten de (contractuele) afspraken tussen de ketenpartners, zoals vastgelegd in een SLA. De volgende aspecten zijn van belang bij een beoordeling van de gemaakte afspraken: Volledigheid. Zowel de (technische) kwaliteitsaspecten als de procesinteracties dienen in de afspraken met voldoende detail te zijn Figuur 4: Het control-vlak de IT-Auditor nummer 4 2012 7

benoemd. Als voorbeeld van een kwaliteitsaspect kan beschikbaarheid worden genoemd, uitgedrukt in bijvoorbeeld zowel minimaal percentage beschikbaarheid, maximaal aantal incidenten per jaar en maximale duur van de verstoring per incident. Als voorbeeld van procesinteractie noemen we procesafspraken rondom business continuïteit BAST11. Betrouwbaarheid. De afspraken dienen een waarheidsgetrouwe afspiegeling te zijn van de implementatie en de beheersingsmaatregelen die de aanbieder getroffen heeft. Hier komt het aspect vertrouwen om de hoek kijken, met het instrument trust audit [BAST12] ter beoordeling hiervan. Aaneenschakeling. Dit omvat de aaneenschakeling van de afspraken die tussen de diverse ketenpartners op de verschillende plaatsen in de ICT-keten zijn gemaakt. Zijn ze consistent? Hoe tellen de verschillende afspraken bij elkaar op tot het vereiste niveau van beheersing van de gehele keten. Het is mogelijk hiervoor wiskundige modellen te ontwikkelen [SEQU12], waarin zelfs de betrouwbaarheid van gemaakte afspraken kan worden verdisconteerd. Hieraan wordt in het Nederlandse onderzoeksproject TTISC [TTIS12] gewerkt. Gegevensgericht. De (uitwisseling en transformatie van) gegevens in de ICT-keten is hetgeen waar het uiteindelijk om gaat. Dit wordt ook wel aangeduid als het content network. De gegevensgerichte aanpak beschouwt de ICT-keten derhalve vanuit de vraag of de keten zo is ingericht dat de uitwisseling van informatie en gegevens, binnen de waardeketen juist en controleerbaar is. Distributiegericht. De applicaties en ICT-systemen (zowel servers als operating systems) in de ICTketen vervullen de taak om de gegevens en informatie daadwerkelijk uit te wisselen tussen de verschillende partijen. Dit wordt ook wel aangeduid als het delivery network. De distributiegerichte aanpak neemt daarom de implementatiegerichte maatregelen in beschouwing die de kwaliteit hiervan moeten borgen. Hieronder vallen maatregelen zoals redundantie (om beschikbaarheid te verhogen), encryptie (om vertrouwelijkheid te verhogen) en informatievalidatie (om integriteit te borgen). CONCLUSIES In dit artikel hebben we een model voorgesteld en uitgewerkt voor de beheersing en controle van ICT- ketens. Het geeft een handvat om het totale speelveld van ICTketenbeheersing te overzien, hiaten hierin te identificeren en communicatie hierover te vergemakkelijken. Daarbij kan het model tevens dienen om de scope van ICT-ketenaudits te bepalen. De sterkte van model is dat het vanuit zowel een content, context als control perspectief is vormgegeven, waardoor het de grote diversiteit aan en wijzen van kijken naar ICT-ketens afdekt. Daarmee is het model een goed hulpmiddel bij het beheersen en auditen van ICT-ketens. De gezamenlijke uitwerking van de content-, context- en control-vlakken op beide assen uit de voorgaande paragrafen, kan visueel in het kubusvormige C 4 -model voor integrale ICT-ketenbeheersing worden weergegeven, zie Figuur 5. Het combineren van de drie vlakken tot een kubus in deze figuur is louter bedoeld als visualisatie van het model in zijn totaliteit. Om de kubus te gebruiken (voor bijvoorbeeld het positioneren van ICT-audits) zal veelal gebruik worden gemaakt van de individuele onafhankelijke vlakken (dus het content-vlak, het context-vlak en het control-vlak), waarbij voor specifieke ICT-ketens per vlak de afweging kan worden gemaakt welke van de De as Implementatie De implementatie omvat de daadwerkelijke bestuurlijke en technische maatregelen die in de ICT-keten en door ketenpartners zijn genomen om beheersing van de ICT-ketens te realiseren, bijvoorbeeld de maatregelen om het kwaliteitsaspect beschikbaarheid te verhogen. Zoals vertrouwd zal voorkomen in de auditprofessie, zijn de volgende aanpakken daarbij te onderscheiden: Systeemgericht. Dit betreft de besturings- en beheersingsprocessen en maatregelen. Deze dienen op zodanige wijze te zijn vormgegeven dat de beheersing van de keten adequaat is. Figuur 5: Gedetailleerde weergave van C 4 -model voor integrale ICTketenbeheersing 8 de IT-Auditor nummer 4 2012

