VERA 3.0. Verkenning - Compliance Aanpak. Versie: 3.0 Datum: Status: Definitief. Stichting VERA Veenendaal 2014

VERA 3.0 Verkenning - Compliance Aanpak

Versie: 3.0 Datum: 25-9-2014 Status: Definitief

© Stichting VERA Veenendaal 2014 http://www.stichting-vera.nl

Inhoudsopgave 1

Inleiding....................................................................................................................... 3 1.1 Doelstelling ................................................................................................................ 3 1.2 Leeswijzer .................................................................................................................. 3 1.3 Doelgroep .................................................................................................................. 3 1.4 Opmerkingen richting Stuurgroep .............................................................................. 4 2 Certificeringproces ...................................................................................................... 5 2.1 Doelstelling ................................................................................................................ 6 2.2 Doelgroepen .............................................................................................................. 6 2.3 Voorwaarden ............................................................................................................. 7 2.4 Deelnemersregister ................................................................................................... 8 2.5 Certificatenregister .................................................................................................... 8 2.6 Bezwaar ..................................................................................................................... 8 2.7 Instandhouding van het certificaat ............................................................................ 8 3 Auditproces voor certificering ................................................................................... 10 3.1 Aanvraag ................................................................................................................. 10 3.2 Opdrachtaanvaarding .............................................................................................. 10 3.3 Uitvoering ................................................................................................................ 10 3.4 Bevindingen en rapportage ...................................................................................... 11 4 Normenkader ............................................................................................................ 12 4.1 Opbouw ................................................................................................................... 12 4.2 Aanpak opstellen normenkader ............................................................................... 13 4.3 Kwaliteitseisen aan normen ..................................................................................... 13 4.4 Kwaliteitsaspecten ................................................................................................... 14 5 Bibliografie ................................................................................................................ 15 Bijlage A Toepassing kwaliteitseisen op VERA standaard................................................... 16 Bijlage B Normenkader (concept) ....................................................................................... 19 Bijlage C Inhoud opdrachtbevestiging ................................................................................ 23 Bijlage D Inhoud rapportage............................................................................................... 24

Versiebeheer Versie 3.0

Datum 17-06-2014

Toelichting Creatie

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

2

1 Inleiding In dit document is voor woningcorporaties en leveranciers een compliance aanpak beschreven voor het certificeren van een VERA koppeling. De compliance aanpak is een eerste aanzet om te komen tot een volledig certificeerbare standaard. De VERA Standaard is als standaard in ontwikkeling. Een standaard is echter pas succesvol als deze ook in de praktijk wordt gebruikt en daarmee leidt tot daadwerkelijke standaardisatie. Eén van de doelstellingen van VERA 3.0 is om het gebruik van de standaard zoveel mogelijk te stimuleren. Om dit te stimuleren is in VERA 3.0 een implementatieplan opgenomen als praktische handleiding om een VERA koppeling te realiseren (Stichting VERA, 2014). Deze compliance aanpak moet daarnaast helpen om vast te stellen aan welke normen zo’n VERA koppeling moet voldoen. De praktische handleiding en een concreet normenkader moeten woningcorporaties en leveranciers helpen om VERA in de praktijk te implementeren. De compliancy aanpak geeft daarbij ook de mogelijkheid om een VERA koppeling te certificeren en daarmee aan te kunnen tonen dat aan alle voorwaarden is voldaan.

1.1 Doelstelling Doelstelling van de compliance aanpak is om te identificeren wat er allemaal bij certificering en compliance komt kijken en wat de impact op de huidige VERA versie is, om vervolgens in een volgende VERA versie tot een daadwerkelijk certificeerbare VERA standaard te komen.

1.2 Leeswijzer De compliance aanpak bestaat uit een aantal onderdelen:   

Certificeringsproces; beschrijft het algemene certificeringsproces van VERA met daarbij behorende hoofdlijnproces, doelstellingen en betrokken partijen. Auditproces voor certificering; beschrijft de stappen in een auditproces om tot certificering van een deelnemer tegen een specifieke VERA standaard te komen. Normenkader; beschrijft de opbouw van het VERA-normenkader, de aanpak om het normenkader uit te werken en de kwaliteitseisen waar individuele normen aan moeten voldoen.

Deze drie onderdelen worden ieder in een hoofdstuk beschreven. In de hoofdstukken wordt naar de bijbehorende bijlagen verwezen.

1.3 Doelgroep Dit document is bedoeld voor alle betrokken bij VERA. Een aantal onderdelen is meer toegespitst op specifieke doelgroepen. Zo is het auditproces (hoofdstuk 3) meer toegespitst op een lezer met een audit achtergrond. Hetzelfde geldt voor de aanpak opstellen normenkader (paragraaf 4.2), de kwaliteitseisen aan normen (paragraaf 4.3) en formuleren toetsingsnormen (paragraaf 4.4). Het certificeringsproces (hoofdstuk 2), de opbouw van het normenkader (paragraaf 4.1), alsmede de bijlagen zijn bedoeld voor een breder publiek.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

3

1.4 Opmerkingen richting Stuurgroep In dit document komt een aantal adviezen terug die momenteel nog niet zijn ingevuld. De adviezen zoals in dit document opgenomen zijn schuingedrukt en onderstreept. Wij geven de stuurgroep het advies mee om deze adviezen wel ter hand te nemen.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

