Raamwerk voor ontwikkeling normenstelsels en standaarden

3 Studierapport

3

Raamwerk voor ontwikkeling normenstelsels en standaarden

Een facilitair instrument bij de beroepsuitoefening

de beroepsorganisatie van IT-auditors

Ter nagedachtenis aan Joop Bautz: een bevlogen IT-auditor

2

NOREA • STUDIERAPPORT 3

Raamwerk voor ontwikkeling normenstelsels en standaarden

Een facilitair instrument bij de beroepsuitoefening

December 2002

Raamwerk voor ontwikkeling Normenstelsels en standaarden Een facilitair instrument bij de beroepsuitoefening

Een rapport van de NOREA-commissie Normen en Standaarden

H. de Zwart RE RA RO (voorzitter) L. Annokkée RE Drs. B.H. Brekhof RE RA Ir. J.W. de Heer RE Drs. W.J.A. Olthof (secretaris) Drs. A.R. Spath RE RA

ISBN-nr. 90-74409-08-3 Copyright NOREA – de beroepsorganisatie van IT-auditors Behoudens uitzonderingen door de wet gesteld mag zonder schriftelijke toestemming van de rechthebbende(n) op het auteursrecht, c.q. de uitgeefster van deze uitgave, door rechthebbende(n) gemachtigd namens hem (hen) op te treden, niets uit deze uitgaven worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of anderszins, hetgeen ook van toepassing is op de gehele of gedeeltelijke bewerking. De uitgeefster is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor kopiëren, als bedoeld in artikel 17 lid 2, Auteurswet 1912 en het KB van 20 juni 1974 (Stb. 351) ex artikel 16b, Auteurswet 1912, te innen en/of daartoe in en buiten rechte op te treden. All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of the publicer.

4


I

Inhoudsopgave

Voorwoord DEEL I: Inleiding en samenvatting I.1

Inleiding

I.2

Taakopdracht CNS en werkwijze

I.3

Begrippen

I.4

Doelstellingen NOREA-normenstelsels

I.5

Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels

I.6

Opbouw studierapport

DEEL II: Model en voorbeelden II.1

Model NOREA-normenstelsel met toelichting

II.2

Voorbeelden NOREA-normenstelsels

II.2.1

Informatiebeleid

II.2.2

E-business-to-business

DEEL III: Achtergronden III.1

Indeling vakgebied, kwaliteit en kwaliteitsaspecten

III.1.1

Indeling vakgebied

III.1.2

Kwaliteit

III.1.3

Kwaliteitsaspecten

III.2

Scope NOREA-normenstelsel

III.2.1

Terreinafbakening en begrippenkader

III.2.2

Uitgangspunten

III.2.3

Metanormen

III.3.1

Keuze te normeren objecten

III.3.2

Formuleren normenstelsel

III.3.3

Kwaliteitsniveau normenstelsels

III.4

Gebruik van de NOREA-normenstelsels

III.4.1

Plaats van het NOREA-normenstelsel in het auditproces

III.4.2

Functie van de NOREA-normenstelsels

III.4.3

Ontwikkeling van een auditspecifiek normenstelsel

III.5

Beginselen behoorlijk IT-gebruik

III.5.1

Juridisch perpectief

III.5.2

Audit perspectief

DEEL IV: Ontwikkeling normen IV.1

Instructie ontwikkeling toetsingnormen

IV.1.1

Interpretatie taakopdracht

IV.1.2

Verkenning en literatuurstudie

IV.1.3

Review- en goedkeuringsprocedure

IV.1.4

Permanente educatie

IV.2

Mogelijke onderwerpen voor normen

BIJLAGE B.1

5

Geraadpleegde literatuur


6


V

Voorwoord

Het is het bestuur van NOREA – de beroepsorganisatie van IT-auditors – een genoegen u hierbij het Studierapport ‘Raamwerk voor de ontwikkeling van normenstelsels en standaarden – een facilitair instrument bij de beroepsuitoefening’ van de Commissie Normen en Standaarden te kunnen aanbieden.

Dit rapport bevat een raamwerk waarmee op een gestructureerde wijze NOREA-normenstelsels kunnen worden ontwikkeld. In dit rapport zijn bij wijze van voorbeeld voor twee objecten normenstelsels uitgewerkt. Normen vormen een essentieel element in de ‘gereedschapskist’ van de IT-auditor. In uitingen zal de IT-auditor zijn of haar oordeel of mening immers relateren aan de normatieve kwaliteitseisen of normatieve beheersingsmaatregelen die op het object van toepassing zijn. De objecten waar de IT-auditor zich op richt, zijn al jaren onderhevig aan veel innovatieve ontwikkelingen en aanpassingen van bestaande technologieën, methoden en technieken. Deze ontwikkelingen zijn van invloed op aanwezige en/of nieuwe IT-toepassingen door organisaties. Het management moet daarbij keuzes maken over de inhoud van deze toepassingen en de kwaliteitseisen waaraan ze moeten voldoen. De hiervoor geschetste complexiteit in combinatie met de rol die organisaties willen spelen, leiden ertoe dat voor veel objecten (nog) geen algemeen toepasbare normenstelsels kunnen worden ontwikkeld. Daarom volstaat de NOREA met het definiëren van normen die onder gangbare omstandigheden voldoen aan het beginsel van behoorlijk IT-gebruik. Het toesnijden van de NOREAnormen op het object van onderzoek moet door de IT-auditor in het ‘veld’ plaatsvinden en worden gemotiveerd in het auditdossier. Bij de ontwikkeling van de NOREA-normenstelsels wordt als kanttekening geplaatst dat het, in relatie tot het in de vorige alinea’s gestelde, een illusie is te veronderstellen dat een, alle objecten omvattende, actuele set NOREA-normenstelsels kan worden ontwikkeld. Ook de NOREA moet keuzes maken! Voor die keuzes, het reageren op de inhoud van dit studierapport en de ontwikkeling van NOREAnormenstelsels doet het bestuur een beroep op de leden. Ook lezers buiten deze kring worden daarvoor van harte uitgenodigd. Transparantie over de bij IT-audits gehanteerde uitgangspunten is een terechte eis van de opdrachtgever en lezer van de uiting. Deze transparantie, in combinatie met de hiervoor geschetste problematiek rondom de objecten, hebben het bestuur doen besluiten de NOREA-normenstelsels na een interne ‘green paper procedure’ als ‘white paper’ op het vrij toegankelijke deel van de NOREA-website te plaatsen en van toepassing te verklaren op uit te voeren IT-audits. Ten slotte wil het bestuur de leden van de Commissie Normen en Standaarden danken voor de grote inzet die zij hebben getoond bij het opstellen van dit rapport.

Bestuur NOREA December 2002

7


8


D

Deel I : Inleiding en samenvatting

I.1

Inleiding

Het Bestuur van NOREA, de beroepsorganisatie van IT-auditors, is voorstander van het inzichtelijk maken van de normen en standaarden die bij IT-audits worden gebruikt. Als eerste stap daartoe is in 1999 de Commissie Normen en Standaarden (CNS) ingesteld. Na een fundamentele bezinning op de taakopdracht heeft de commissie, in overleg met het NOREA-bestuur, besloten om een raamwerk te schetsen voor het consistent opstellen van IT-object 1

georiënteerde NOREA-normenstelsels. Deze NOREA-normenstelsels zijn voor de leden faciliterend bij de beroepsuitoefening en vormen voor het management van de opdrachtgevers een handreiking die gebruikt kan worden bij de invulling van IT-governance.

I.2

Taakopdracht CNS en werkwijze

De CNS heeft een conceptueel model opgesteld dat voor in te stellen werkgroepen als leidraad dient voor de ontwikkeling van NOREA-normenstelsels. Een belangrijk uitgangspunt waaraan het model voldoet is dat bestaande en in brede kring in de praktijk gebruikte normeringen in het model kunnen worden ingepast. Dit uitgangspunt is gekozen omdat de NOREA in principe afziet van het ontwikkelen van eigen normen en standaarden en in plaats daarvan heeft gekozen voor het ontsluiten van in de literatuur beschikbare normen en standaarden via een model.

Op basis van het door de CNS ontwikkelde model kunnen werkgroepen de feitelijke toetsingsnormen voor diverse IT-objecten concipiëren. De CNS benadrukt, gezien het gekozen uitgangspunt, dat met behulp van het gepresenteerde model door de werkgroepen bij het opstellen van normenstelsels zoveel mogelijk de relatie moet worden gelegd met in de praktijk gebruikte referentiekaders, zoals o.a.: • NOREA-geschrift No 1: IT-auditing aangeduid;

• de Code voor Informatiebeveiliging: 2000 (ISO 17799); • de Control Objectives for Information and Related Technology (CobiT); • de IT Infrastructure Library (ITIL); • de Common Criteria voor evaluatie van beveiliging van informatietechnologie (CC); • de ISO 9000-familie.

