Deelplan IC ICT-omgeving 2015
Gemeente Lingewaard
Pagina 1 van 6
Inhoudsopgave 1. Aanleiding
3
2. Structureel / incidenteel
3
3. Opdrachtgever
3
4. Opdrachtnemer
3
5. Relevante wet- en regelgeving
3
6. Rapportage
3
7. Frequentie
3
8. Omvang van de controle
3
9. Werkwijze
4
10. Tijdsplanning
5
11. Waarom (risico’s)
5
Bijlage 1
6
Cliënt Assistentie Lijst
Pagina 2 van 6
1. Aanleiding Aanleiding van de interne controle op het proces IT-omgeving ligt in het Jaarplan IC 2015. Ten aanzien van het proces IT-omgeving is hierin aangegeven dat in 2014 de controle op de IT-omgeving voor het eerst uitgevoerd. Net als in 2014 richt de IC zich in 2015 op de drie Civision applicaties (Heffen/Innen, Middelen en WIZ/Samenlevingszaken), die worden beheerd door de gemeente, waarbij specifiek wordt gekeken naar welke applicaties worden gebruikt die van materiaal belang zijn en aan welke processen deze zijn gekoppeld, wijzigingenbeheer, toegangsbeveiliging en wachtwoordenbeheer en back-up en recovery procedures.
2. Structureel / incidenteel Het betreft een structurele interne controle.
3. Opdrachtgever Opdrachtgever voor de interne controle 2015 is het directieteam. Een samenvatting van alle deelrapportages over het jaar 2015 wordt in het eerste halfjaar van 2016 aan het directieteam aangeboden.
4. Opdrachtnemer Opdrachtnemer van het proces IT-omgeving is het team Informatievoorziening (IV). In de praktijk is de concerncontroller opdrachtnemer, waarbij de IC’er de controle uitvoert.
5. Relevante wet- en regelgeving In het Normenkader 2015 (zie bijlage 2 Jaarplan IC 2015) is de bestaande wet- en regelgeving per proces vermeld. De daadwerkelijke IC op het proces IT-omgeving beperkt zich tot de volgende relevante wet- en regelgeving: BIG (Baseline Informatiebeveiliging Gemeenten) WBP (Wet Bescherming Persoonsgegevens) Budgethoudersregeling Besluit mandaat volmacht en machtiging Lingewaard 2015
6. Rapportage De bevindingen en conclusies uit de controle worden in concept voorgelegd aan de medewerker en/of verantwoordelijk teamleider. De eventuele (relevante) opmerkingen worden vervolgens meegenomen in het definitieve verslag. De IC’er verwerkt de uiteindelijke bevindingen en aanbevelingen in het verslag dat gericht is aan de teamleider Informatievoorziening. Tevens wordt een algemene samenvatting van alle deelcontroles opgesteld dat gericht is aan het directieteam.
7. Frequentie De onderstaande systemen/applicaties die worden beheerd door de gemeente zijn in scope voor de interne controle. Civision Heffen/Innen Civision Middelen Civision WIZ/Samenlevingszaken Er is gekozen om op één moment in 2015 de controle uit te voeren binnen deze applicaties. Deze controle zal plaatsvinden in augustus 2015.
8. Omvang van de controle Voor 2015 wordt, net als in 2014, de controle uitgevoerd aan de hand van de door de accountant beschikbaar gestelde Client Assistentie Lijst (CAL). Zoals hierboven reeds is aangegeven wordt de controle beperkt tot de systemen Civision Heffen/Innen, Civision Middelen en Civision WIZ/Samenlevingszaken. Voor deze systemen wordt de volgende informatie gecontroleerd: Lijncontrole Huidige procedures en richtlijnen Pagina 3 van 6
Overzicht van de wijzigingen/patches/updates Lijst van alle nieuwe, gewijzigde en uit dienst getreden werknemers Specifiek door het systeem gegenereerde output (zie hoofdstuk 9)
9. Werkwijze 1. Uitvoeren lijncontrole aan de hand van punt 5 van de door de accountant verstrekte CAL. I. Vaststellen voor een willekeurige wijziging (release, patch, update) of deze op adequate wijze is geautoriseerd, getest en geaccordeerd voordat deze in productie is genomen; II. Vaststellen of de gekozen wijziging conform functiescheiding is doorgevoerd; III. Beoordelen wachtwoorden netwerk- en applicatieniveau: aandacht naar minimale wachtwoordlengte, verplicht periodiek wijzigen, niet hergebruiken van voorgaande wachtwoorden en de lock-out-policy; IV. Beoordelen gebruikers met vergaande rechten op netwerk- en applicatieniveau: aantal gebruikers moet beperkt zijn en mag alleen gebruikers betreffen die die functie vanuit hun rol binnen de organisatie nodig hebben; V. Vaststellen dat gebruikers die directe toegang hebben tot de database zijn beperkt tot daartoe geautoriseerde personen; VI. Vaststellen of gebruikers conform aanvraag toegangsrechten hebben verkregen tot de applicatie waarbij de aanvraag is geautoriseerd door een leidinggevende; VII. Vaststellen dat gebruikers die de organisatie hebben verlaten, tijdig zijn geblokkeerd op netwerk- en applicatieniveau; VIII. Vaststellen of gebruikersaanvragen conform functiescheiding zijn doorgevoerd; IX. Vaststellen of alle relevante financiële data wordt meegenomen in de back-up cycli; X. Vaststellen of periodiek restore- en recoverytesten worden uitgevoerd. 2. Controleren of er procesbeschrijvingen en/of werkinstructies aanwezig zijn en dat deze voor iedereen beschikbaar zijn. 3. Interviewen procesverantwoordelijke(n) en eventueel meelopen met de medewerker en vaststellen dat de medewerkers conform de procedures en externe en interne regelgeving werken. Tevens een eerste oordeel vormen over de volledige, juiste en tijdige uitvoering van het proces en de risico’s in het proces. Hierbij wordt ook aandacht besteed aan de functiescheiding binnen het proces. Opmaken gespreksverslag hiervan. 4. Vaststellen van de laatste versie van de huidige procedures en richtlijnen voor : I. Wijzigingsbeheer (change management); II. Aanmaken, wijzigen en verwijderen van gebruikers; III. Back-up and recovery van gegevens. 5. Opstellen van een overzicht van de wijzigingen (releases/patches/updates) die hebben plaatsgevonden sinds 1 januari 2015 in de applicaties. 6. Opstellen van een lijst van alle nieuwe, gewijzigde en uit dienst getreden werknemers sinds 1 januari 2015, met daarbij vermeld hun functie. 7. Opleveren van door het systeem gegenereerde output (printscreens) vanuit de platformen en applicaties: I. Alle gebruikersaccounts met bijbehorende profielen en gebruikersrechten, creatiedatum, en of het account actief of inactief; II. Een lijst van alle databasegebruikers uit het systeem; III. Een lijst van medewerkers die toegang hebben tot de serverruimte en de behorende logging van toegang sinds 1 januari 2014; IV. Wachtwoordinstellingen op applicatieniveau; V. Wachtwoorden op netwerkniveau; VI. Uitdraai van gebruikers waaronder domain admins op netwerkniveau; VII. Voorbeelden van (controle)rapportages ten behoeve van het vaststellen dat back-up jobs juist hebben gedraaid. 8. Bevindingen opstellen (conceptrapport) en afstemmen met de verantwoordelijke medewerker en eventueel leidinggevende (Inclusief follow up eerdere bevindingen). 9. Rapport met bevindingen en aanbevelingen eventueel aanpassen en afronden. 10. Uitvoeren collegiale review door IC’er of concerncontroller. Pagina 4 van 6
11. Rapporteren aan teamleider proces.
10. Tijdsplanning De controle zal conform het Jaarplan IC 2015 in augustus 2015 uitgevoerd en afgerond worden. De verwachting is dat de controle 10 werkdagen in beslag zal nemen met een doorlooptijd van 3 weken. De 10 dagen zijn als volgt onderverdeeld: - 1 dag om de voorbereidingen te treffen; - 4 dagen om de gegevens te verzamelen (inclusief 2 dagen meelopen in het proces en/of interview met de subsidie verantwoordelijke); - 2 dagen om de controlewerkzaamheden op de deelwaarneming uit te voeren; - 1 dag om het conceptrapport met bevindingen te schrijven; - 1 dag om de bevindingen terug te koppelen en eventueel aan te passen; - 1 dag om het rapport met bevindingen en aanbevelingen te schrijven.
11. Waarom (risico’s) Risico's
Interne controle doelstelling
Interne controle werkzaamheden
Informatiebeveiliging onvoldoende beveiligd
Vaststellen dat procedures bestaan en worden nageleefd.
Controle op bestaan en werking procedures.
Toegang serverruimtes door onbevoegden
Vaststellen dat procedures bestaan en onbevoegden niet langer toegang krijgen tot de ruimtes.
Controle op bestaan en werking van procedures.
Wachtwoordvereisten niet complex genoeg
Vaststellen dat procedure hieromtrent bestaat en voldoet aan de vereisten.
Controle op bestaan en werking van procedures.
Pagina 5 van 6
Bijlage 1
Cliënt Assistentie Lijst
Informatieverzoek t.b.v. Jaarrekeningcontrole 2015 Als onderdeel van de jaarrekeningcontrole voor de gemeente Lingewaard hebben wij de volgende inventarisatie van documentatie gemaakt ten behoeve van het completeren van onze audit. Hoewel we trachten dit document zo volledig mogelijk te maken, is het mogelijk dat aanvullende informatie op een later tijdstip door ons gevraagd zal worden, als gevolg van de door u geleverde documentatie. Het verzoek om documentatie betreft de volgende systemen/applicaties in scope welke worden beheerd door de gemeente Lingewaard (dit hebben we hieronder per systeem/applicatie weergegeven): – Civision Heffen/Innen – Civision Middelen – Civision WIZ/Samenlevingszaken Gelieve de hieronder beschreven informatie, indien mogelijk, aan te leveren in elektronische vorm: 1. Laatste versie van de huidige procedures en richtlijnen voor: i) Wijzigingsbeheer (Change Management); ii) Aanmaken, wijzigen en verwijderen van gebruikers; iii) Back-up and recovery van gegevens. 2. Overzicht van de wijzigingen (releases/patches/updates)die hebben plaatsgevonden sinds 1 januari 2015 in de applicatie. 3. Een lijst van alle nieuwe, gewijzigde en uit dienst werknemers sinds 1 januari 2015 en hun functie; 4. Door het systeem gegenereerde output (of screenprints) vanuit de platformen en applicaties: I. Alle gebruikersaccounts met bijbehorende profielen en gebruikersrechten, creatie datum, en of het account actief of inactief is. II. Een lijst van alle databasegebruikers uit het systeem. III. Een lijst van medewerkers die toegang hebben tot de serverruimte en de behorende logging van toegang sinds 1 januari 2014. IV. Wachtwoordinstellingen op applicatieniveau. V. Wachtwoordinstellingen op netwerkniveau. VI. Uitdraai van gebruikers waaronder domain admins op netwerkniveau. VII. Voorbeelden van rapportages/controlerapporten tbv het vaststellen dat back-up jobs juist hebben gedraaid. 5. Uit te voeren lijncontroles: I. Vaststellen voor een willekeurige wijziging (release, patches, updates) of deze op adequate wijze is geautoriseerd, getest en geaccordeerd voordat deze in productie is opgenomen. II. Vaststellen of de gekozen wijziging conform functiescheiding is doorgevoerd. III. Beoordelen wachtwoordinstellingen netwerk- en applicatieniveau; aandacht naar minimale wachtwoordlengte, verplicht periodiek wijzigen, niet hergebruiken van voorgaande wachtwoorden en de lockout-policy IV. Beoordelen gebruikers met vergaande rechten op netwerk- en applicatieniveau; aantal gebruikers moet beperkt zijn en mag alleen gebruikers betreffen die die functie vanuit hun rol binnen de organisatie nodig hebben. V. Vaststellen dat gebruikers die directe toegang hebben tot de database zijn beperkt tot daartoe geautoriseerde personen. VI. Vaststellen of gebruikers conform aanvraag toegangsrechten hebben verkregen tot de applicatie waarbij de aanvraag is geautoriseerd door een leidinggevende. VII. Vaststellen dat gebruikers die de organisatie hebben verlaten, tijdig zijn geblokkeerd op netwerk- en applicatieniveau. VIII. Vaststellen of gebruikersaanvragen conform functiescheiding zijn doorgevoerd. IX. Vaststellen of alle relevante financiële data wordt meegenomen in de back-up cycli. X. Vaststellen of periodiek restore- & recoverytesten worden uitgevoerd. Pagina 6 van 6