4

2 Certificeringproces De Stichting VERA beheert de VERA Standaard. Deelnemers van de Stichting VERA maken onderdeel uit van de ontwikkeling en dragen bij aan het opzetten ervan. Deelnemers staan geregistreerd in het Deelnemersregister en kunnen zowel woningcorporaties als leveranciers zijn. Partijen kunnen haar product of implementatie laten certificeren als zij voldoen aan de eisen voor VERA-compliance. De toetsing wordt door de certificerende auditor uitgevoerd. Als een leverancier gecertificeerd is kan zij het VERA logo voeren. Een leverancier mag dus alleen het VERA logo voeren als haar product en/of implementatie voldoet aan de VERA standaard. Partijen die het VERA convenant (voor de verdere ontwikkeling en toepassing van de VERAstandaard) ondertekenen, hebben het recht in hun productinformatie of ander marketingmateriaal tekstueel te vermelden dat zij de voor hen relevante VERA standaarden ondersteunen (maar mogen niet het logo voeren). Het daadwerkelijk voeren van het VERA logo is enkel en alleen toegestaan als het betreffende product VERA-compliant is (en daarmee gecertificeerd). Het VERA logo mag alleen worden gevoerd in combinatie met het product of implementatie dat gecertificeerd is. De Stichting VERA registreert de gecertificeerde deelnemers in het Certificatenregister. De afspraken met betrekking tot de certificering zijn vastgelegd in het Huishoudelijk Reglement van de Stichting VERA (Bestuur Stichting VERA, 2014).

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

5

2.1 Doelstelling VERA heeft als doel een toekomst vaste standaard te zijn voor alle geautomatiseerde informatieuitwisseling tussen woningcorporaties onderling, binnen woningcorporaties zelf en tussen woningcorporaties en ketenpartners. Hierbij streeft VERA na de acceptatie en adoptie van de VERA standaarden door gebruikersverenigingen, samenwerkingsverbanden en leveranciers, en opname in (pakket)software . Certificering levert deelnemers een Certificaat op, waarmee zij aantonen dat haar product en/of implementatie VERA-compliant is. Een certificaat is het resultaat van een onafhankelijk oordeel over de compliance aan een specifieke VERA-standaard. Door middel van een Certificaat maakt een deelnemer de acceptatie en adoptie van VERA Standaarden aantoonbaar, en maakt zij aantoonbaar dat zij aan de eisen die de VERA standaard stelt voldoet. Hiermee toont de deelnemer aan andere partijen aan dat zij volgens de VERA standaard werkt en dat de software hierop is gebaseerd en gecontroleerd. Hiermee is voor andere partijen het risico gemitigeerd1 dat aanvullende zaken benodigd zijn om volgens VERA met de oplossing te kunnen werken. De belangrijkste doelstelling van VERA is het standaardiseren van koppelingen en daardoor het reduceren van de complexiteit. Het stimuleren van de acceptatie en adoptie van de standaarden door middel van certificering draagt bij aan de acceptatie van VERA. Certificering maakt daarbij aantoonbaar dat informatie-uitwisseling conform VERA is gestandaardiseerd, en volgens deze standaard invulling is gegeven aan de VERA principes. De compliance aanpak reduceert het risico dat partijen op een eigen wijze invulling aan VERA standaarden geven.

2.2 Doelgroepen Verschillende partijen hebben direct dan wel indirect belang bij de ontwikkeling, de implementatie en het gebruik van de onderdelen uit VERA. Dit geldt dus ook voor certificering aan de hand van de VERA standaarden. In onderstaande figuur zijn de belanghebbenden aangegeven.

1

verzachten, matigen

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

6

2.3 Voorwaarden Het voeren van het VERA logo is alleen toegestaan als het betreffende product en/of implementatie VERA-compliant is. In het VERA logo wordt de VERA standaard en desbetreffende VERAversienummer waartegen de deelnemer is gecertificeerd opgenomen, Het logo wordt door Stichting VERA aan de deelnemer uitgereikt. Het logo is voorzien van het VERAversienummer. De Stichting VERA registreert de certificaten in het Certificatenregister. In het register is van het product dat is gecertificeerd het versienummer opgenomen. Het is deelnemers niet toegestaan het VERA logo te voeren indien het product niet door Stichting VERA in het Certificatenregister is opgenomen. Een deelnemer wordt in het certificatenregister opgenomen als zij een Assurance rapport van een geregistreerde IT-Auditor met een goedkeurende verklaring kan overleggen. Het certificaat mag door de deelnemer alleen worden gevoerd voor die VERA-standaarden waartegen zij middels een goedkeurende verklaring is gecertificeerd. Het VERA logo mag alleen worden gevoerd in combinatie met het product of implementatie dat gecertificeerd is. Zie tevens het Huishoudelijk Regelement.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

7

2.4 Deelnemersregister Om tegen de VERA standaard gecertificeerd te kunnen worden dient een partij zich in te schrijven in het deelnemer register van Stichting VERA. De eisen voor toelating tot het deelnemersregister staan benoemd in het Huishoudelijk Reglement. Ten behoeve van certificering heeft Stichting VERA een deelnemersregister opgezet.

2.5 Certificatenregister Ten behoeve van certificering dient Stichting VERA een Certificatenregister op te zetten (zoals in het Huishoudelijk Reglement benoemd). De opzet van het Certificatenregister zal door Stichting VERA onder meer worden bekostigd vanuit uitgevoerde certificeringen (zie Huishoudelijk Reglement). Het certificatenregister zal door Stichting VERA dus verder opgezet worden zodra de eerste certificering is uitgevoerd. Het certificatenregister dient vrij op de website van de Stichting VERA beschikbaar te zijn. Het certificatenregister moet deelnemers inzicht geven tegen welke VERA standaarden deelnemers zijn gecertificeerd. De Auditor verstrekt aan de opdrachtgever een rapportage waarin de bevindingen, die zijn opgedaan tijdens de audit, zijn opgenomen. Een partij verkrijgt het predicaat ‘Vera Compliance’ indien de partij een positief rapport aan het bestuur kan overhandigen en het bestuur van de Stichting daartoe besluit. Voor de vervolgprocedure voor het verkrijgen van een certificaat wordt verder verwezen naar het Huishoudelijk Reglement van Stichting VERA. Op een certificaat staat het volgende vermeld: -

de gegevens van de gecertificeerde deelnemer: naam, adres, product- en versienummer. De gegevens van het certificaat: VERA standaard, VERA-versie, geldigheidsduur, datum uitreiking certificaat en handtekening van de certificatiebeslisser.

De uitgifte van een certificaat door Stichting VERA ontslaat de deelnemer onder geen enkel beding van zijn verplichtingen met betrekking tot zijn producten of diensten. Uit de certificatie van een product kunnen geen rechten of status voor andere producten worden ontleend. Dit mag als zodanig niet worden voorgewend op welke wijze dan ook door advertenties of andere documentatie van de deelnemer.

2.6 Bezwaar Voor de bezwaarprocedure wordt verder verwezen naar het Huishoudelijk Reglement van Stichting VERA.

2.7 Instandhouding van het certificaat Het bestuur van Stichting VERA heeft in de Huishoudelijke Reglementen voorwaarden aan partijen gesteld ten opzichte van wijzigingen in compliance. In de Huishoudelijke Reglementen dient tevens te worden opgenomen hoe de Stichting omgaat met certificaten in het geval van releases van een nieuwe versie van de VERA standaard (bijvoorbeeld wat is de geldigheid van een bestaand certificaat Verkenning - Compliance Aanpak Versie 3.0 - Definitief

8

van een deelnemer als een nieuwe versie wordt uitgebracht waarin de desbetreffende standaard is gewijzigd).

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

9

3 Auditproces voor certificering Dit hoofdstuk beschrijft hoe het auditproces voor een certificering van een deelnemer tegen een VERA standaard verloopt.

3.1 Aanvraag Een deelnemer kan alleen getoetst worden aan een VERA-standaard die voldoet aan de kwaliteitseisen zoals geformuleerd in hoofdstuk 2 en door VERA als certificeerbaar is goedgekeurd. Om een VERA-certificaat te verkrijgen dient de software-oplossing of de implementatie getoetst (beoordeeld) te worden door een onafhankelijke derde (de Auditor). Een partij die het predicaat ‘VERA Compliance’ wenst te verkrijgen kan daartoe bij de Stichting een aanvraag tot toetsing indienen. Hiervoor wordt verder verwezen naar het Huishoudelijk Reglement van Stichting VERA.

3.2 Opdrachtaanvaarding De Auditor en de deelnemer dienen het eens te zijn over de opdrachtvoorwaarden. Het is noodzakelijk de overeengekomen voorwaarden vast te leggen in een opdrachtbevestiging. Teneinde misverstanden met betrekking tot de opdracht te vermijden, heeft zowel de deelnemer als de auditor er belang bij dat de auditor de opdracht schriftelijk bevestigt, voordat de uitvoering van de opdracht aanvangt. Door middel van de opdrachtbevestiging worden de aanvaarding van de opdracht, het doel en de reikwijdte van de opdracht (tegen welke VERA standaard wordt gecertificeerd, product- of implementatiecertificering) en de wijze van rapportering (zie Bijlage D) vastgelegd en bevestigd. De minimaal op te nemen punten in de opdrachtbevestiging zijn beschreven in Bijlage C. Auditor en deelnemer komen overeen in de opdrachtbevestiging dat de certificering wordt uitgevoerd in het kader VERA-compliance en komen overeen dat aan Stichting VERA een exemplaar van het Assurance rapport mag worden verstrekt. Certificeringen kunnen op twee manieren worden gedefinieerd, volgens beperkte mate van zekerheid en een redelijke mate van zekerheid. Voor een opdracht tot een beperkte mate van zekerheid is een hoger opdrachtrisico aanvaardbaar en wordt de conclusie negatief geformuleerd. Omdat de zekerheid die uit deze opdracht te ontlenen is minder is, dienen opdrachten tot VERAcertificering te worden uitgevoerd met een redelijke mate van zekerheid door de auditor.

3.3 Uitvoering Een certificering wordt uitgevoerd in overeenstemming met de Richtlijn Assurance-opdrachten (3000). Tijdens de uitvoering van de audit wordt door de Auditors van het auditteam onderzoek verricht. Tijdens dit onderzoek wordt getoetst of de maatregelen om aan de normen van de VERA standaard te voldoen daadwerkelijk geprogrammeerd en aanwezig zijn in de software-oplossing en/of zijn geïmplementeerd. Dit zal door de Auditor worden getoetst op locatie bij de deelnemer (afhankelijk Verkenning - Compliance Aanpak Versie 3.0 - Definitief

10

van toetsingsniveau, zie paragraaf 4.1). Hierbij zal de deelnemer aan de Auditor demonstreren welke maatregelen in en om de software-oplossing zijn getroffen om aan de normen die VERA stelt te voldoen. De Auditor vormt zich vervolgens een beeld of er voldoende maatregelen zijn getroffen in en om de softwareoplossing om aan de eis zoals de VERA standaard (in het normenkader) stelt te voldoen. Hierbij zal de deelnemer de getroffen maatregelen aantoonbaar maken op de (in het normenkader) vastgelegde onderdelen. Per norm uit het normenkader legt de auditor het volgende vast:  

de bevindingen; conclusie.

Wanneer tijdens het uitvoeren van een audit blijkt dat de objectiviteit van de auditor op welke wijze dan ook in het geding komt en/of dreigt te komen heeft de auditor het recht en de plicht dit aan de deelnemer mede te delen en de audit af te breken.

3.4 Bevindingen en rapportage Voor de te certificeren software-oplossing of implementatie geldt dat: -

uit tijdens de audit getoonde maatregelen (in de applicatie aanwezige functionaliteit) en documenten blijkt dat de gevolgde werkwijze overeenkomt met de norm (VERA-standaard) waartegen getoetst is.

Hierbij geldt dat alle eisen uit het normenkader positief beoordeeld moeten zijn. De auditor legt al zijn bevindingen ter verificatie voor aan de deelnemer alvorens er conclusies aan te verbinden. Bevindingen die betwist kunnen worden zoals uitspraken gedaan in interviews, waarnemingen ter plaatse, moeten altijd aantoonbaar door de deelnemer geautoriseerd worden. Nadat de auditor zijn rapportage klaar heeft wordt deze in zijn geheel voorgelegd aan de deelnemer. Een voorbeeld van de inhoud van de rapportage is opgenomen in Bijlage D.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

11

4 Normenkader Normen vormen een essentieel element ten behoeve van het certificeren van een product of proces. In uitingen zal een auditor zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. Dit hoofdstuk beschrijft de aanpak om tot een normenkader (op hoofdlijnen) voor VERA-certificering te komen. Hiervoor wordt kort de opbouw van het normenkader besproken, de aanpak om het normenkader uit te werken en de kwaliteitseisen waar individuele normen aan moeten voldoen.

4.1 Opbouw Onderstaand figuur beschrijft hoe het normenkader wordt opgebouwd. Uitgangspunt is de doelstelling die VERA met de standaard wenst te bepalen. Ten aanzien van het behalen van deze doelstellingen kunnen risico’s geïdentificeerd worden. Voor deze risico’s kunnen beheersingsmaatregelen geformuleerd worden die het risico kunnen wegnemen of verminderen (mitigeren). Deze beheersingsmaatregelen vormen de toetsingsnormen in het normenkader. De focus van het normenkader is daarmee dus gericht op alle maatregelen die men bij de toepassing van de VERA standaard mag verwachten om de doelstellingen van VERA te behalen.

Het normenkader zelf kan verdeeld worden in maatregelen die men mag verwachten in een softwarepoplossing (1. Pakket), in de implementatie van de softwareoplossing in een specifieke situatie (2. Implementatie) en de beheerprocessen die ingericht moeten zijn om ‘blijvend’ aan de standaard te voldoen (3. Beheer). Deze onderdelen geven ook direct de niveaus van mogelijke certificering aan: Niveau 1:

Een softwareoplossing heeft de VERA-standaard geïmplementeerd conform het normenkader. Bijvoorbeeld, een pakketleverancier certificeert haar softwarepakket los van enige implementatie bij een woningcorporatie. Dit toont aan de het systeem in staat is om via de VERA-standaard te koppelen.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

12

Niveau 2:

Een softwareoplossing heeft de VERA-standaard geïmplementeerd conform het normenkader (niveau 1) en is ook geïmplementeerd in een specifieke situatie conform het normenkader. Bijvoorbeeld, Pakket X heeft een VERA-gecertificeerde koppeling en is conform het normenkader geconfigureerd bij Woningcorporatie Y.

Niveau 3:

Rondom de specifieke implementatie (niveau 2) zijn beheerprocessen ingericht conform het normenkader, die er voor zorgen dat de VERA-gecertificeerde koppeling blijft functioneren conform het normenkader.

In Bijlage B wordt een eerste aanzet tot de toetsingsnormen per onderdeel besproken. Het gaat hierbij om een set aan toetsingsnormen die de minimale set vormen voor VERA compliance, maar per VERA release concreet uitgewerkt moeten worden.

4.2 Aanpak opstellen normenkader In hoofdlijnen komt het opstellen van het normenkader neer op de volgende stappen (zie bovenstaand figuur). 1. Doelstellingen De eerste stap is het vaststellen van de doelstellingen voor de onderdelen uit de VERA-standaard die in de scope van de VERA-certificering worden betrokken. De certificering moet immers aanvullende zekerheid verschaffen dat deze doelstellingen ook daadwerkelijk behaald gaan worden. Kwaliteitsaspecten kunnen geformuleerd worden op basis van doelstellingen. Bijvoorbeeld, de exclusiviteit, integriteit of controleerbaarheid van een VERA-koppeling. Zie ook paragraaf 4.4. 2. Risico-analyse De tweede stap bestaat uit een risico-analyse. Per doelstelling uit stap 1 wordt gekeken naar de risico’s die het behalen van de doelstellingen kunnen verhinderen. Vastgesteld moet worden welke risico’s gemitigeerd moeten worden om in aanmerking te komen voor een VERAcertificaat. Het VERA certificaat moet aanvullende zekerheid verschaffen dat deze risico’s bij gecertificeerde objecten niet optreden. 3. Opstellen normenkader De derde stap bestaat uit het beschrijven van maatregelen die je verwacht aan te treffen om de in stap 2 vastgestelde risico’s uit te kunnen sluiten (mitigeren). Deze maatregelen vormen daarmee de normen. Deze normen moeten de zekerheid verschaffen dat de onderkende risico’s het bereiken van de doelstellingen niet zullen verhinderen.

4.3 Kwaliteitseisen aan normen Een norm is een richtpunt waaraan een specifiek onderdeel van het auditobject moet voldoen. Een norm is daarmee te beschouwen als de meest gepreciseerde eenheid van toetsing. Daarbij moet worden bedacht dat op een auditobject doorgaans meerdere normen van toepassing zijn. Een auditor aanvaardt een VERA certificering slechts indien de toetsingsnormen die worden gehanteerd toepasbaar zijn (en beschikbaar voor de beoogde gebruikers). Om een deelnemer te Verkenning - Compliance Aanpak Versie 3.0 - Definitief

13

kunnen certificeren dient de (uit de) VERA-standaard (afgeleide normen) aan de volgende eisen te voldoen: 1. Relevantie: Relevante toetsingsnormen dragen bij aan het trekken van conclusies die de besluitvorming van de beoogde gebruikers ondersteunen. 2. Volledigheid: Toetsingsnormen zijn volledig wanneer factoren, die de conclusies binnen de context van de omstandigheden van de opdracht zouden kunnen beïnvloeden, niet achterwege worden gelaten. Volledige toetsingsnormen omvatten voorzover van belang benchmarks voor de presentatie en de toelichting. 3. Betrouwbaarheid: Betrouwbare toetsingsnormen geven de mogelijkheid voor een redelijk consistente evaluatie of toetsing van het object van onderzoek, wanneer zij onder vergelijkbare omstandigheden worden gehanteerd door IT-auditors die over vergelijkbare deskundigheid beschikken. Indien van toepassing dienen ook de presentatie van en de toelichting op de toetsingsnormen aan die mogelijkheid bij te dragen. 4. Neutraliteit: Neutrale toetsingsnormen dragen bij aan het onbevooroordeeld trekken van conclusies. 5. Begrijpelijkheid: Begrijpelijke toetsingsnormen dragen bij aan trekken van conclusies die duidelijk en bondig zijn en niet op significant verschillende wijzen kunnen worden geïnterpreteerd. De VERA standaard voldoet momenteel niet aan de bovenstaande eisen, waardoor het niet mogelijk is om deelnemers te certificeren ten aanzien van de eisen voor VERA-compliance. In Bijlage A zijn concrete voorbeelden opgenomen waar het in de VERA standaard aan ontbreekt. Stichting VERA zal zorg moeten dragen dat standaard zelf aan de relevante eisen voldoet voordat verdere stappen m.b.t. certificering worden gezet.

4.4 Kwaliteitsaspecten Voor certificering dienen vanuit de VERA-standaard toetsingsnormen geformuleerd te worden in termen van de aan de uitkomst te stellen kwaliteitsaspecten: -

-

-

Exclusiviteit: de mate waarin alleen geautoriseerde personen (of apparatuur) via geautomatiseerde processen en de toekenning van bevoegdheden gebruik kunnen maken van IT-processen (bijvoorbeeld de versleuteling van koppeling). Integriteit: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid (bijvoorbeeld volledigheid attributen in gegevensmodel). Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen, dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten, is uitgevoerd (bijvoorbeeld aanwezigheid audit trail).

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

14

5 Bibliografie Bestuur Stichting VERA. (2014, 6 25). Huishoudelijk regelement Stichting VERA. Opgehaald van Stichting VERA: http://www.stichting-vera.nl/wp-content/uploads/2012/07/Huishoudelijkreglement-VERA.pdf Stichting VERA. (2014). Bijlage E.1 - Implementatieplan. VERA 3.0.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

15

Bijlage A Toepassing kwaliteitseisen op VERA standaard A.1 Voorbeeld gegevensmodel Ter illustratie is uit VERA 3.0 een definitie uit de standaard ‘relatie’ getoetst aan de kwaliteitseisen die aan een toetsingsnorm gesteld worden. Voor het gegeven ‘afspraak’ zijn in VERA 3.0 de volgende attributen geregistreerd.

Het gegeven ‘afspraak’ is hierbij ten aanzien van de vijf kwaliteitseisen die aan een toetsingsnorm worden gesteld getoetst, met als doel te verifiëren of een gegevensmodel uit VERA 2.0 te certificeren is. Onderstaand is per kwaliteitseis aangegeven in hoeverre het gegeven ‘afspraak’ uit het gegevensmodel ‘relatie’ aan de kwaliteitseis voldoet. Relevantie

Voldoet niet

Volledigheid

Voldoet niet

Betrouwbaarheid Voldoet niet

Het is niet helder en eenduidig beschreven op welke wijze op basis van attributen een conclusie kan worden getrokken over het gegeven afspraak. (b.v. aangeven van verplichtheid of cardinaliteit van het attribuut). Het is niet duidelijk of en welke geregistreerde attributen, conform de VERA 2.0 standaard, dienen te worden beoordeeld om een conclusie te trekken over het gegeven afspraak. Gezien richtlijn GM09 uit VERA 2.0: alle attributen zijn optioneel Een consistente evaluatie van het gegeven afspraak is niet mogelijk. De VERA 2.0 standaard beschrijft voor de attributen niet voldoende op welke wijze het attribuut door een auditor getoetst kan worden. Onduidelijk is welke eisen aan de attributen worden gesteld bij beoordeling. Als gevolg bestaat de mogelijkheid dat het attribuut door auditors op verschillende wijzen wordt getoetst (een auditor kan de aanwezigheid van het attribuut beoordelen ‘AuditInfo’ beoordelen, waar een andere auditor beoordeelt of dit

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

16

Neutraliteit

Voldoet niet

Begrijpelijkheid

Voldoet niet

attribuut juist en volledig wordt gevuld bij het registreren van een afspraak). Het is niet mogelijk om onbevooroordeeld een conclusie te trekken, omdat de relatie van de attributen tot het gegeven niet zijn beschreven als toetsingsnorm. De conclusie van een auditor of het gegeven afspraak in een product voldoet aan de VERA-standaard kan op verschillende wijzen tot stand komen, afhankelijk van de interpretatie van de auditor.

Onderstaand een aantal voorbeelden van hoe een toetsingsnorm geformuleerd zou moeten worden om aan de kwaliteitseisen te voldoen. In de uitwerking van een normenkader moeten de toetsingsnormen op basis van de doelstellingen en risico’s geformuleerd worden. Onderstaande normen zijn dus enkel en alleen bedoeld als voorbeeld en niet het resultaat van een risico-analyse: -

Ten behoeve van de integriteit van een afspraak waarborgt het systeem dat minstens één van de vier sleutelattributen is gehanteerd (GM11 uit VERA 3.0). Ten behoeve van de integriteit van een afspraak waarborgt het systeem dat voor een attribuut het datatype conform de VERA-standaard is gehanteerd. Ten behoeve van de integriteit van een afspraak waarborgt het systeem dat geen andere attributen worden gehanteerd om het begin- en einde van de cyclus aan te geven dan de attributen ‘begindatum’ en ‘einddatum’ (GM06 uit VERA 3.0).

A.2 Voorbeeld architectuurprincipe Ter illustratie is uit VERA 3.0 een definitie getoetst aan de kwaliteitseisen die aan een toetsingsnorm gesteld worden. KI02 Een release van VERA is gebaseerd op een vastgestelde StUF versie Bij elk release van VERA zal worden vermeld welke versie van StUF wordt ondersteund. Relevantie

Voldoet

Volledigheid

Voldoet

Betrouwbaarheid Voldoet niet

Neutraliteit

Voldoet niet

Begrijpelijkheid

Voldoet niet

VERA vereist dat StUF wordt ondersteund, de richtlijn is daarom relevant te noemen. STuF is een belangrijke voorwaarde die VERA stelt en het ontbreken hiervan kan de opdracht beïnvloeden, en kan dus niet achterwege worden gelaten Versies van StUF en voorwaartse en terugwaartse compatibiliteit is in VERA 2.0 onvoldoende benoemd. Een consistente evaluatie van de StUf versie is als gevolg niet mogelijk. Het is niet mogelijk om onbevooroordeeld een conclusie te trekken, omdat de StUF versie niet is benoemd in VERA 2.0. De conclusie kan op verschillende wijze tot stand komen, afhankelijk van de interpretatie van de auditor, mede als gevolg van voorwaartse en terugwaartse compatibiliteit.

Onderstaand een voorbeeld van hoe een toetsingsnorm geformuleerd zou worden om aan de kwaliteitseisen te voldoen. In de uitwerking van een normenkader moeten de toetsingsnormen op

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

17

basis van de doelstellingen en risico’s geformuleerd worden. Onderstaande norm is dus enkel en alleen bedoeld als voorbeeld en niet het resultaat van een risico-analyse. -

Ten behoeve van de integriteit van het koppelvlak is de open StUF standaard versie xx ten behoeve van de documentstructuur gehanteerd.

Verder detaillering is mogelijk bij uitwerking van het normenkader.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

18

Bijlage B Normenkader (concept) In deze bijlage wordt een eerste concept uitwerking van het VERA normenkader gepresenteerd. Elke norm wordt als volgt beschreven: -

-

uniek nummer (nr) voor referentie en rapportage verkorte naam norm beschrijving met verwijzing naar concrete eisen in de VERA standaard en/of een voorbeeld beheersingsmaatregel. NB de norm-beschrijving (hoewel hier in meta-vorm) dient te voldoen aan de kwaliteitseisen, zoals beschreven in hoofdstuk 3. kwaliteitsaspect (zie hoofdstuk 3) gerelateerd aan de norm (dit kan in volgende versies uitgewerkt worden tot het concrete risico waar de norm betrekking op heeft).

B.1 Pakket compliance (1) De normen onder pakket compliance richten zich op de doelstelling dat in een pakket voor de woningcorporatie de VERA standaard dusdanig is geïmplementeerd dat een gebruiker van de koppeling er zeker van kan zijn dat de koppeling werkt op de in de standaard voorgeschreven manier. De implementatie van VERA bestaat voor een pakket uit: - Koppelingen: de implementatie van een koppelvlak - Rapportages: de implementatie en gebruik van de door VERA gedefinieerde kengetallen. B.1.1 Koppelingen Nr Verkorte naam 3.2.1.1 XSD

3.2.1.2

Validatie

3.2.1.3

Referentie data

3.2.1.4

Mapping

3.2.1.5

Semantiek

Norm Pakket hanteert 1-op-1 de in de VERA-standaard meegeleverde XSD’s. XSD’s worden niet aangepast. Er vindt geen overerving plaats waarmee de betekenis van de koppeling aangepast wordt.  VERA 3.0 - Bijlage D.3 - XSD's en WSDL's - Definitief – 20130925 Verstuurde berichten zijn aantoonbaar valide ten opzichte van de XSD’s.  Bv. door standaard XSD validatie af te dwingen in de software of door een gedegen testaanpak. Pakket gebruikt 1-op-1 de in de VERA-standaard meegeleverde referentie data.  In VERA 3.0 nog niet aanwezig. Er is een eenduidige mapping tussen velden in de koppeling en velden in het interne data model van het pakket. De mapping is gedocumenteerd, zodat voor gebruikers van de koppeling maximaal voorspelbaar is welke gegevens via de koppeling geleverd of ingevoerd kunnen worden.  Bv. door (koppelvlak)documentatie waarin mapping is vastgelegd met eventueel bijbehorende bedrijfsregels met uitwerking in een expliciete configuratiefile/-tabel waarin de mapping geconfigureerd is of via een gedegen testaanpak. De semantiek van de velden in de koppeling en in het gegevensmodel sluiten 1-op-1 op elkaar aan. Eventuele

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

Kwaliteitsaspect Juistheid

Juistheid

Juistheid

Juistheid

Juistheid

19

3.2.1.6

Versiebeleid

3.2.1.7

Naamgeving

3.2.1.8

Logging

3.2.1.9

Audit trail

3.2.1.10 Beveiliging

B.1.2 Rapportages Nr Verkorte naam 3.2.1.1

benodigde vertaalslagen zijn eenduidig gedocumenteerd en afwijkingen zijn expliciet gemaakt. De koppeling is op dit gebied maximaal voorspelbaar.  Zie ‘Mapping’ Norm 3.2.1.4 Pakket houdt zich aan de in het VERA-versiebeleid beschreven versionering van koppelingen.  In VERA 3.0 nog niet aanwezig, alleen een verkenning heeft plaatsgevonden. Pakket houdt zich aan de in het VERA beschreven naamgeving van koppelingen.  Zie VERA 3.0 - Bijlage A - Standaarden en richtlijnen Definitief – 20130925. o KN01 o Paragraaf 3.3, 3.4 en 3.5 Er is een log beschikbaar waarin de operationele werking van de koppeling gelogd wordt.  In VERA 3.0 nog niet aanwezig. Per koppeling is vastgesteld in welke mate een audit trail vereist wordt: voor vastlegging van wie/wanneer welke transactie heeft aangeroepen. Op basis van eisen is de betreffende audit trail aanwezig.  In VERA 3.0 nog niet aanwezig. Bv. Eisen vastgelegd in een koppelvlakdocument en implementatie conform vastgestelde eisen. Per koppeling zijn beveiligingsmaatregelen gedefinieerd en daaraan conform geïmplementeerd.  In VERA 3.0 nog niet aanwezig. Bv. versleuting, autorisatie, etc.

Juistheid

Juistheid

Controleerbaarheid, Integriteit Integriteit, Exclusiviteit, Onweerlegbaarheid

Integriteit, Exclusiviteit

Norm  Zie VERA 3.0 - Bijlage C.1 - Prestatiemeting - Definitief – 20130925

Kwaliteitsaspect

Normen voor rapportages moeten nog uitgewerkt worden. Van belang is dat zowel een woningcorporatie moet kunnen steunen op een VERA-compliant rapportage wanneer deze door een pakket wordt aangeboden. Ook externe stakeholders (bv. ministerie en social fonds) moeten kunnen steunen op door woningcorporaties opgeleverde VERAcompliant rapportages.

B.2 Implementatie compliance De normen onder implementatie compliance richten zich op de doelstelling dat een implementatie van een pakket (of maatwerkoplossing) bij de woningcorporatie de VERA standaard dusdanig beschikbaar stelt dat een gebruiker van de koppeling er zeker van kan zijn dat de koppeling werkt op de in de standaard voorgeschreven manier. De implementatie van VERA bestaat voor een pakket uit: Verkenning - Compliance Aanpak Versie 3.0 - Definitief

20

-

-

Configuratie: alles wat bij/na installatie van pakket nog geconfigureerd moet worden om de koppeling en/of rapportages te laten werken.  Bv. moet de mapping tussen koppeling en gegevensmodel nog geconfigureerd worden? Zijn er nog aanpassingen gedaan waarbij afgeweken wordt van de ‘standaard installatie’? Gegevensmodel: de manier hoe de woningcorporatie de gegevens in het pakket vult/gebruikt die van invloed is op de werking van de koppeling/rapportage.  Bv. worden alle velden wel gebruikt waarvoor ze bedoeld zijn?

B.2.1 Configuratie Nr Verkorte naam 3.2.1.1

Norm  …

Kwaliteitsaspect

Normen voor configuratie moeten nog uitgewerkt worden. B.2.2 Gegevensmodel Nr Verkorte naam Norm 3.2.1.1  …

Kwaliteitsaspect

Normen voor gegevensmodel moeten nog uitgewerkt worden. Openstaande vragen: 

Welke aanpassingen / configuraties zijn nog toelaatbaar bij implementatie van een VERA compliant pakket om nog compliant te blijven?  implementatie keuzes: datakwaliteit om de gegevens te vullen. Zijn verplichte velden wel in de systemen gevuld. Wordt dit door het pakket afgedwongen?  Semantisch.. schaal ? 1 t/m 10 van pragmatische keuzes indien attributen met beslisregels ‘misbruikt’ moeten worden om koppeling werkend te krijgen.

B.3 Beheerprocessen De normen onder Beheerprocessen richten zich op de doelstelling dat zowel bij pakket compliance als bij implementatie compliance, de compliance over langere tijd (periode) geborgd blijft (in audit term de werking). - Aan pakket compliance kant gaat het om de beheerprocessen van de leverancier van het pakket. Hoe is het voortbrengingsproces bij leverancier geregeld? Zitten hier voldoende waarborgen in om te garanderen dat aan compliance eisen voldaan is? Is er bijvoorbeeld voldoende testdekking en is er ook een betrouwbaar wijzigingsproces. - Aan implementatie compliance kant gaat het om de beheerprocessen van de woningcorporatie (eventueel uitbesteed aan een service provider). Hoe is het beheer rondom het productiesysteem ingeregeld? Waarborgt dit de werking van de VERA-compliant koppelingen en/of rapportages.

De normen voor beheer moeten nog verder worden uitgewerkt. In audit termen gaat het hierbij om de Generieke Computer Controls (GCC’s) of engelse equivalent IT General Controls (ITGC):  

Logical access controls over infrastructure, applications, and data. System development life cycle controls.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

21

   

Program change management controls. Data center physical security controls. System and data backup and recovery controls. Computer operation controls.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

22

Bijlage C Inhoud opdrachtbevestiging De Vorm en inhoud van een opdrachtbevestiging kunnen per opdracht verschillen, maar de bevestiging besteedt tenminste aandacht aan: a. b. c. d. e.

Het doel van de certificering. De verantwoordelijkheden van de IT-auditor. De verantwoordelijkheden van de deelnemer (opdrachtgever). De reikwijdte (scope) van de opdracht. De wijze van rapportering en andere vormen van communicatie over de bevindingen inzake de opdracht, voor zover van toepassing. f. De waarborg voor de vrije toegang tot alle personen, informatiesystemen, vastleggingen, documentatie en andere informatie die in het kader van de opdracht worden gevraagd. g. De wijze waarop het honorarium wordt vastgesteld en afspraken inzake het declareren, voor zover van toepassing. h. De afspraken over de planning. i. Een verzoek aan de opdrachtgever de acceptatie van de opdrachtvoorwaarden te bevestigen door het terugsturen van een getekend exemplaar van de opdrachtbevestiging.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

23

Bijlage D Inhoud rapportage Rapportage heeft tot doel decharge te verkrijgen voor de uitgevoerde certificering. De rapportage bevat ten minste de volgende elementen: 1. De met de opdrachtgever overeengekomen en door de auditor aanvaardde opdracht of een expliciete verwijzing daarnaar; 2. Een beschrijving van de wijze van uitvoering van de opdracht, waaronder een beschrijving van de gehanteerde aanpak, één en ander voor zover relevant; 3. Het oordeel met betrekking tot de bevindingen en, in voorkomende gevallen, ook de andere uitingen dan wel expliciete verwijzingen daarnaar; 4. De periode van onderzoek waarbinnen de waarnemingen, die de grondslag hebben gevormd voor de uitingen, tot stand zijn gekomen; 5. De onweerlegbare vermelding welke auditor verantwoordelijk is voor de uitingen; 6. Een onweerlegbare vermelding betekent dat de identiteit van de verantwoordelijke auditor is vastgelegd en dat diens betrokkenheid niet in of buiten rechte kan worden weerlegd. a. Het eindrapport wordt uitgebracht aan de opdrachtgever en Stichting VERA tenzij tussen de auditor en de opdrachtgever gezamenlijk anders is overeengekomen. Het eindrapport van een auditor is (het hoofdbestanddeel van) het product dat de opdrachtgever als resultaat van diens opdracht ontvangt. b. Het eindrapport is van een datum voorzien. c. Het rapport voldoet aan de volgende eisen: i. Het is voldoende duurzaam; ii. Het is reproduceerbaar waarbij de auditor maatregelen neemt om te waarborgen dat het origineel herkenbaar is als origineel; iii. De volledigheid van de teksten is constateerbaar; iv. Het is zodanig gekenmerkt dat het te onderscheiden is van alle andere rapporten. Met de kenmerking van het rapport wordt bedoeld de titel, alsmede andere uiterlijke kenmerken, zoals volgnummers, datering, statusaanduidingen e.d. Het hangt af van de concrete omstandigheden hoeveel onderscheidend vermogen aanwezig moet zijn. Er mag bijvoorbeeld geen verwarring ontstaan over andere rapporten bij dezelfde opdrachtgever.

Verkenning - Compliance Aanpak Versie 3.0 - Definitief

24