aspecten voor beheersing en controle als relevant worden beoordeeld. Wij roepen hierbij organisaties tevens op om samen met ons dit model voor het beheersen van ICT-ketens en het positioneren van ketenaudits voor hun (bedrijfs-)ketensituatie te beproeven en verder te ontwikkelen. Het verder invullen van het model door de ontwikkeling van best practices en governance-richtlijnen voor ketens zou hierbij een goede vervolgstap kunnen zijn. Het project TTISC heeft ook een raamwerk ontwikkeld voor het inrichten, beoordelen en bijsturen van ICT-ketens, gericht op het vanuit assurance perspectief zekerheid bieden ten aanzien van business- en kwaliteitsdoelstellingen van ICT-ketens. Deze raamwerken zijn gebaseerd op een viertal assurance elementen voor ICT-ketens: typologie, determinanten, distributies en patronen. Informatie hierover kunt u opvragen bij de auteurs van dit artikel (y.w.van.wijk@rug.nl, harrie.bastiaansen@tno.nl). Literatuur [BAST11] Bastiaansen, H.J.M., Matthijssen, E., Schenk, M., Continuïteitsmanagement in vitale ICTketeninfrastructuren vergt nieuwe bestuurlijke aanpak, TIEM 2.0, nr. 42, najaar 2011. [BAST12] Bastiaansen, H.J.M., Trust audits en hun rol in het beoordelen van de robuustheid van ICT-ketens, Informatiebeveiliging, nr. 6, 2012. [BRUI06-1] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: startpunt voor keteninrichting en ketenauditing, de EDP-Auditor, nr. 1, 2006. [BRUI06-2] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J., Slot, M.C.M., Staveren, van B.J., Ketengovernance: ketensamenwerking binnen het publieke domein, de EDP-Auditor, nr. 2, 2006. [ENIS09] EU-initiave, ENISA - European Network and Information Security Agency, initiated in 2009, www.enisa.europa.eu. [HART10] Hartog, P., Korte, de R., Otten J., Model voor het auditen van Management Control, Auditing.nl, April 2010. [ISO01] International Standard ISO/IEC 9126-1, Software engineering Product quality Part 1: Quality model, first edition, 2001. [MEER05] Meer, van der A.J., Dirks, L.G., Ketenauditing in de publieke sector, complex en daarom spannend!, de EDP-Auditor, nr. 3, 2005. [MOLL10] Mollema, R.J., Welters, M.M.J.M., Vaktechnisch verantwoorde ketenaudits: optie of utopie?, de EDP-Auditor, nr. 3, 2010. [NORE12] Norea Werkgroep Ketenauditing, www.norea.nl. [QUIN96] SERC, Kwaliteit van softwareproducten - Praktijkervaringen met een kwaliteitsmodel, 1996. [RAVA07] Raval, V., Fichadia, A., Risks, Controls and Security Concepts and Applications, Wiley, 2007. [SEQU12] IOP GenCom onderzoeksproject, SEQUAL (SErvice optimization and QUALity), www.agentschapnl.nl/content/project-serviceoptimization-and-quality-sequal. [TTIS12] IIP onderzoeksproject, TTISC (Towards Trustworthy ICT Service Chains), ICT-regie innovatieplatform, www.ict2030.nl/ IIP-Cooperation-Challenge.html. Drs. Y.W. (Ype) van Wijk RE RA is werkzaam bij de Rijksuniversiteit Groningen voor het TTISC-project. Daarnaast is hij werkzaam als promovendus op het gebied van assurance in IT-serviceketens en richt zich daarbij op de ontwikkeling van het assuranceraamwerk voor ICT-enabled serviceketens. Dr. Ir. H.J.M. (Harrie) Bastiaansen is senior consultant bij TNO. Hij heeft veel ervaring in het adviseren over enterprisearchitectuur en over de organisatie, processen en techniek voor integratie in grote en complexe omgevingen. In de recente jaren is zijn aandacht uitgebreid naar IT-besturing. Daarbij heeft hij recentelijk succesvol zijn opleiding tot IT-auditor aan de Erasmus Universiteit Rotterdam afgerond. de IT-Auditor nummer 4 2012 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback