=
aÉäçáííÉ=^ÅÅçìåí~åíë=_KsK= hêççåé~êâ=NM= SUPN=ds=^êåÜÉã= mçëíÄìë=PMOSR= SUMP=^d=^êåÜÉã= = qÉäW=EMOSF=POPUMMM= c~ñW=EMOSF=POPUMMN= ïïïKÇÉäçáííÉKåä= =
Rapport Beoordeling Documentair Informatie Systeem Provincie Gelderland
Uitgebracht aan: De heer M. Frequin
14 mei 2007 Uitgebracht door Voorbereid door
RD/ts/07-249 G.J.B. Beimers RA R. Drewes MIM drs. M.R. Seekles RE drs. A.F.J. van der Velden RA
lé=~ääÉ=Åçåíê~ÅíìÉäÉ=êÉä~íáÉë=î~å=aÉäçáííÉ=òáàå=ÇÉ=~äÖÉãÉåÉ=îççêï~~êÇÉå=î~å=aÉäçáííÉI=ïÉäâÉ=òáàå= = ÖÉÇÉéçåÉÉêÇ=Äáà=ÇÉ=dêáÑÑáÉ=î~å=ÇÉ=^êêçåÇáëëÉãÉåíëêÉÅÜíÄ~åâ=íÉ=oçííÉêÇ~ã=çåÇÉê=~âíÉåìããÉê=UQLOMMQ=î~å= íçÉé~ëëáåÖK= aÉäçáííÉ=^ÅÅçìåí~åíë=_KsK=áë=áåÖÉëÅÜêÉîÉå=áå=ÜÉí=Ü~åÇÉäëêÉÖáëíÉê=î~å=ÇÉ=h~ãÉê=î~å=hççéÜ~åÇÉä=íÉ= = oçííÉêÇ~ã=çåÇÉê=åìããÉê=OQPSOURPK= = =
=
jÉãÄÉê=çÑ= aÉäçáííÉ=qçìÅÜÉ=qçÜã~íëì= =
RD/ts/07-249 14 mei 2007 2
Inhoudsopgave 1
Inleiding
3
2
Opdracht
3
2.1 Opdrachtomschrijving 2.2 Definities kwaliteitsaspecten 2.3 Scope en afbakening
3 4 4
Aanpak en werkwijze
5
3.1 3.2 3.3 3.4
5 5 6 6
3
4
5
Fase 1: Opstellen/actualiseren normenkader Fase 2: Beoordelen/actualiseren opzet Fase 3: Vaststellen bestaan Fase 4: Opstellen rapportage
Managementsamenvatting
6
4.1 Oordeel 4.2 Belangrijkste conclusies, risico’s en aanbevelingen
6 7
Tot slot
7
Bijlage 1 Detailbevindingen
8
RD/ts/07-249 14 mei 2007 3
1
Inleiding
In 2005 heeft een initiële beoordeling plaatsgevonden van het DIS. Uit die beoordeling is een aantal verbeterpunten gekomen die de provincie inmiddels heeft opgepakt. Het huidige onderzoek is dan ook bedoeld om deze verbeteringen te toetsen en mogelijke risico’s te signaleren. Onlangs heeft binnen de provincie de archiefinspecteur in haar inspectierapport aangegeven dat er te weinig aandacht is voor de norm NEN-ISO 15489-1:2001 (waarin eisen gesteld worden aan informatie- en archiefmanagement). De provincie heeft te kennen gegeven dat dit onderzoek naar de opzet en het bestaan van interne beheersmaatregelen rondom de DIS toepassing gebruikt zal worden om het onderdeel betrouwbaarheid van de NEN norm verder uit te werken.
2
Opdracht
2.1
Opdrachtomschrijving
Provincie Gelderland heeft Deloitte gevraagd om een onafhankelijk onderzoek (EDP audit) uit te voeren naar de opzet en het bestaan van de interne beheersmaatregelen in en rondom de DIS toepassing. Het onderzoek heeft betrekking op de opzet en het bestaan van de interne controle en informatiebeveiligingsmaatregelen in en rondom de DIS toepassing. De werking van de maatregelen wordt niet door ons getoetst. De beoordeling van DIS levert een uitspraak op in hoeverre deze toepassing voldoet aan de eisen, die Deloitte, in overleg met Provincie Gelderland, daaraan stelt uit hoofde van betrouwbaarheid, controleerbaarheid en vertrouwelijkheid.
RD/ts/07-249 14 mei 2007 4
2.2
Definities kwaliteitsaspecten
Onder de genoemde kwaliteitsaspecten worden in deze rapportage verstaan: •
Betrouwbaarheid:
de redelijke zekerheid dat de verwerking van de gegevens met DIS juist, volledig en tijdig geschiedt.
•
Controleerbaarheid: de redelijke zekerheid dat de verstrekte informatie vanuit DIS te herleiden is naar de brongegevens (audittrail).
•
Vertrouwelijkheid: de redelijke zekerheid dat het gebruik van DIS slechts door geautoriseerde functionarissen kan plaatsvinden.
Bovenstaande kwaliteitsaspecten zijn door ons uitgewerkt naar controledoelstellingen per module/fase. Deze worden gehanteerd als toetsingscriteria (normenkader) en maken integraal deel uit van het eindrapport. Uitgangspunt vormt het normenkader dat tijdens de initiële beoordeling op het DIS systeem in 2005 is gehanteerd. Dit normenkader is in overleg met de opdrachtgever waar nodig geactualiseerd en aangepast en is opgenomen in bijlage 1 bij dit rapport.
2.3
Scope en afbakening
Binnen Provincie Gelderland is in het DSP (Documentair Structuur Plan) vastgelegd op welke wijze alle voorkomende documenten worden opgeslagen in het DIS (Documentair Informatie Systeem). Het DIS voor Provincie Gelderland is ingevuld met het softwarepakket DocBase Online van Acanthis Document Solutions en de Metadatamanager van Splitvision. Om het DSP voor alle bij Provincie Gelderland voorkomende documenten vast te kunnen leggen heeft een zeer uitvoerige inventarisatie plaatsgevonden van alle voorkomende processen, hoofdprocessen, producten, programma’s, etc. Enerzijds is hierbij gebruik gemaakt van de begroting van Provincie Gelderland en anderzijds is de kennis en ervaring van de afdelingen van groot belang geweest bij de totstandkoming ervan. Uiteindelijk zijn alle documenten per afdeling weergegeven op zogenaamde proceskaarten. Op deze proceskaarten zijn alle vooraf bekende en vaststaande kenmerken (ook wel metagegevens genoemd), voor alle documenten die kunnen voorkomen, bij het betreffende proces vastgelegd. Object van onderzoek is het DIS systeem (standaardpakket DocbaseOnline versie 4.0d5 van Acanthis Information Systems) en specifiek de functionaliteit voor de digitaliseren, opslaan, verwerken en uitvoeren van inkomende en uitgaande post zoals dit medio februari 2007 door Provincie Gelderland is geïmplementeerd.
RD/ts/07-249 14 mei 2007 5
Het DIS systeem draait op een HP9000 met HP-UX11.11 en Oracle DB: 8.1.7.4.0 database server en maakt daarbij gebruik van een applicatie- en documentserver (HP Proliant DL580R02 met Windows server 2003) en nog een applicatieserver (HP Proliant DL360R02 met Windows server 2003 en Virtuele server op HP Proliant DL580R02 met Windows server 2003). De metadata manager toepassing die wordt gebruikt voor de vastlegging van de proceskaarten (procesgang) is in de scope van de beoordeling meegenomen. Het onderzoek heeft betrekking op de opzet en het bestaan van de interne controle en informatiebeveiligingsmaatregelen in en rondom de DIS toepassing. De werking van de maatregelen is niet door ons getoetst.
3
Aanpak en werkwijze
Het onderzoek heeft plaatsgevonden in de periode april en mei 2007. Het onderzoek is onderverdeeld in vier fasen, namelijk: Opstellen normenkader
3.1
Beoordelen opzet
Vaststellen bestaan
Opstellen rapportage
Fase 1: Opstellen/actualiseren normenkader
In de eerste fase worden de kwaliteitsaspecten door ons uitgewerkt naar controledoelstellingen per module/fase. Deze worden gehanteerd als toetsingscriteria (normenkader) en maken integraal deel uit van het eindrapport. Uitgangspunt vormt het normenkader dat tijdens de initiële beoordeling op het DIS systeem in 2005 is gehanteerd. Dit normenkader is in overleg met de opdrachtgever waar nodig geactualiseerd en aangepast en is opgenomen in bijlage 1 bij dit rapport.
3.2
Fase 2: Beoordelen/actualiseren opzet
De tweede fase betrof het beoordelen/actualiseren van de interne controlemaatregelen, in opzet, aan de hand van het normenkader dat is opgesteld/geactualiseerd in fase 1. Hierbij heeft Deloitte gebruik gemaakt van beschikbare documentatie en interviews met materiedeskundigen.
RD/ts/07-249 14 mei 2007 6
In dit kader is gesproken met hoofd informatiebeheer (de heer M. Frequin), applicatiebeheer (mevrouw T. de Ruyter), medewerkers internecontrole (de heer R. Moolenaar (Eiffel), Metadatamanager/proceskaarten (de heer J. Doornmalen) en medewerker documentbeheer/postregistratie (mevrouw M. Pardijs). De tussentijdse bevindingen zijn afgestemd met vertegenwoordigers van Provincie Gelderland en met de opdrachtgever.
3.3
Fase 3: Vaststellen bestaan
Bij de toetsing van het bestaan is de aanwezigheid en de werking (momentopname) van de in opzet aanwezige interne controlemaatregelen beoordeeld. Deze toetsing heeft plaatsgevonden aan de hand van interviews met materiedeskundigen en via eigen waarnemingen in het systeem. Voor een overzicht van deze materiedeskundigen verwijzen wij naar paragraaf 3.2. De bevindingen zijn afgestemd met vertegenwoordigers van Provincie Gelderland.
3.4
Fase 4: Opstellen rapportage
Tot slot zijn de bevindingen geanalyseerd en verwerkt in het rapport van bevindingen en heeft Deloitte een conclusie getrokken over de mate waarin de DIS toepassing voldoet aan de eisen die daaraan gesteld moeten worden uit hoofde van betrouwbaarheid, controleerbaarheid en vertrouwelijkheid.
4
Managementsamenvatting
4.1
Oordeel
In dit hoofdstuk wordt een overzicht gegeven van de belangrijkste conclusies en aanbevelingen. Een overzicht van alle detailbevindingen en conclusies zijn in bijlage 1 opgenomen. Samengevat zijn wij met redelijke zekerheid van oordeel dat er, in relatie tot het normenkader zoals weergegeven in bijlage 1 van dit rapport, in en rondom DIS voldoende beheersmaatregelen aanwezig zijn om de betrouwbaarheid, controleerbaarheid en vertrouwelijkheid van opslag en verwerking van gegevens te kunnen waarborgen. Het bestaan van de beheersmaatregelen is vastgesteld op 14 mei 2007. Doordat beheersmaatregelen kunnen wijzigen is ons oordeel niet zonder meer geldig na deze datum.
RD/ts/07-249 14 mei 2007 7
In paragraaf 4.2 hebben wij per gebied (controledoelstelling) onze belangrijkste conclusies en aanbevelingen weergegeven. Voor een overzicht van de detailbevindingen, -conclusies en aanbevelingen verwijzen wij naar bijlage 1.
4.2
Belangrijkste conclusies, risico’s en aanbevelingen
Onderstaand vindt u onze belangrijkste conclusie en aanbeveling voor het management van de provincie. Tevens verwijzen wij u naar het overzicht van de detailbevindingen, -conlusies en aanbevelingen in bijlage 1. 4.2.1
Controleerbaarheid
Het onderhoud van vaste gegevens (standaard tabellen) en mutaties op kritieke variabele gegevens vindt, voor de gebruiker, op een onvoldoende controleerbare wijze plaats. Wij bevelen aan om binnen de DIS programmatuur te voorzien in een afzonderlijke functionaliteit ten behoeve van mutatieverslaglegging en audittrail. Bovenstaande bevinding heeft geen doorslaggevende invloed op ons eindoordeel aangezien Provincie Gelderland aanvullende maatregelen rondom het systeem heeft getroffen om de volledigheid en juistheid van de vaste- en kritieke variabele gegevens binnen het DIS periodiek te controleren. Toch adviseren wij om bovenstaande aanbeveling binnen de DIS programmatuur te realiseren.
5
Tot slot
Wij willen Provincie Gelderland bedanken voor haar constructieve medewerking aan deze beoordeling. Tot een nadere toelichting bij onze bevindingen zijn wij graag bereid. Deloitte Accountants B.V. Met vriendelijke groet,
R. Drewes MIM
RD/ts/07-249 14 mei 2007 8
Bijlage 1 Detailbevindingen Specifieke doelstellingen Kwaliteitsaspect 1 Betrouwbaarheid van het scannen
Controledoelstelling 1
Volledige en juiste invoer en opslag van ingescande poststukken.
Controlemaatregel 1 Alle poststukken (niet zijnde reclamefolders e.d.) dienen in DIS te worden ingescand.
2 Alle gescande poststukken dienen een uniek doorlopend identificeerbaar nummer te krijgen in DIS.
3 De scanbatch dient volledig en juist te worden opgeslagen.
Bevindingen Alle poststukken komen bij de postkamer. Medewerkers postkamer selecteren op GS-post, reclame en overige stukken per dienst. De bode levert (niet reclame) alle post aan bij de afdeling Informatie Beheer (IB). Een medewerker IB telt alle te registreren poststukken, dit wordt vastgelegd op een tellijst (turflijst per dienst). Alle niet in te scannen poststukken worden doorgestuurd naar de diensten. De DIS-medewerker voorziet het betreffende poststuk van een blokstempel (inclusief documentnummer, uniek doorlopend genummerd). Elk in DIS geregistreerd document krijgt een uniek (in principe doorlopend) documentnummer (niet alleen poststukken, maar ook interne stukken). Poststukken worden afzonderlijk (handmatig) ingescand. Dit betekent dat binnen DIS per poststuk een aparte batch (bestand) wordt aangemaakt. Van de mogelijkheid om bulk te scannen wordt vooralsnog geen gebruik gemaakt. DIS geeft per ingescande batch het aantal pagina's weer. Dit wordt visueel gecontroleerd. De inhoudelijke juistheid wordt niet gecontroleerd bij het scannen. Dit vindt later plaats. Wel wordt gecontroleerd of de scanresolutie optimaal is afgesteld.
Conclusie Effectief
Effectief
Effectief
Aanbevelingen
RD/ts/07-249 14 mei 2007 9 Kwaliteitsaspect
Controledoelstelling
Controlemaatregel 4 Alleen geautoriseerde medewerkers kunnen poststukken scannen.
5 De scanbatch dient alleen toegankelijk te zijn voor geautoriseerde functionarissen. 6 Er dient een controle op de volledigheid van de ontvangen post in relatie met de gescande post te zijn ingericht.
2 Betrouwbaarheid van het registreren
1
Volledige en juiste registratie van poststukken
1 Alle gescande documentnummers dienen te zijn gekoppeld aan een zaak. 2 Alle zaaknummers zijn uniek doorlopend genummerd. 3 Alleen geautoriseerde medewerkers kunnen documenten koppelen aan zaken.
Bevindingen
Conclusie
Totaal zijn er 14 (grote) scanners. De medewerkers van de afdeling Informatiebeheer (23) en de medewerkers van personeelszaken (12) hebben autorisatie om te kunnen scannen. Bij tekstverwerking (6 medewerkers) worden verzonden stukken ingescand. Alleen applicatiebeheer en systeembeheer kunnen buiten het systeem om bij de betreffende map komen. Binnen DIS is dit afgeschermd door middel van autorisaties.
Effectief
Een medewerker IB telt alle te registreren poststukken, dit wordt vastgelegd op een tellijst (turflijst per dienst). Alle niet in te scannen poststukken worden doorgestuurd naar de diensten. Mocht bij de dienst blijken dat het toch ingescand moet worden dan wordt de post naar IB gestuurd. Zaaknummer is verplicht veld bij het invoeren van een document. (Relatie tussen Document-Zaak komt overeen met een n:1 relatie). DIS genereert een uniek zaaknummer bij het aanmaken van een zaak.
Effectief
Zaaknummer is een kenmerk van een document. Iedereen kan documenten aan zaken koppelen. Afhankelijk van het aan het betreffende document gekoppelde profiel (algemeen of afdelingsspecifiek) kan een gebruiker (met dat betreffende profiel) de documenten benaderen. Afhankelijk van de status van het document (conceptbezet, conceptvrij, definitief, etc.) kan de betreffende medewerker het document alleen inzien of ook wijzigen/ verwijderen. DIS voorziet in de mogelijkheid om het koppelen van documenten aan zaken afzonderlijk te autoriseren. Dit gebeurt met behulp van profielen, persoons- of afdelingsgebonden.
Effectief
Effectief
Effectief
Effectief
Aanbevelingen
RD/ts/07-249 14 mei 2007 10 Kwaliteitsaspect
Controledoelstelling
Controlemaatregel 4 Alle documenten dienen te worden aangevuld met juiste en volledige gegevens (bijvoorbeeld datum post/ poststempel en bewaartermijn).
3 Betrouwbaarheid van de distributie
1
Volledige en juiste distributie van de gescande documenten.
1 Alle betreffende documenten dienen aan de juiste proceskaart worden toegewezen.
2 De status van de distributie dient te worden bewaakt (volledigheid, tijdigheid).
Bevindingen
Conclusie
Hiervoor bestaat een standaard invoerscherm waarbij de meest kritieke velden verplicht zijn. Zaaknummer, documentnummer (automatisch) en “inhoud” zijn momenteel verplicht. Voor het overige gaat het om handmatige invoer en controle (visueel). Vier keer per jaar wordt vanuit het VIC (Verbijzonderde Interne Controle) steekproefsgewijs controles uitgevoerd op zaken. Door middel van het toewijzen van documenten aan proceskaarten wordt de route voor distributie bepaald. Toekenning vindt plaats op basis van deskundigheid medewerker, ambtenaar controleert dit en als de zaak is afgedaan wordt opnieuw gecontroleerd of het document in de juiste proceskaart is terecht gekomen. Binnen het DIS vindt geen controle plaats op de koppeling tussen document en proceskaart. Er wordt bijvoorbeeld niet gecontroleerd door DIS of documenten van een bepaalde dienst worden gekoppeld aan de proceskaart van een andere dienst. Achteraf vindt vanuit het VIC (Verbijzonderde Interne Controle) controle plaats op de betreffende dossiers.
Effectief
Het is geen workflow systematiek. De status van de distributie wordt bewaakt in Groupwise door middel van de mail. De documentbeheerders registreren een document en sturen een attendering naar het secretariaat van de betreffende afdeling. Het secretariaat stuurt de mail via Groupwise door naar de betreffende ambtenaar. Bewaking vindt plaats per individuele medewerker en daarnaast wordt wekelijks een totaaloverzicht uitgedraaid (aantal documenten dat is ingevoerd in DIS). De status van de distributie kan niet uit DIS worden gehaald omdat dit traject binnen Groupwise plaatsvindt. Bewaking vindt tevens plaats op basis van de tellijst (turflijst per dienst).
Effectief
Deels effectief
Aanbevelingen
Wij adviseren het opnemen van een geprogrammeerde controle binnen DIS om de juiste koppeling van documenten te waarborgen.
RD/ts/07-249 14 mei 2007 11 Kwaliteitsaspect 4 Betrouwbaarheid van de ontsluiting
Controledoelstelling 1
Controlemaatregel
Volledigheidscontrole en 1 Er dient een verbandscontrole aanwezig te zijn op de volledigheid van vrijgave van de ingescande/geregistreerde en documenten. gedistribueerde poststukken.
1
Volledige, juiste en tijdige invoer van proceskaarten en overzetting naar DIS.
Conclusie
Documenten (link naar) worden handmatig met Groupwise verzonden aan het betreffende secretariaat (dienst/afdeling). Medewerker IB turft het aantal verzonden documenten. Periodiek controleert afdelinghoofd IB de volledigheid van de ingescande stukken ten opzichte van de gedistribueerde stukken aan de hand van de turflijst. Het wijzigen van proceskaarten (metadata) is beperkt tot een 3-tal medewerkers IB, een proceskaartbeheerder en een back-up (totaal 5).
Effectief
3 Er dient een mogelijkheid te zijn voor het herrouteren van een document indien deze aan de onjuiste proceskaart is toegewezen met daarin een verwijzing (audit trail).
Via een afzonderlijke functie in DIS (“omboeken”) kan dit door alleen door een medewerker IB worden gedaan. Hiervan wordt geen audittrail in DIS bijgehouden.
Effectief
4 Een controle op de herroutering van documenten dient te zijn ingericht om de kwaliteit van de distributie te verhogen.
Vindt niet plaats. Controle achteraf door middel van VIC.
Deels effectief
1 Er dient een controle plaats te vinden op de invoer en mutatie van proceskaarten in de Metadata manager.
De wijziging moet worden geaccordeerd door de proceseigenaar (=afdelinghoofd) voordat die in behandeling wordt genomen. Na aanpassing wordt contact opgenomen met de gebruiker om af te stemmen of de wijziging juist is. Hiervoor zijn 3 medewerkers IB geautoriseerd.
Effectief
2 Alleen geautoriseerde medewerkers kunnen documenten in proceskaarten benaderen.
5 Betrouwbaarheid proceskaarten
Bevindingen
2 Alleen geautoriseerde medewerkers kunnen wijzigingen doorvoeren in de proceskaarten in Metadata manager.
Aanbevelingen
Effectief
Effectief
Wij adviseren het opnemen van een geprogrammeerde controle in DIS om de juistheid van de herrouteringen te waarborgen.
RD/ts/07-249 14 mei 2007 12 Kwaliteitsaspect
6 Betrouwbaarheid 1 DIS (vertrouwelijkheid en integriteit)
Controledoelstelling
Controlemaatregel
Bevindingen
Conclusie
3 Alleen geautoriseerde medewerkers kunnen nieuwe/aangepaste proceskaarten overzetten van Metadata manager naar DIS
Hiervoor zijn 2 medewerkers IB en een applicatiebeheerder (AS) geautoriseerd.
Effectief
4 Er dient een versiebeheerprocedure aanwezig te zijn voor het kunnen herleiden van de huidige versie van proceskaarten in DIS.
Dit is mogelijk in de nieuwe versie van MDM (MetaDataManager). Op dit moment wordt handmatig het versiebeheer in een excelsheet bijgehouden.
Deels effectief
DIS kent momenteel ongeveer 1750 gebruikers. Die hebben allen een unieke gebruikersnaam en wachtwoord binnen DIS (single sign on). Hiervoor gelden de standaard afspraken (beperkingen) die binnen de provincie zijn vastgesteld. Een wachtwoord dient de eerste keer verplicht te worden gewijzigd. Het wachtwoord dient één keer per jaar te worden gewijzigd en dient te bestaan uit minimaal 6 karakters. Eerdere wachtwoorden mogen niet opnieuw worden gebruikt.
Effectief
DIS werkt met gebruikersgroepen. Autorisaties zijn gekoppeld aan profielen en de profielen vervolgens aan groepen. Gebruikers worden in groepen ingedeeld op grond van hun functie. De organisatorische functiescheiding is overgenomen in de gebruikersprofielen en autorisaties binnen DIS. DIS kent geen standaard autorisatieoverzicht. Speciaal voor dit doel is daarom een rapportage ontwikkeld om het overzicht van de autorisaties inzichtelijk te maken. Voor alle autorisaties die afwijken van de standaard autorisatie, wordt jaarlijks hernieuwde bevestiging gevraagd aan de betreffende leidinggevende.
Effectief
Er dienen zodanige 1 DIS dient over zodanige beperkingen in het toegangsbeveiligingsvoorzieningen gebruik van (samen met de mogelijkheden in het programmatuur besturingssystemen) te beschikken dat respectievelijk de gegevens alleen met reguliere gegevensverzamelingen functies in de applicatie benaderd te zijn, dat uitsluitend worden. (identificatie en authenticatie) daartoe bevoegde functionarissen erover kunnen beschikken. De 2 Gebruikers dienen alleen toegang te gewenste krijgen tot de functies, gegevens, functiescheidingen die in bestanden en bibliotheken, waartoe zij de organisatie expliciet zijn geautoriseerd. (op welke gerealiseerd zijn, dienen wijze worden gebruikers ook in DIS aangebracht geautoriseerd?) te kunnen worden.
Aanbevelingen
Wij adviseren het versiebeheer van de proceskaarten binnen DIS nader in te richten.
RD/ts/07-249 14 mei 2007 13 Kwaliteitsaspect
7 Betrouwbaarheid 1 Metadata manager (vertrouwelijkheid en integriteit)
Controledoelstelling
Controlemaatregel
Bevindingen
Conclusie
3 Het aanbrengen van mutaties in vaste gegevens en kritieke variabele gegevens (ook autorisaties) dient voorbehouden te worden aan een beperkt aantal personen binnen de organisatie.
Dit is voorbehouden aan een 3-tal applicatiebeheerders. Als het om autorisaties gaat is alleen applicatiebeheer bevoegd om die te muteren.
Effectief
4 Een wijziging in een proceskaart mag niet tot gevolg hebben dat de volledigheid van de data (poststukken) niet meer wordt gewaarborgd.
De oude versie van de proceskaart blijft altijd bestaan. De referentiële integriteit wordt daardoor bewaakt.
Effectief
De metadatamanager is lokaal geïnstalleerd op ongeveer 5 werkplekken. De toegang tot de metadatamanager wordt afgeschermd op niveau van het netwerkbesturingssysteem (Windows NT). Alleen binnen de Metadata manager gedefinieerde gebruikers, die ook bekend zijn en ingelogd zijn binnen Windows NT (op de betreffende PC) hebben toegang tot de Metadata manager. Het gaat om de medewerkers (3) van de afdeling Informatiebeheer en applicatiebeheer (2 AS). Een aparte inlog met gebruikersnaam en wachtwoord binnen de Metadata manager vindt niet plaats (single sign-on) .Op Windows NT niveau gelden aanvullende eisen voor het wachtwoord zoals minimaal 6 tekens, verplicht periodiek wijzigen e.d.
Effectief
Voor het waarborgen 1 Metadata manager dient over zodanige van de betrouwbaarheid toegangsbeveiligingsvoorzieningen dienen zodanige (samen met de mogelijkheden in het beperkingen in het besturingssystemen) te beschikken dat gebruik van de gegevens alleen met reguliere programmatuur functies in de applicatie benaderd respectievelijk worden. (identificatie en authenticatie) gegevensverzamelingen aangebracht te zijn, dat uitsluitend daartoe bevoegde functionarissen erover kunnen beschikken.
Aanbevelingen
RD/ts/07-249 14 mei 2007 14 Kwaliteitsaspect
8 Controleerbaarheid
Controledoelstelling
1
Controlemaatregel
Bevindingen
Conclusie
De gewenste 2 Gebruikers dienen alleen toegang te functiescheidingen die in krijgen tot de functies, gegevens, de organisatie bestanden en bibliotheken, waartoe zij gerealiseerd zijn, dienen expliciet zijn geautoriseerd. ook in Metadata manager aangebracht te 3 Het aanbrengen van mutaties in vaste kunnen worden. gegevens en kritieke variabele gegevens dient voorbehouden te worden aan een beperkt aantal personen binnen de organisatie.
Voor manager, gebruiker en beheerder zijn aparte rollen geïdentificeerd binnen de metadatamanager. Op dit moment zijn de medewerkers gekoppeld aan de rollen gebruiker of beheerder (van de applicatie).
Effectief
Dit is voorbehouden aan een 3-tal personen binnen de afdeling IB en 2 AS (applicatiebeheer). Als het om autorisaties gaat is alleen applicatiebeheer bevoegd om die te muteren.
Effectief
4 Alle wijzigingen in de proceskaarten dienen te worden gecontroleerd op juistheid voordat de nieuwe proceskaarten worden overgezet naar DIS.
Na invoer dienen proceskaarten eerst worden gevalideerd. In de praktijk is de persoon die invoert, niet de persoon die valideert. Alleen applicatiebeheer kan proceskaarten exporteren. De proceseigenaar controleert de wijzigingen en voorziet deze van een zichtbare controle (paraaf). Wijzigingen zonder zichtbare controle worden niet uitgevoerd.
Effectief
1 Ter controle van de volledigheid, juistheid, tijdigheid en autorisatie van de aangebrachte mutaties dienen de applicaties te voorzien in een audittrail. Dit kan vertaald worden naar mutatiebestanden en mutatieoverzichten, waarin de oude en de nieuwe situatie, de datum van wijziging en de persoon die gewijzigd heeft, worden weergegeven.
In de volgende versie van DIS wordt binnen de programmatuur voorzien in een aparte functionaliteit ten behoeve van het inzichtelijk maken van het audittrail. Alle uitgevoerde handelingen binnen het systeem.
Niet effectief
Het onderhoud van vaste gegevens (standaard tabellen) en mutaties op kritieke variabele gegevens dienen op een, voor de gebruiker, controleerbare wijze plaats te vinden.
Besloten is om periodiek (maandelijks) alle stamgegevens uit te draaien en te vergelijken met de vorige overzichten. De opzet voor deze controle dient nog te worden afgerond.
Aanbevelingen
Wij bevelen aan om binnen de DIS programmatuur te voorzien in een afzonderlijke functionaliteit ten behoeve van mutatieverslaglegging en audittrail.
RD/ts/07-249 14 mei 2007 15 Kwaliteitsaspect
Controledoelstelling
Controlemaatregel
Bevindingen
2 Ter controle van de volledigheid van de Niet van toepassing. mutaties in vaste gegevens en kritieke variabele gegevens dienen de mutaties doorlopend te zijn genummerd.
3 De vaste gegevens dienen op elk moment zichtbaar gemaakt te kunnen worden.
Deze zijn visueel op het scherm op te vragen (proceskaarten). De relatietabel kan ook worden ingezien en worden geprint (zeer omvangrijk). Hetzelfde geldt voor de medewerkertabel.
Conclusie N.v.t.
Effectief
Aanbevelingen
RD/ts/07-249 14 mei 2007 16 Algemene doelstellingen Kwaliteitsaspect 1 Vertrouwelijkheid/autorisatie 1
Controledoelstelling Controlemaatregel Er dienen zodanige 1 Invoer en verwerking van beperkingen in het autorisatiegegevens dienen juist, gebruik van volledig en tijdig plaats te vinden. programmatuur respectievelijk gegevensverzamelingen te zijn, dat uitsluitend de 2 Er zijn zodanige beperkingen in het daartoe bevoegde gebruik van programmatuur, dat functionarissen erover uitsluitend de daartoe bevoegde kunnen beschikken. De functionarissen erover kunnen gewenste beschikken. Het is mogelijk de in de functiescheidingen, die formele administratieve organisatie in de organisatie opgenomen functiescheiding 1 op 1 gerealiseerd zijn, dienen aan te brengen in de ook in het systeem bevoegdhedenstructuur. aangebracht te kunnen 3 Adequate rapportage van worden. autorisatiegegevens moet mogelijk zijn. - Mutatieverslag van autorisaties. - Verslag van actuele autorisaties. 4 De toekenning van de autorisaties in DIS en Metamanager dient volgens een vaste procedure plaats te vinden waarin scheiding is aangebracht tussen de persoon die autorisatie nodig heeft en de persoon die de autorisaties goedkeurt.
Bevindingen Gebruikers zijn geautoriseerd aan de hand van profielen per afdeling. Invoer en verwerking van autorisatie geschiedt via standaard procedure (VMA Verhuis Mutatie Aanvraag). Servicedesk voert het VMA formulier in het servicedesk systeem in. Terugkoppeling naar de aanvrager via de mail. DIS biedt de mogelijkheid om tot op individueel gebruikersniveau autorisaties aan te brengen. Op dit moment worden gebruikers ingedeeld in een afdelingsprofiel. Autorisaties zijn aan deze afdelingsprofielen gekoppeld.
Conclusie Aanbevelingen Effectief
Effectief
COGNOS is een aparte querytool die ten behoeve van overzichten wordt gebruikt. Momenteel zijn er overzichten om de actuele autorisaties uit te draaien. Er zijn nog geen mutatieverslagen voor de wijzigingen op de autorisaties uit te draaien.
Deels effectief
Iedereen krijgt standaard autorisaties zonder tussenkomst/goedkeuring van de verantwoordelijke manager. Hiervoor gelden algemene afspraken en hiervoor wordt de VMA procedure gehanteerd. Voor specifieke autorisaties geldt een apart traject dat via de verantwoordelijke manager/het afdelingshoofd loopt.
Effectief
Wij bevelen aan om verslaglegging van de mutaties op autorisaties binnen DIS in te richten.
RD/ts/07-249 14 mei 2007 17 Kwaliteitsaspect 2 Documentatie
Controledoelstelling 1 De documentatie dient de gebruiker voldoende ondersteuning te bieden bij het uitvoeren van bepaalde (controle) handelingen.
Controlemaatregel 1 De documentatie moet de gebruiker voldoende inzicht geven. - in de werking van het systeem: • algemeen; • per module; • per functie. - in de door het systeem uitgevoerde controles. - in de door de gebruiker aanvullend te verrichten handelingen.
Bevindingen Er is een gebruikershandleiding (hoe werkt de applicatie) van de leverancier (Acanthis). Daarnaast heeft de provincie zelf een handleiding gemaakt toegespitst op de specifieke processen binnen de provincie. Deze handleidingen zijn beschikbaar via intranet. De provincie beschikt (nog) niet over procesbeschrijvingen van haar AO/IC.
Conclusie Aanbevelingen Effectief
2 De onderdelen van de documentatie die bestemd zijn voor de applicatierespectievelijk de systeembeheerder dienen voldoende inzicht te geven in de door hen uit te voeren taken.
Hiervoor is documentatie aanwezig. Beschrijving inrichting DocBase Online. Er is ook een beheerdershandleiding vanuit de leverancier aanwezig.
Effectief
3 De documentatie moet voorzien zijn van identificaties, zodanig dat de overeenstemming met de beschreven versie van het systeem blijkt.
De documentatie bevat identificatie waaruit overeenstemming met de beschreven versie van het systeem blijkt.
Effectief
4 De documentatie moet in overeenstemming zijn met de beschreven versie van het systeem.
De documentatie is actueel.
Effectief
RD/ts/07-249 14 mei 2007 18 Kwaliteitsaspect 3 Wijzigingsbeheer
Controledoelstelling Controlemaatregel 1 Aan alle wijzigingen 1 Het aanvragen van wijzigingen dient doorgevoerd in de volgens een vaste procedure te productieomgeving dient worden afgehandeld. In deze een wijzigingsdocument procedure dienen de volgende ten grondslag te liggen. stappen te worden onderscheiden: - Ondertekenen aanvrager op Wijzigingsdocument; - Impact en risicoanalyse van de wijziging; - Beoordeling en autorisatie door de proceseigenaar.
Bevindingen Wijzigingen lopen conform een Changemanagement procedure. Deze procedure is schriftelijk vastgelegd en formeel vastgesteld.
Conclusie Aanbevelingen Effectief
2 Alle wijzigingen dienen te worden voorzien van een unieke doorlopende nummering.
Voorlopig wordt dit handmatig (doorlopend) genummerd.
Deels effectief
3 Alle wijzigingen dienen te worden getest en geautoriseerd door de systeemeigenaar, conform testplannen, voordat de gewijzigde versie in productie wordt geplaatst.
Het hoofd van de afdeling IB (InformatieBeheer) is systeemeigenaar. Wijzigingen worden eerst getest in een afzonderlijke testomgeving alvorens ze in productie worden genomen. Er is een test-, cursus- en productieomgeving. Het testen gebeurd door een daarvoor samengestelde gebruikersgroep. In het projectenoverleg worden de testresultaten voorgelegd aan de systeemeigenaar. De wijzigingen worden geautoriseerd door de systeemeigenaar voordat een gewijzigde versie in productie wordt genomen.
Effectief
Wij adviseren om in het kader van de changemanagement procedure te voorzien in een automatische (unieke) doorlopende nummering.