I.3

Begrippen In dit rapport worden onder meer de volgende begrippen gehanteerd: • Norm: een richtpunt waaraan een specifiek onderdeel van het auditobject moet voldoen. In die zin is een norm te beschouwen als de meest gepreciseerde eenheid van toetsing. Daarbij moet worden bedacht dat op een auditobject doorgaans meerdere normen van toepassing zijn. • Normenstelsel: het objectspecifieke samenstel van normen. • Metanorm: een norm waaraan het normenstelsel zelf moet voldoen. • Standaard: een door gezaghebbende instanties geadopteerd normenstelsel. • Kwaliteitsaspect: een invalshoek of eigenschap waarover met betrekking tot een object een oordeel wordt uitgesproken.

1

Waar in dit raamwerk sprake is van informatie technologie (IT) wordt daaronder mede begrepen de informatie communicatie technologie (ICT)

9


• Beheersingsmaatregel: een handeling die beoogt de realisering van een of meer kwaliteitsaspecten te waarborgen. • Object: elk in de dagelijkse praktijk voorkomend proces dat of voorkomende procesuitkomst die op zichzelf of in combinatie met één of meer andere processen en/of procesuitkomsten onderwerp van een auditopdracht kan zijn. Op dit moment is nauwelijks sprake van breed gedragen normenstelsels. Daarom wordt in dit raamwerk gesproken over NOREA-normen(stelsels).

I.4

Doelstellingen NOREA-normenstelsels De NOREA beoogt met het ontwikkelen van NOREA-normenstelsels het volgende te bereiken: •

Het leveren van een bijdrage aan het management bij het concretiseren van IT-governance.

•

Het bijdragen aan een beter inzicht bij de opdrachtgevers en andere belanghebbenden in de wezenlijke betekenis van de bij de audit te hanteren toetsingsnormen.

•

Het bevorderen van een goede communicatie tussen de opdrachtgevers, andere belanghebbenden en de IT-auditor.

•

Het verhogen van het objectieve gehalte van de IT-audit, hetgeen zowel voor de opdrachtgevers en andere belanghebbenden, als voor de IT-auditor van belang is.

•

I.5

Het ondersteunen van de IT-auditor bij de onafhankelijke uitoefening van zijn/haar taak.

Belangrijke uitgangspunten voor de ontwikkeling van NOREA-normenstelsels Tijdens het opstellen van het raamwerk zijn door de CNS de volgende uitgangspunten onderkend: • Het ontwikkelen van opdrachtgerichte normenstelsels is om redenen van diversiteit in mogelijke IT-auditopdrachten en omgevingsfactoren niet haalbaar. Het ontwikkelen van algemeen toepasbare normenstelsels voor de toetsing van IT-objecten is dan ook een onrealistische doelstelling. Daarom is gekozen voor een objectgerichte benadering. • Een IT-object behoort duidelijk en ondubbelzinnig te worden afgebakend en gedefinieerd. Het voor het IT-object op te stellen normenstelsel met toetsingsnormen moet een handzame ondersteuning bieden bij de beroepsuitoefening, zowel gericht op de attest- als adviesfunctie. De afbakening en definiëring van het object moeten daarom bij de gangbare praktijk aansluiten. Voorbeelden van objecten waarvoor NOREA-normenstelsels kunnen worden ontwikkeld zijn opgenomen in paragraaf IV.2 • De IT-auditor moet op basis van de specifieke eigenschappen van een IT-object een concreet normenstelsel met toetsingsnormen formuleren. Daarbij moet rekening worden gehouden met: • basisnormen zoals normatieve maatschappelijke verwachtingen, branchespecifieke wetgeving, voorschriften en aanwijzingen, contractuele verplichtingen (zie III.4.3). Dit raamwerk is gericht op het ontwikkelen van deze basisnormen; • het invullen van de basisnormen op het niveau van de metanorm ‘behoorlijk IT-gebruik’ (Franken, 1997 – zie III.5). Het begrip behoorlijk IT-gebruik wordt voor het niveau van NOREA-normenstelsels als uitgangspunt gehanteerd; • aanvullende normen die zijn gerelateerd aan specifieke, aan de (bedrijfs)huishouding of (IT-) technologieën ten grondslag liggende bedreigingen- en kosten-/batenanalyses. Het specifieke karakter van deze aanvullende normen maakt een eenduidige invulling per definitie onmogelijk en valt daarmee buiten de scope van dit raamwerk. De NOREA-normenstelsels worden daarom gedefinieerd op het niveau van ‘behoorlijk IT-gebruik’. Dit niveau ligt boven het wettelijk minimumniveau, het niveau dat op grond van wettelijke bepalingen ten minste is vereist. De gebruikelijke arbitraire driedeling (bijvoorbeeld laag, middel, hoog) wordt daarom niet toegepast. • Het onderscheid tussen kwaliteitsaspecten voor processen en product (procesuitkomsten) en de

10


daaraan gerelateerde ingezette dan wel in te zetten middelen wordt uit het oogpunt van eenvoud niet aangebracht. • Zoveel mogelijk moet aansluiting worden gezocht bij in de praktijk in brede kring gebruikte referentiekaders (zie I.2). • Het ontsluiten van de toetsingsnormen vereist inzicht in een aantal onderdelen dat het IT-object definieert. Het NOREA-normenstelsel volgens het CNS-model onderkent de volgende onderdelen (zie II.1): 1. de definiëring van het object; 3. de afbakening van het object; 4. de NOREA-definitie van het object; 5. de in gebruik zijnde alternatieve definities van het object; 6. de relatie met de in NOREA-geschrift No 1 aangeduide objecten; 7. de doelstelling/functie van het object 8. de omgevingsfactoren die op het object van toepassing kunnen zijn; 9. de relatie met mogelijke IT-auditopdrachten; 10. de basisnormen waaraan het object in elk geval moet voldoen; 11. de kwaliteitsaspecten die op het object van toepassing zijn; 12. de inherente bedreigingen waaraan het object onderhevig kan zijn; 13. het feitelijke normenstelsel in de vorm van een matrix waarin per norm de relatie met de kwaliteitsaspecten wordt gelegd; 14. een opgave van de gebruikte referentiekaders (bronnen). • Het model maakt het voor de NOREA-organisatie mogelijk toetsingsnormen voor IT-objecten op te bouwen en te onderhouden. Daarvoor wordt een beroep op leden en aspirant-leden gedaan die – mits goed ingewerkt binnen het object – relatief snel een invulling kunnen geven aan het NOREA-normenstelsel voor het betreffende object of de aanpassing daarvan. • De NOREA-website vervult een functie bij de ontwikkeling van de NOREA-normenstelsels volgens het te presenteren model.

I.6

Opbouw studierapport De doelstelling van dit raamwerk is werkgroepen een leidraad te verschaffen voor het ontsluiten van bestaande normen. Dit raamwerk is daartoe, na deze inleiding en samenvatting (deel I), onderverdeeld in vier delen: • Deel II: Model en voorbeelden – een praktische handreiking. Deze handreiking bestaat uit de volgende onderdelen: • II.1


• II.2

Voorbeelden NOREA-normenstelsels:

• Deel III: Achtergrond – een theoretische onderbouwing. Deze onderbouwing bestaat uit de volgende onderdelen: • III.1 Indeling objecten, kwaliteit en kwaliteitsaspecten • III.2 Scope NOREA-normenstelsel: terreinafbakening en begrippenkader, het definiëren van uitgangspunten en eisen die voortvloeien uit de metanormen. • III.3 Ontwikkeling NOREA-normenstelsels: keuze van de te normeren objecten, het formuleren van het normenstelsel, de wijze waarop die kunnen worden samengesteld, het kwaliteitsniveau van uitwerking gerelateerd aan het begrip behoorlijk IT-gebruik. • III.4 Gebruik NOREA-normenstelsels: de relatie met het auditproces, de functie van normen en de ontwikkeling van een auditspecifiek normenstelsel van uit het juridische- en auditperspectief. • III.5 Beginselen behoorlijk IT-gebruik: een nadere uitwerking. • III.6 Geraadpleegde literatuur.

11


• Deel IV: Ontwikkeling normen – de wijze waarop normen worden ontwikkeld. In deel bestaat uit de volgende onderdelen: • IV.1

Instructie werkgroepen.

• IV.2

Mogelijke onderwerpen voor normen.

• Bijlage • B.1

12

Geraadpleegde literatuur.


D

DEEL II: Model en voorbeelden

II.1


Om een uniforme uitwerking van de NOREA-normenstelsels te bevorderen heeft de commissie een vaste indeling bepaald. Het is de bedoeling dat de werkgroepen uiteindelijk het resultaat van hun inspanningen in overeenstemming met deze indeling vastleggen: Onderdelen normenmodel

Toelichting

1

IT-object

Een in de dagelijkse praktijk herkenbaar onderdeel van het werkterrein.

2

Afbakening

De praktijk leert dat afhankelijk van de afbakening, scope en reikwijdte van een object niet alle aspecten even relevant zijn. Daarom moet per object worden aangegeven welk aspect of welke aspecten primair op een object van toepassing zijn en wat de relatie met andere objecten is.

3

NOREA-definitie

Voorkeurdefinitie aangeven.

4

Alternatieve definities

Meerdere definities (evenals bronvermeldingen) worden vermeld, waarmee wordt beoogd dat de IT-auditor een definitie kan hanteren die aansluit bij het begrippenkader van de opdrachtgever/belanghebbende.

5

Relatie relevante referentiekaders

De relatie met ten minste de volgende referenties moet worden gelegd: • NOREA-geschrift No 1: de benoemde objecten; • CobiT • Code Informatiebeveiliging; • SDM; • ITIL; • Common Criteria; • ISO 9000-familie.

6

Doelstelling(en) object

De doelstellingen van het object worden gedefinieerd uitgaande van de meest gebruikte omstandigheden.

7

Omgevingsfactoren

Aangeven van welke relevante omgevingsfactoren is uitgegaan bij het bepalen van het niveau van behoorlijk IT-gebruik.

8

Relatie IT-auditopdracht

Het schetsen van de meest voorkomende opdracht waarbinnen het normenkader wordt toegepast.

9

Basisnormen

Randvoorwaardelijke normen, d.w.z. normen waaraan zonder meer moet worden voldaan om een beoordeling van het object mogelijk te maken.

10

Kwaliteitsaspecten

Keuze van relevante aspecten – III.1.3. Specifieke aspecten moeten worden gerelateerd aan de opgesomde. Het weglaten van aspecten moet worden gemotiveerd.

11

Bedreigingen

Te relateren aan de kwaliteitsaspecten – III.3.3.

12

Normenstelsel

Het normenkader moet worden ingevuld op het niveau van ‘behoorlijk IT-gebruik’. Met dit begrip wordt bedoeld dat de normen zich bevinden op het meest gangbare niveau zoals dat in de praktijk wordt toegepast. Het feitelijk toe te passen normenstelsel wordt bepaald uit de mix van het IT-domein, het bedrijfsdomein en de te hanteren kwaliteitsaspecten in relatie tot de bedreigingen.

13

Referentiekaders (bronnen)

Opsomming relevante literatuur en artikelen met vermelding van vindplaats.

13


II.2

Voorbeelden NOREA-normenstelsels II.2.1

Informatiebeleid

Dit NOREA-normenstelsel is een facilitair instrument voor het definiëren van kwaliteitsaspecten en beheersingsmaatregelen op het niveau van behoorlijk IT-gebruik. Deze norm is gebaseerd op literatuur over dit onderwerp. De feitelijk bij een onderzoek te hanteren normering moet worden toegesneden op het object van onderzoek, de omgeving waarbinnen het object operationeel is en het geldende kwaliteitsniveau voor het IT-gebruik. II.2.1.1

IT-object

Eisen – in de zin van verplichte onderwerpen - informatiebeleid II.2.1.2

Afbakening

Informatiebeleid is de basis voor het nemen van beslissingen op IT-gebied en dus op te vatten als een sturingsinstrument. Informatiebeleid omvat in theorie ook de niet-geautomatiseerde informatievoorziening. De informatievoorziening is de wijze waarop het vastleggen, verwerken en voorzien van informatie in een organisatie is ingericht. In de context van deze NOREA-norm wordt het begrip ‘informatiebeleid’ echter enkel bezien vanuit de geautomatiseerde informatievoorziening. Informatiebeleid is te beschouwen als een onderdeel van het automatiseringsbeleid, waartoe bijvoorbeeld ook processystemen of onderdelen daarvan behoren. Tot het informatiebeleid wordt in de context van deze NOREA-norm ook het informatiebeveiligingsbeleid gerekend. Dit neemt niet weg dat in de praktijk het informatiebeveiligingsbeleid vaak als een afzonderlijk beleidsveld wordt behandeld. Informatiebeveiligingsbeleid is beleid dat zich specifiek richt op de kwaliteitsaspecten integriteit, exclusiviteit en beschikbaarheid van de informatie, en laat voor zover er geen verband met beveiliging is, de kwaliteitsaspecten effectiviteit en efficiency buiten beschouwing. II.2.1.3

NOREA-definitie

Informatiebeleid is het geheel van doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan met informatie binnen een organisatie en voor de organisatie van de informatievoorziening zelf (NOREA, 1998). II.2.1.4


• Informatiebeleid is het geheel van doelstellingen, randvoorwaarden en uitgangspunten voor de inzet van informatietechnologie in een organisatie, in het bijzonder voor (bestuurlijke) informatiesystemen (Bemelmans, 1991). • Informatiebeleid omvat de doelen, middelen, wegen en prioriteiten om de informatievoorziening te ontwikkelen en te beheren (Van der Molen, 1998). • Een concrete en consistente visie van het management van een organisatie ten aanzien van de hoofdlijnen die bij de inrichting van de gewenste informatiehuishouding in de overzienbare toekomst in acht moet worden genomen. (Hopstaken & Kranendonk, 1991). • Een informatiebeleid geeft de uitgangspunten en randvoorwaarden voor een toekomstige informatievoorziening (Theeuwes, 1990).

14


II.2.1.5 •


NOREA-geschrift No 1: ‘Informatiebeleid’ is de uitkomst van het proces ‘informatiebeleidsvorming’ welk proces als afzonderlijk object, vallend binnen het domein ‘informatiestrategie’ is benoemd. Bij het object ‘informatiebeleidsvorming’ is in NOREA-geschrift No. 1 (1998) de volgende toelichting opgenomen: ‘Het product van dit proces is het informatiebeleid. Dit bevat: • uitgangspunten; • randvoorwaarden (waaronder beschikbare middelen); • te vervullen functies door informatietechnologie (IT); • inrichting van de IT-organisatie; • globale aanduiding technische infrastructuur; • beleid ten aanzien van maatwerk en standaardpakketten. Het vaststellen van het informatiebeleid is de bevoegdheid van het algemeen management. Een goed informatiebeleid laat de geformuleerde doelstellingen aansluiten bij de doelstellingen van de organisatie en maakt optimaal gebruik van de mogelijkheden die de informatietechnologie biedt.’

•

CobiT: Het informatiebeveiligingsbeleid maakt onderdeel uit van de actie ‘Define a Strategic Information Technology Plan’ in het domein ‘Planning and Organisation’. Daarbij wordt aandacht geschonken aan: • enterprise business strategy, • definition of how IT supports the business objectives, • inventory of technological solutions and current infrastructure, • monitoring the technology market, • timely feasability studies and reality checks, • existing system assessments, • enterprise position on risk, time-to-market, quality, • need for senior management buy-in, support and critical review.

•

Code Informatiebeveiliging: Het informatiebeveiligingsbeleid is te beschouwen als een subset van het informatiebeleid. Dit beleid moet aandacht schenken aan: • definitie, doelstellingen, reikwijdte en belang van informatiebeveiliging, • intenties van management ter ondersteuning van de doelstellingen en principes van informatiebeveiliging, • toelichting op de beleidsmaatregelen, principes, normen en nalevingseisen, • omschrijving van verantwoordelijkheden voor management, • verwijzingen naar documentatie die het beleid ondersteunt.

•

SDM: SDM behandelt de gehele levenscyclus van een informatiesysteem. SDM is een hulpmiddel voor management, gebruikers en informatici ten behoeve van: • het plannen, ontwikkelen en beheren van informatiesystemen; • het besturen en organiseren van daarmee samenhangende projecten door systeemontwikkeling op te splitsen in hanteerbare, overzichtelijke delen; • het inrichten van projecten systeemdocumentatie. Het realiseren van deze doelstellingen van SDM moet zijn gebaseerd op het gedefinieerde informatiebeleid. Expliciete eisen voor dat beleid zijn in SDM niet geformuleerd.

15


•

ITIL: De doelstelling van ITIL is het op basis van ‘best practices’ definiëren van een efficiënte en economische inzet van IT-middelen, gerelateerd aan 12 processen. Het beleid waarop deze processen zijn geënt is niet uitgewerkt in ITIL. Het informatiebeleid komt op operationeel niveau het meest naar voren in het proces ‘security management’.

•

Common Aspecten: De Common Aspecten behandelen onderwerpen die specifiek betrekking hebben op beveiligingsaspecten. De inhoud van en de wijze waarop het generieke niveau wordt bepaald waaraan deze beveiligingsaspecten moeten voldoen, is niet beschreven in deze aspecten

•

ISO-9000 kwaliteitssysteem: De organisatie moet in overeenstemming met de eisen van de internationale ISO-9000 norm, het kwaliteitssysteem opzetten, documenteren, invoeren en onderhouden en ook de doeltreffendheid ervan continue verbeteren. Het ISO-9000 kwaliteitssysteem formuleert geen expliciete eisen voor het te definiëren informatiebeleid.

II.2.1.6

Doelstellingen informatiebeleid

Doelstellingen van het informatiebeleid zijn: • afstemming van de informatievoorziening met de eisen die vanuit de bedrijfsstrategie worden gesteld; • verbetering van de effectiviteit en efficiency van de informatievoorziening, bijdragend tot verbetering van de effectiviteit van de bedrijfsvoering in het algemeen; • optimale benutting van nieuwe informatietechnologie; • doelmatige organisatiestructuur voor de informatievoorziening; • afstemming met het personeelsbeleid om tijdig personeel ter beschikking te krijgen die de kennis en kunde heeft om de informatietechnologische mogelijkheden te benutten; • afstemming met het financiële beleid om tijdig eventuele beperkingen te onderkennen en te bezien in hoeverre het aanvankelijk uitgestippelde informatiebeleid aanpassing behoeft. II.2.1.7

Omgevingsfactoren

Ontwikkelingen betreffende de eveneens tot het domein van de informatiestrategie (NOREA, 1998) behorende objecten: informatie-architectuur, interne en externe afstemming en research kunnen redenen zijn om het informatiebeleid te evalueren en zo nodig bij te stellen, dan wel om het informatiebeleidsvormingsproces opnieuw te doorlopen. Het object “informatieplanning”, dat ook deel uitmaakt van het domein “informatiestrategie”, is een meer operationeel gerichte uitwerking van het informatiebeleid. Aanleidingen voor een heroriëntatie op het informatiebeleid kunnen zijn (met inbegrip van de in de vorige alinea aangeduide ontwikkelingen): • technische ontwikkelingen (het verbeteren van de strategische positie en/of het realiseren van kostenbesparingen); • stringentere eisen die leveranciers en afnemers aan de informatiebeveiliging stellen (bijvoorbeeld implementatie van de Code voor informatiebeveiliging en zelfs certificering op basis van de Code); • wijzigingen in de wet- en regelgeving (privacywetgeving, Wet computercriminaliteit, Voorschrift informatiebeveiliging rijksdienst, Auteurswet, ARBO-wet e.d.); • stringentere milieueisen (verboden gebruik van bepaalde materialen en brandblusmiddelen); • toenemende of afnemende beschikbaarheid van personele en financiële middelen; • uitkomsten van evaluaties en risicoanalyses; •

16

wijzigingen in het maatschappelijk normbesef.


Het relatieve belang van het informatiebeleid is groter naarmate zich de volgende situaties (gaan) voordoen: • de informatietechnologie is ingebed in de uitvoering van de primaire processen; • de toepassing van informatietechnologie slokt een belangrijk deel van de middelen op; • de organisatie beheert gevoelige gegevens (bedrijfsgeheimen, persoonsgegevens e.d.); • het lager management heeft geen affiniteit met informatietechnologie; • het over en weer koppelen van de eigen processen met de processen bij klanten en/of leveranciers (EDI-toepassingen). Het relatieve belang van het informatiebeleid behoort tot uitdrukking te komen in de betrokkenheid van de leiding van de organisatie, de inrichting van het proces en de beheersing daarvan, en in de concreetheid van de beleidsregels. II.2.1.8

Relatie met IT-auditopdrachten

Bij het object ‘informatiebeleid’ kan worden gedacht aan opdrachten als: • het beoordelen van de toereikendheid van het informatiebeleid; • het beoordelen van de opzet en de implementatie van de planningsprocessen, resulterend in het informatiebeleid; • het beoordelen van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur, waarbij het informatiebeleid een afgeleide is van het bedrijfsbeleid, maar richtinggevend is voor de informatieplanning en de informatiearchitectuur. Vanuit het perspectief van de attestfunctie zal bij dergelijke opdrachten het accent op de formele aspecten liggen. Als de opdracht een meer materiële benadering vereist, tendeert de uitvoering van de opdracht naar de uitoefening van de adviesfunctie. Voorts is het informatiebeleid het vertrekpunt bij andere IT-audits vanwege het kaderstellende (normerende) karakter van het informatiebeleid. II.2.1.9

Basisnormering

Voor de uitvoering van een IT-auditopdracht betreffende het beoordelen van de toereikendheid van het informatiebeleid, is de enige voorwaarde te kunnen beschikken over de laatste versie van het informatiebeleid. Het informatiebeleid hoeft geen door het algemeen management ondertekend document te zijn. Het is denkbaar dat het algemeen management voor de eventuele ondertekening van het informatiebeleid eerst het oordeel van een IT-auditor wil vernemen. Het normenstelsel (zie hierna) is in feite een opsomming van de onderwerpen die in het informatiebeleid behoren voor te komen. Bij de beoordeling van de opzet en de implementatie van de planningsprocessen geeft het normenstelsel aan wat de uitkomst van deze processen behoort te zijn. De in en rondom de processen getroffen beheersingsmaatregelen dienen redelijk zeker te stellen dat de beoogde uitkomst wordt gerealiseerd. Voor de uitvoering van een dergelijke opdracht is een beschrijving van de administratieve organisatie (organisatiestructuur, verdeling van taken, verantwoordelijkheden en bevoegdheden, processen, procedures, werkinstructies e.d.) een vereiste. Voor de beoordeling van de onderlinge consistentie en coherentie van het bedrijfsbeleid, het informatiebeleid, de informatieplanning en de informatiearchitectuur is de beschikbaarheid van de genoemde documenten noodzakelijk.

17


II.2.1.10

Kwaliteitsaspecten

‘Informatiebeleid’ raakt alle onderscheiden kwaliteitsaspecten. Voor de kwaliteitsaspecten ‘effectiviteit’ en ‘efficiency’ van de ingezette en in te zetten informatietechnologie heeft het management doorgaans een open oog. De kwaliteitsaspecten ‘beschikbaarheid’, ‘integriteit’ en ‘exclusiviteit’, of onder één noemer gebracht de beveiligingsaspecten, spreken doorgaans minder tot de verbeelding van het management. Daardoor dreigt voortdurend het gevaar van onvoldoende aandacht voor de beveiligingsaspecten. Van de beveiligingsaspecten is doorgaans het kwaliteitsaspect ‘beschikbaarheid’ voor het management nog het meest tastbaar. De ongestoorde voortgang van de (primaire) bedrijfsprocessen is direct afhankelijk van de beschikbaarheid van IT-voorzieningen. II.2.1.11

Bedreigingen

Op een hoog abstractieniveau zijn, toegespitst op de onderscheiden kwaliteitsaspecten, onder meer de volgende bedreigingen te onderkennen: • Effectiviteit:

- onvoldoende benutting van de mogelijkheden die de informatietechnologie biedt; - ontoereikende proces-, management- en verantwoordingsinformatie;

• Efficiency:

- verspilling bij verwerving van ICT-componenten; - inefficiënte toepassing van informatietechnologie;

• Exclusiviteit:

- manipulatie van gegevens al dan niet met frauduleuze bedoelingen; - verlies van gegevens door kwaadaardige virussen; - misbruik van IT-faciliteiten;

• Integriteit:

- onjuiste besluitvorming; - onjuiste externe verantwoording;

• Controleerbaarheid:

- onzekerheid over de integriteit van de proces-, management- en verantwoordingsinformatie; - hogere accountantskosten dan nodig;

• Continuïteit:

- extra kosten door herstel van de bedrijfsprocessen; - verlies van omzet, winst en imago;

• Beheersbaarheid:

- onvoldoende mogelijkheden om tijdig verbeteringen in de procesinrichting door te voeren; - onvoldoende mogelijkheden om tijdig de benodigde proces-, management- en verantwoordingsinformatie aan veranderde behoeften aan te passen; - onvoldoende mogelijkheden tot integratie (connectiviteit).

18


II.2.1.12

NOREA-normenstelsel

In de onderstaande tabel zijn de aandachtspunten opgenomen waarover in een document ‘informatiebeleid’ uitspraken terug te vinden behoren te zijn. Bij elk aandachtspunt is met de

• Het hoogste management van de organisatie dient het informatiebeleid vast te stellen en het lagere management van het belang van dat beleid te doordringen.

X

X

Beheersbaarheid

X

Continuïteit

X

Controleerbaarheid

• Vertrekpunt voor de opstelling van de informatieplanning (prioriteitsstelling, afstemming met de middelen, migratiepaden e.d.).

Integriteit

X

Exclusiviteit

• Consistent en coherent met de missie, de primaire doelstellingen van de organisatie en de beleidsvorming op andere terreinen.

Efficiency

NOREA-normenstelsel informatiebeleid

Effectiviteit

aanduiding ‘X’ de relatie met de onderkende relevante kwaliteitsaspecten weergegeven.

X

X

X

X

X

• In het beleidsdocument dienen voor de hierna genoemde onderwerpen de doelstellingen, uitgangspunten en randvoorwaarden aan de orde te komen: - Apparatuur: - De keuze voor één of meer leveranciers op grond van overwegingen als gewenste concurrentie en spreiding van afhankelijkheid;

X

- standaardisatierichtlijnen.

X

- Programmatuur: - De keuze voor aanschaf van gemakkelijk aanpasbare programmatuur of zelf op maat ontwikkelen;

X

- standaardisatierichtlijnen

X

- concentratie/deconcentratie: de keuze tussen het opstellen van computersystemen op één of enkele plaatsen (concentratie) of gespreide opstelling (deconcentratie);

X

X

X

X X

- organisatiestructuur, inclusief eventuele uitbesteding;

X

X

- taken, verantwoordelijkheden, bevoegdheden, eigenaarschap informatiesystemen/ gegevens, rapportage(lijnen), inbedding planning- & controlcyclus, service level agreements.

X

X

X

X

X

X

- de wijze waarop investeringsbeslissingen tot stand moeten komen; - kostenberekenings-/doorberekeningssystematiek. - Personeel: - de benodigde kwaliteit en aantallen;

X

X

- Organisatie: - Centralisatie/decentralisatie: de keuze voor één centraal opererende organisatie of voor zelfstandig opererende organisatie-onder-delen die elk een eigen beleid kunnen hebben;

- Financiën: - het plafond van de investeringen en kosten van apparatuur, programmatuur en personeel;

X

X

X

X

X

X

X

X

- richtlijnen voor het al dan niet inhuren van extern personeel;

X

X

- human resource management.

X

X

X vervolg naar pag. 20

19


Beheersbaarheid

Continuïteit

Controleerbaarheid

Integriteit

Exclusiviteit

Efficiency

(vervolg van pagina 19)

Effectiviteit

NOREA-normenstelsel informatiebeleid - Systeemontwikkeling en -onderhoud:

- innovatie: verbetering van ontwikkelingsmethoden gericht op een verhoging van de productiviteit van ontwerpers en programmeurs; - participatie: inbreng van de gebruikers bij de aanschaf en/of ontwikkeling van applicatiesystemen;

X

- prioriteiten: aspecten voor de prioriteitsstelling van ontwikkelen veranderingsprojecten;

X

- systeemontwikkelingsmethode: de keuze voor bepaalde methoden en technieken; - projectorganisatie en –beheersing: de projectstructuur en het stelsel van beheersingsmaatregelen.

X

X

X

X

X

X

- Informatiebeveiliging: - de wijze van risicomanagement (A&K-analyse, Code voor informatiebeveiliging, baseline-benadering);

X

X

X

X

- omgaan met (vermeende) beveiligingsincidenten;

X

X

X

X

- bevordering beveiligingsbewustzijn.

X

X

X

X

X

X

X

X

- Evaluatie van het beleid en de beleidsimplementatie: - aard van de periodiek uit te voeren IT-audits (informatiestrategie, IM/IT-management, informatiesystemen, technische systemen, operationele ondersteuning); X

X

- uitvoering audits door internen en/of externen.

X

II.2.1.13

X

X

Bronnen

• Bemelmans, T.M.A. (1991), Bestuurlijke informatiesystemen en automatisering, Kluwer Bedrijfswetenschappen, Deventer/Stenfert Kroese B.V., Leiden. • Hopstaken, B. & Kranendonk, A. (1991), ‘Informatie-/automatiseringsplan: vier vensters op een complex fenomeen’, Handboek EDP-auditing, B.4.1.2, Kluwer Bedrijfswetenschappen, Deventer • Looijen, M. (1995), Beheer van informatiesystemen, Kluwer Bedrijfswetenschappen, Deventer. • Molen, van der H-J. (1998), ‘Orde ontstaat nooit spontaan’, Computable 27-3-1998. • NOREA (1998), NOREA-geschrift No 1 IT-auditing aangeduid, NOREA-Amsterdam. • Roos Lindgreen, E.E.O., (1998), ‘Corporate Information Security’, Compact 1998/5, KPMG EDP Auditors, ten Hagen & Stam Uitgevers. •

20

Theewes, J.A.M. (1990), Informatieplanning, Kluwer Bedrijfswetenschappen, Deventer.


II.2.2

E-business-to-business Dit NOREA-normenstelsel is een facilitair instrument voor het definiëren van kwaliteitsaspecten en beheersingsmaatregelen op het niveau van behoorlijk IT-gebruik. Deze norm is gebaseerd op literatuur over dit onderwerp. De feitelijk bij een onderzoek te hanteren normering moet worden toegesneden op het object van onderzoek, de omgeving waarbinnen het object operationeel is en het geldende kwaliteitsniveau voor het IT-gebruik. II.2.2.1

IT-object:

Beheersingsmaatregelen elektronisch zakendoen (e-B2B) II.2.2.2

Afbakening

E-business is gebaat bij het veilig laten verlopen van de elektronische processen. Inbreuken op de processen die het vertrouwen in het langs elektronische weg zakendoen schaden, moeten zoveel mogelijk worden voorkomen. Het karakter en het gebruik van elektronische hulpmiddelen vereisen dat, meer dan bij andere objecten, aandacht moet worden geschonken aan het definiëren van het niveau van het ‘behoorlijk IT-gebruik’. Dit moet plaatsvinden via: • een nadere afbakening van het object van onderzoek; • de binnen het object te onderkennen processen; • een precisiering van de relevante kwaliteitsaspecten. Bij de invulling van deze aandachtspunten moet worden bedacht dat de IT-technologie en de e-businessprocessen onderhevig zijn aan sterk voortschrijdende ontwikkelingen. Als gevolg daarvan zal het voor het ‘behoorlijk IT-gebruik’ gedefinieerde kwaliteitsniveau in relatie tot de normale bedrijfsactiviteiten, de nodige veiligheidsmarges moeten bevatten. Indien de omvang of invloed van e-business op de bedrijfsprocessen belangrijk of essentieel is (bijvoorbeeld bij banken en verzekeraars) zal het niveau van het onder III.2.2.12 geschetste normenstelsel moeten worden verhoogd, rekening houdend met door toezichthoudende organen geformuleerde eisen. Het bepalen van de inhoud van de beheersingsmaatregelen vereist dat terdege rekening wordt gehouden met de interfaces tussen de elektronische processen en de traditionele organisatie. Tot de scope van dit NOREA-normenstelsel wordt daarom gerekend: • de Internetkoppeling en indien aanwezig de webpagina’s; • de bescherming van gegevens (opslag en transport van data). Deze data kunnen in daarvoor in aanmerking komende gevallen worden beschermd met encryptie, controlegetallen en andere vormen om het transport van gegevens controleerbaar en/of beschermd te laten verlopen; • de aantekeningen in de administratie van de opdrachtgevende instantie van de verkoop van producten, het leveren van diensten evenals de vastlegging van ontvangsten behoort tot de scope van de NOREA handreiking ZekeRE-business (zie III.2.2.5); • de infrastructuur en de inhoud van de database met gegevens over de te verkopen producten of de te leveren diensten zal over het algemeen geheel tot de scope van ZekeRE-business moeten worden gerekend. Nagegaan dient te worden of alle gegevens ontstaan binnen de jurisdictie van cliënt (de opdrachtgevende instantie) en op welke wijze en in welke mate de betrouwbaarheid van die gegevens wordt vastgesteld. Van de gegevens die van elders worden betrokken dient vast te staan dat de betrouwbaarheid overeenkomt met de verwachting van cliënt. Tot de scope worden niet gerekend: • de infrastructuur vanaf de ISP van de verkoper naar de e-B2B-partner(s); • het daadwerkelijke logistieke transport van goederen;

21


•

de electronic business to consumer (b2c)

Het accent van deze NOREA-norm is gericht op processen die verlopen via Internet. Echter ook voor andere vormen van elektronische communicatie zoals Electronic Data Interchange (EDI) kan deze NOREA-norm worden gebruikt. Het gebruik van Internettechnologie kent een aantal inherente beperkingen met betrekking tot de beheersmaatregelen ervan. Deze beperkingen zijn onvermijdbaar, waardoor het mogelijk is dat fouten niet (tijdig) worden ontdekt. Daarnaast hebben beheersmaatregelen te maken met veranderende omstandigheden (nieuw beschikbare technologie), waardoor de werking ervan kan worden aangetast. II.2.2.3

NOREA-definitie

E-business to business (e-B2B) is het tussen bedrijven langs elektronische weg laten verlopen van handel. II.2.2.4 •


AICPA/CICA: E-business stelt individuen en organisaties in staat om een verscheidenheid aan elektronische handelstransacties te verrichten met gebruik van computer- en telecommunicatienetwerken.

II.2.2.5 •


NOREA-geschrift No 1: e-B2B-applicaties vallen in dit geschrift onder het domein geautomatiseerde informatiesystemen. Het informatiesysteem wordt gedefinieerd als ‘de geautomatiseerde processen die primair ontworpen zijn om de mens te voorzien van gegevens, dan wel om de mens in staat te stellen de gegevens opgeslagen in computers – en overdraagbaar via datacommunicatietechnieken – te creëren, muteren, verwijderen, verspreiden en/of anderszins te manipuleren’. Binnen dit domein worden de volgende objecten onderkend: • IM/IT management; • hulpmiddelen; • eisen aan het informatiesysteem; • applicatie-architectuur; • databases; • operationeel gebruik; • functioneel beheer; • opdrachtgever/eigenaar • informatiesysteem.

•

CobiT: De primaire invalshoek is de actie ‘Aquiring and maintaining application software’ in het domein ‘Acquisition and Implementation’. Daarbij wordt aandacht geschonken aan: • functional testing acceptance; • application controls and security requirements; • documentation requirements; • application software life cycle; • enterprise information architecture; • system development life cycle methodology; • user-machine interface; • package customisation.

22


•

Code Informatiebeveiliging 2000: Het merendeel van de normen laat zich vertalen naar de beveiligingsdoelstellingen zoals die in deel II van de Code zijn uitgewerkt. In bijlage B van ZekeRE-business is de relatie met de Code uitgewerkt.

•

SDM: Deze methodologie richt zich op het dakpansgewijs ontwikkelen van informatiesystemen. De snelheid waarom e-B2B-toepassingen moeten worden ontwikkeld maken het veelal niet mogelijk om de in SDM voorgestane, sterk gestructureerde, aanpak en werkwijze te volgen. SDM biedt daardoor onvoldoende relevant referentiemateriaal.

•

ITIL: De doelstelling van ITIL is het op basis van ‘best practices’ definiëren van een efficiënte en economische inzet van IT-middelen, gerelateerd aan 12 processen. Deze processen hebben primair als invalshoek de wijze waarop de gegevensverwerking kan worden beheerst. Een e-B2B-applicatie heeft te maken met de volgende processen: • dienstenniveaubeheer; • capaciteitsbeheer; • calamiteitenbeheer; • beschikbaarheidsbeheer; • beveiligingsbeheer; • financieel beheer; • configuratiebeheer; • incidentenbeheer; • probleembeheer.

•

Common Aspecten: De Common Aspecten bevatten eisen inzake beveiligingsaspecten die op e-B2B-applicaties en -omgevingen van toepassing kunnen zijn. Een relatie van deze aspecten met een functionele toepassing in een operationele omgeving waarop e-B2B zich richt, wordt niet gelegd.

•

ISO-9000 kwaliteitssysteem: De organisatie moet in overeenstemming met de eisen van de internationale ISO-9000 norm, het kwaliteitssysteem opzetten, documenteren, invoeren en onderhouden en ook de doeltreffendheid ervan continue verbeteren. Het ISO-9000 kwaliteitssysteem formuleert geen expliciete eisen voor e-B2B.

•

ZekeRE-business – NOREA: Deze handleiding heeft als basis gediend voor het samenstellen van deze NOREA-norm. De belangrijkste verschillen tussen het model dat wordt gehanteerd voor het ontsluiten van NOREAnormenstelsels en de handleiding zijn de volgende: • de handleiding bevat een uitwerking van de opdrachtaanvaarding, de uitvoering van de audit en een model voor de te verstrekken mededeling. Gezien de doelstelling van de NOREAnormen wordt aan deze elementen in deze normenset geen aandacht geschonken; • het NOREA normenkader schrijft voor dat alternatieve definities worden gegeven en de relatie wordt gelegd met een aantal relevant geachte documenten – zie hiervoor. Niet alle referenties worden in de handleiding betrokken. • de handleiding geeft wel de relatie weer met de Code voor Informatiebeveiliging 2000 en ITIL; • het in de handleiding gehanteerde begrip ‘goed huisvaderschap’ bevat het wettelijk

23


(minimum) niveau. Het in de NOREA-normensets gehanteerde begrip ‘behoorlijk IT-gebruik’ omvat een hoger niveau om te voorkomen dat elke negatieve afwijking leidt tot het niet meer voldoen aan de wettelijke vereisten. II.2.2.6

Doelstellingen e-business-t0 business

Doelstellingen van e-B2B kunnen zijn: • de wijze waarop (contractuele) afspraken worden gemaakt met de e-B2B-handelsparter en de daarbij afgegeven garanties; • het ontwerpen, onderhouden en beheren van de inhoud van databases met gegevens inzake de te leveren producten of diensten inclusief de bijbehorende webpagina’s; • het opzetten, onderhouden en beheren van databases met transactiegegevens, waarbij het kan gaan om zowel logistieke als financiële gegevens van de klanten van de opdrachtgevende instantie; • het opzetten, onderhouden en beheren van de hardware en software die de databases met productgegevens en transactiegegevens in stand houden; • het opzetten, onderhouden en beheren van de conventionele middelen die de e-B2B ondersteunen; • het tijdig en met de juiste kwalitatieve en kwantitatieve capaciteiten aanwezig zijn van mensen en (IT-)middelen die nodig zijn om e-B2B op het gewenste niveau te krijgen en te houden; • het sluiten, onderhouden en beheren van contracten inzake diensten en producten die in het kader van e-B2B moeten worden ingezet en waarvan aantoonbare afhankelijkheden bestaan; • het ontvangen van een bestelling inzake een aan te schaffen product of af te nemen dienst; • het versturen van een bevestiging inzake de bestelling; • het fysiek uitleveren van hetgeen is besteld conform de afgesproken voorwaarden; • het opmaken en versturen van facturen inzake de geleverde producten of de afgenomen diensten; • de ontvangst van de aan de verkoop verbonden revenuen. II.2.2.7

Omgevingsfactoren

e-B2B is een recente ontwikkeling die nog een sterke groei doormaakt en sterk onderhevig is aan nieuwe technologische en maatschappelijke ontwikkelingen. Daarmee hangt samen dat de volgende omgevingsfactoren de inhoud van het NOREA-normenstelsel zullen beïnvloeden: • de ontwikkeling en nadere uitwerking van wettelijke kaders en daarmee samenhangende eisen gericht op transparantie van en daarmee het wekken van vertrouwen in de e-B2B-processen; • de belangstelling van toezichthouders (zoals DNB, PVK, Aut-FM, CBP) voor de ontwikkelingen; • de ontwikkelingen op het gebied van digitale handtekeningen, encryptie, trusted third party’s; • de ontwikkeling en uitwerking van beheermechanismen gericht op onvoorspelbare bedreigingen. II.2.2.8

Relatie met IT-auditopdrachten

Bij het object e-B2B- kan worden gedacht aan opdrachten als: • het beoordelen qua opzet en bestaan dan wel de werking van de toereikendheid van de getroffen maatregelen in de organisatie van de opdrachtgever; • het beoordelen qua opzet en bestaan dan wel de werking van de toereikendheid van de getroffen maatregelen in de organisatie van een derde (bijvoorbeeld een Internet Service Provider – ISP). II.2.2.9

Basisnormering

De basisnormering houdt in, dat de volgende aandachtspunten zijn gerealiseerd: • het beschikbaar zijn van een (schriftelijke) managementvisie over het businessprofiel waarmee de specifieke risico’s en het vereiste veiligheidsniveau zijn gedefinieerd in relatie tot de aard van de onderneming van de opdrachtgever; • een beschrijving van de administratieve organisatie;

24


• een architectuurmodel dat voorziet in het onderkennen van een: • externe communicatiezone; • applicatiezone; • database-serverzone; • datacommunicatie-controlezone; • gedemilitarieerde zone. II.2.2.10

Kwaliteitsaspecten

e-B2B raakt de volgende kwaliteitsaspecten: • exclusiviteit; • integriteit inclusief de specifieke aspecten voor e-B2B: • authenticiteit: de echtheid van de bron van gegevens zoals deze door de wederpartij worden ontvangen. Dit is van belang voor de inhoud van de berichten zelf als voor de berichtenstroom; • onweerlegbaarheid : de ontvanger kan het bericht van de ontvangst niet ontkennen, de verzender kan het bericht van de verzending niet ontkennen. Deze twee aspecten zijn toegevoegd gezien het specifieke karakter van dit normenstelsel; • continuïteit; • controleerbaarheid. Opgemerkt wordt dat in de literatuur de kwaliteitsaspecten continuïteit, exclusiviteit en integriteit ook wel worden aangetroffen onder de noemer ‘beveiliging’. Dit begrip heeft qua reikwijdte echter veelal betrekking op de meer fysieke aspecten die met ICT te maken hebben. De in de literatuur gehanteerde begrippen ‘betrouwbaarheid’ en ‘continuïteit’ zijn de samenvoeging van de in de NOREA-definitiestructuur gehanteerde begrippen beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid. Voor de binnen de NOREA-definitiestructuur gehanteerde begrippen efficiency, effectiviteit en beheersbaarheid zijn, gegeven het innovatieve karakter van dit object, nog geen eenduidige beheersingsmaatregelen in de literatuur voorhanden. II.2.2.11

Bedreigingen

Op een hoog abstractieniveau zijn, toegespitst op de onderscheiden kwaliteitsaspecten, onder meer de volgende bedreigingen te onderkennen: • Exclusiviteit:

- onvoldoende scheiding tussen systemen in de eigen en een niet vertrouwde omgeving; - onvoldoende autorisatiemechanismen;

• Integriteit:

- ontbreken van afspraken over het bevestigen van transacties; - niet aanwezig zijn van goedkeuring van de wijziging van de website;

• Authenticiteit:

- onvoldoende vaststellen van de identiteit; - onvoldoende controle op herkomst en juistheid elektronische facturen;

• Onweerlegbaarheid:

- onvoldoende maatregelen om wijzigingen tijdens transport tegen te gaan; - geen maatregelen om ‘relay’ van transacties tegen te gaan; - ontbreken van een bevestiging van transacties;

• Controleerbaarheid:

- ontbreken van gecertificeerde e-b-software; - ontbreken mogelijkheid om vast te stellen dat alle transacties zijn geregistreerd;

• Continuïteit:

- niet waarborgen van de beschikbaarheid van het transactiesysteem en het postbussysteem;

25


- ontbreken van een dubbele data-opslag; - ontbreken van een formeel SLA en rapportage over de naleving; - niet beschikken over een capaciteitsplanning. II.2.2.12

NOREA-normenstelsel

In de onderstaande tabel zijn de aandachtspunten opgenomen waarover in een document over e-B2B uitspraken terug te vinden behoren te zijn. Bij elk aandachtspunt is met de aanduiding ‘X’ de

Onweerlegbaarheid

Controleerbaarheid

X

X

X

X

X

Beschikbaarheid

Authenticiteit

1.

Integriteit

NOREA-normenstelsel E-business-to-business

Exclusiviteit

relatie met de onderkende relevante kwaliteitsaspecten weergegeven.

E-security beleid Toegepast op de zes componenten van de IT-omgeving: 1.1

Proces: alomvattend informatie beveiligingsprogramma; taken en verantwoordelijkheden in relatie tot algemeen informatiebeveiligingsbeleid duidelijk gedefinieerd strategie voor de beoordeling van nieuwe technieken; verantwoordelijkheden voor beoordelen, managen en monitoren van IT-gerelateerde risico’s; risico-analyse methodiek voor periodieke beoordeling e-security risico’s

1.2 Applicatie Policy’s betreffende: systeemontwikkelinglevenscyclus-standaarden; software make - versus - buy beslissingen.

X

X

X

1.4 Platform Policy’s betreffende: standaard ondersteunde hardware -en softwareplatform; verantwoordelijkheden betreffende platform planning, ontwerp, back-up en beveiliging.

X

X

1.5

X

X

X

X

1.6 Fysiek Policy’s betreffende: verantwoordelijkheden voor informatievoorziening locaties en apparatuur; beveiliging van notebook computers en content buiten kantoor; Onderhoud en support policy’s.

X

X

1.3 Datamanagement Policy’s betreffende: data ownership; databaseontwerp en -management; gebruik en beveiliging van bedrijfsinformatie; gebruik en beveiliging van werknemers, cliënten of overige persoonlijke data.

Netwerk Policy’s betreffende: goedgekeurde leveranciers en service/product specificaties; verantwoordelijkheden voor netwerkplanning, ontwerp, back-up en beveiliging.

X

X

vervolg naar pag. 27

26


Integriteit

Authenticiteit

Onweerlegbaarheid

Controleerbaarheid

Beschikbaarheid

2.


Exclusiviteit


X

X

X

X

X

X

X

X

X

X

X

X

(Inter-)nationale wet- en regelgeving 2 2.1 Compliance: Alle (internationale) wet- en regelgeving dient te worden nageleefd, inclusief de mogelijk van toepassing zijnde branchespecifieke wet- en regelgeving: • informatieplichten; • intellectuele eigendomsrechten; • privacy (WPR/WBP); • computercriminaliteit (WCC(II)); • overeenkomstenrecht (elektronische handtekening); • bewijs en bewaren; • geschillenbeslechting en toepasselijk recht; • etc. Specifieke eisen van de: • OPTA; • STE; • DNB; • Verzekeringskamer; • CBP; • Etc. 2.2 Concrete eisen: Indien gegevens van bezoekers van de website worden opgeslagen in een database, dan dient deze registratie te worden aangemeld bij de Registratiekamer (tenzij wettelijk vrijgesteld). Op de website dient informatie te staan over de verkoop- en leveringsvoorwaarden en deze dienen expliciet door de afnemer te worden geaccepteerd. Op de website dienen de NAW-gegevens e.d. van de organisatie te zijn vermeld. Het privacybeleid dient eenvoudig toegankelijk op de website te zijn gepubliceerd. Voor het gebruik van logo’s, merknamen, plaatjes, foto’s, etc. van anderen dient toestemming te zijn gevraagd van de desbetreffende rechthebbende, tenzij deze toestemming wettelijk niet nodig is (o.a. citaten met bronvermelding). Alle kosten inclusief BTW, verzend- en administratiekosten moeten de businesspartner voor het sluiten van de overeenkomst op ondubbelzinnige wijze bekend worden gemaakt. De intellectuele eigendomsrechten ter herkenning van de organisatie (logo’s, handelsmerken, etc.) dienen te zijn geregistreerd. Alle eigendomsrechten met betrekking tot de website (denk aan rechten van de betrokken softwarebureaus) dienen in eigen bezit te zijn. Vastgesteld dient te zijn of de e-businessactiviteiten zijn verzekerd.

2

Toelichting juridische onderzoek


Object van onderzoek kunnen zijn: De website van de beoordeelde organisatie: Contracten/SLA’s met webhosters, webdesigners, webbouwers, ISP’s, betaalorganisaties, leveranciers, adverteerders, transporteurs, businesspartners, etc. Het onderzoek dient te worden uitgevoerd door een juridische specialist met voldoende actuele kennis van de toepasselijke wet- en regelgeving. De eisen dienen periodiek opnieuw te worden beoordeeld.

27


Contractvoorwaarden

X

Beschikbaarheid

X

Controleerbaarheid

X

Onweerlegbaarheid

X

Authenticiteit

Integriteit

3.


Exclusiviteit


X

De voorwaarden uit het contract tussen de businesspartners moeten vertaald worden naar prestatie-eisen die gesteld worden aan de e-businesstoepassing.

4.

Interne invloeden 4.1 Aanschaf of ontwikkeling Er dient een scheiding te zijn aangebracht tussen de ontwikkelwebsite en de productiewebsite. De technische en functionele systeemdocumentatie dient up-to-date te zijn.

X

X

De E-business software dient bij voorkeur gecertificeerd te zijn door een onafhankelijke derde partij.

X

Bij voorkeur dient een Third Party Mededeling aanwezig te zijn. 4.2 Interne hosting of uitbesteding infrastructuur De prestatie-eisen voor de e-business toepassingen moeten vertaald worden naar eisen aan de e-business infrastructuur.

X

X

X

X

4.3 Systeem ontwikkelmethodiek Voor het ontwikkelen van software dient een gestandaardiseerde methodiek te worden toegepast. 4.4 Systeemontwikkelstandaarden Voor het ontwikkelen van software dienen standaarden te worden gebruikt.

5.

X

X

X

X

X

X

X

X

X

X

X

X

Transacties 5.1

On line transacties Transactiesysteem. De beschikbaarheid van het transactiesysteem moet zijn gewaarborgd.

X

Transacties tijdens transport. De businesspartners moeten vaststellen wie namens beide partijen bevoegd zijn om e-businesstransacties aan te gaan.

X

De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de transacties tijdens transport tegen te gaan.

X

X

X

De businesspartners moeten om vernietiging van de transactie tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd.

X

De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te gaan.

X

X

X

X

Transacties binnen het transactiesysteem. De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-businesstransacties van zakenpartners.

X

X

X

X


28


Authenticiteit

Onweerlegbaarheid

X

X

X

De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan .

X

X

X

X

De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-businesstransactie tegen te gaan.

X

X

X

X

De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan.

X

X

X

X

Beschikbaarheid

Integriteit

X


Controleerbaarheid

Exclusiviteit

De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-businesstransactie tegen te gaan.


5.2 Berichtenverkeer Berichtensysteem De beschikbaarheid van het postbussysteem moet zijn gewaarborgd

X

Bericht Tijdens transport: De businesspartners moeten vaststellen wie namens beiden partijen bevoegd zijn om e-businesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de berichten tijdens transport tegen te gaan.

X

X

X

X

De businesspartners moeten om vernietiging van het bericht tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd.

X

De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te gaan.

X

Binnen het postbussysteem: De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-businessberichten van zaken partners

X

X

X

X

X

De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-businesstransactie tegen te gaan.

X

X

X

X

De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan.

X

X

X

X

De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-businesstransactie tegen te gaan.

X

X

X

X

De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan.

X

X

X

X

5.3 Backoffice/logistiek De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd.

X

De bij een transactie betrokken partij dient te kunnen worden geïdentificeerd, bijvoorbeeld door een elektronische handtekening.

X

Alle transacties (berichten) dienen te worden geregistreerd. Alle transacties dienen een uniek volgnummer te worden toegekend.

X

X

X X

X vervolg naar pag. 30

29


X

De bestaanbaarheid van elke transactie en de inhoud dienen direct bij ontvangst te worden gecontroleerd.

X

X

De geweigerde transacties worden in een afzonderlijk bestand vastgelegd.

X

X

Ontvangen transacties worden beoordeeld aan de hand van de aanwezige transactieprofielen per handelspartner.

X

X

X

Beschikbaarheid

Controleerbaarheid

Alle transacties dienen te worden bevestigd.

Er is een speciale autorisatieprocedure voor het wijzigen van transacties.

X

X

X

Er is een audit trail met voldoende informatie met bewijs van het bestaan van de transacties alsmede de status van deze transacties.

6.

Onweerlegbaarheid

Authenticiteit


Integriteit

Exclusiviteit


X X

De integriteit van de audit trail dient voldoende te zijn gewaarborgd.

X

X

De juistheid en volledigheid van de primaire vastlegging van transacties in de e-businessapplicatie dienen te worden vastgesteld.

X

X

Voordat vertrouwelijke informatie wordt verstrekt (denk aan prijslijsten, productieplanningen, productspecificaties) dient de identiteit te worden gecontroleerd.

X

De herkomst en juistheid van elektronische facturen wordt gecontroleerd.

X

X

Een netwerk van controletotalen dient te worden gebruikt voor het controleren van de volledigheid en juistheid van de e-businesstoepassingen.

X

X

Infrastructuur/architectuur 6.1 Algemene normen voor de infrastructuur (Vertrouwelijke) data mogen niet op een systeem staan, dat een directe communicatiemogelijkheid heeft met systemen in een niet-vertrouwde omgeving.

X

X

Uitwijkapparatuur dient aanwezig te zijn of uitwijk dient anderszins te zijn geregeld. 6.2 Businesspartner infrastructuur Afspraken met betrekking tot bijvoorbeeld serviceniveaus, reactietijden en kosten met de partner dienen formeel te worden vastgelegd in een Service Level Agreement, hierna SLA genoemd.

X X

Naleving van de door de partner dient periodiek te worden gecontroleerd en gerapporteerd.

X

X X

X

X

X X

X

X X

Er dient een controle plaats te vinden op virussen, zowel uitgaand als inkomend. Voorbeelden van maatregelen zijn virusscanners of een viruswall.

X

X

X

De datacommunicatieapparatuur dient adequaat te zijn geconfigureerd, alleen noodzakelijke protocollen en dataverkeer mogen zijn geconfigureerd.

X

Indien er sprake is van een complex netwerk, dient netwerkmanagement te worden gehanteerd.

X

6.3 Datacommunicatie en controlezone Er dient een controle en sturing op het dataverkeer aanwezig te zijn. Voorbeelden zijn een firewall of packet filtering.

X

X

X


30


Beschikbaarheid

Controleerbaarheid

Onweerlegbaarheid

Authenticiteit


Integriteit

Exclusiviteit


X X

X

X X

De meest recente (security) patches en fixes moeten worden geïnstalleerd.

X

X

X

Indien mogelijk moeten zo min mogelijk user id’s worden aangemaakt.

X

X

6.4 Externe communicatiezone Systemen moeten zo min mogelijk informatie verstrekken over zichzelf en het omliggende netwerk aan niet-geautoriseerden.

6.5 Applicatieserverzone Op systemen mag alleen die software staan die nodig is voor het kunnen uitoefenen van de bedoelde taken. Van gebruikte software moeten robuuste versies worden gebruikt. Alleen geautoriseerde gebruikers dienen toegang te worden verleend tot de applicatie server(s). Adequate regels en normen t.a.v. gebruik van wachtwoorden dienen te zijn geïmplementeerd. Alle wijzigingen dienen te worden gedocumenteerd (Veranderbeheer of Change Management). De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen fysieke bedreigingen. De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen logische bedreigingen (hackers, virussen etc.). 6.6 Dataserverzone Betrouwbaarheid en continuïteit van de communicatie met de applicatieserver(s) moeten zijn gewaarborgd. De databaseserver(s) dien(t)(en) adequaat te zijn geconfigureerd, alleen noodzakelijke protocollen en dataverkeer mogen worden gebruikt. Er dient gebruik te worden gemaakt van dubbele dataopslag (bijvoorbeeld een RAID systeem).

7.

Beheerorganisatie ICT X X

7.1 Contentbeheer De website dient in voldoende mate te zijn beveiligd.

X

Alle overeengekomen voorschriften dienen te worden nageleefd.

X X X

Website.

X

X

Er dienen adequate procedures te zijn voor detectie, logging en melding van (beveiliging-) incidenten.

X

X

De eigenaar van de website dient wijzigingen goed te keuren.

X

Op de website dient informatie te staan over de aard van de informatie, diensten en/of goederen die worden aangeboden.

X

X

X

X

X X

X


31


Er dienen maatregelen te zijn geïmplementeerd zodat herleidbaar is wie wijzigingen aan de website heeft aangebracht.

X

Voordat eventuele registratie van hits plaatsvindt, dienen adequate maatregelen te zijn getroffen.

X

X X

7.2 Dienstenniveaubeheer Er dienen duidelijke afspraken te zijn gemaakt met de provider over het serviceniveau door de provider.

X

X

X

X

X

X

X X

Afspraken met betrekking tot service niveaus met de provider dienen formeel te zijn vastgelegd in een SLA. Er dienen duidelijke afspraken te zijn gemaakt in geval van geschillen tussen klant en de provider.

Beschikbaarheid

Controleerbaarheid

Onweerlegbaarheid

Authenticiteit


Integriteit

Exclusiviteit


X

X

X

X

De provider dient periodiek te rapporteren aan de klant over geleverde prestaties.

X

Naleving van serviceniveaus door de provider dient periodiek te worden geëvalueerd met behulp van formele rapportages over serviceniveaus.

X

X X

7.3 Capaciteitsbeheer Het capaciteitsbeheer van e-business en daarmee verwante applicaties dient adequaat te zijn geregeld. 7.4 Calamiteitenbeheersing Er dient periodiek een kwetsbaarheidanalyse te worden uitgevoerd gericht op de e-businessapplicaties.

X

Er dient periodiek een volledige data back-up te worden gemaakt van de database server(s). De back-up en recovery van transactiegegevens en audit trail-bestanden dienen te zijn gewaarborgd. Back-up tapes dienen te worden opgeslagen op een externe locatie in een afgesloten kluis.

X X

X

X

X

X

Er dient periodiek een restore test te worden uitgevoerd van de database server(s). Er dient een adequate procedure te zijn geïmplementeerd om cliënten tijdig te informeren indien de website korte of langere tijd niet beschikbaar is.

X

Er dienen noodprocedures en -richtlijnen te zijn geïmplementeerd om te zorgen voor adequaat optreden in geval van calamiteiten en zeer urgente wijzigingen.

X

De overeengekomen diensten dienen aan een andere provider overdraagbaar te zijn.

X

De voor de e-business dienstverlening noodzakelijke netwerkverbindingen binnen de organisatie of met de buitenwereld dienen te voorzien in de continuïteitsbehoefte van de organisatie. Bij problemen dienen alternatieve verbindingen voorhanden te zijn.

X

De voor de e-business dienstverlening noodzakelijke infrastructuur binnen de organisatie of bij derde partijen dient te voorzien in de continuïteitsbehoefte van de organisatie. Bij problemen dienen alternatieven voorhanden te zijn.

X


32


Er dient te zijn geanalyseerd in hoeverre het logistieke proces afhankelijk is van de infrastructuur en waar kwetsbaarheden en bedreigingen m.b.t. de infrastructuur bestaan.

Beschikbaarheid

Controleerbaarheid

Onweerlegbaarheid

Authenticiteit


Integriteit

Exclusiviteit


X

7.5 Beschikbaarheidsbeheer De beschikbaarheid van de IT-infrastructuur die noodzakelijk is voor de e-businessactiviteiten wordt permanent gevolgd en periodiek geëvalueerd.

X X

X X

De beschikbaarheid van de IT-diensten die noodzakelijk is voor de e-businessactiviteiten wordt permanent gevolgd en periodiek geëvalueerd.

X

X

X

X X

7.6 Beveiligingsbeheer Er dient adequaat beveiligingsbeheer (Security Management), inclusief rapportage te zijn geïmplementeerd.

X X

X X

X

X X

Er dienen adequate maatregelen te zijn getroffen gericht op toegangscontrole.

X

X

X

X

Elke gebruiker dient zichzelf te authenticeren om toegang te krijgen tot de website door middel van een user id/wachtwoord combinatie, al dan niet in combinatie met tokens zoals smartcards.

X

Er dienen adequate regels t.a.v. het gebruik van wachtwoorden van toepassing te zijn. X Alleen aan geautoriseerde gebruikers dient toegang te worden verleend tot de database server(s).

X

X

Er dient functiescheiding te zijn tussen het beheer van de site, het beheer van de inhoud van de site (contentbeheer) en het beheer van de lay-out van de site.

X

X

Er dient een historisch overzicht van wijzigingen in bevoegdheden te worden bijgehouden.

X

De businesspartners moeten maatregelen treffen om ongeautoriseerde kennisname van de inhoud van de berichten tijdens transport tegen te gaan.

X

X

Er dienen adequate maatregelen tegen ongeautoriseerd gebruik van privé-gegevens te zijn geïmplementeerd.

X

X

Er dienen adequate procedures voor detectie, logging en melding van (beveiliging-) incidenten te zijn geïmplementeerd.

X

Er dient een veilig mechanisme te worden gebruikt om sessies tussen browsers en de webserver te beschermen.

X

Een ‘gesloten enveloppen procedure’ voor wachtwoorden behorende bij gebruikersaccounts met hoge systeemtoegangsrechten dient aanwezig te zijn.

X

Het berichtenverkeer moet adequaat beschermd zijn tegen toegang door ongeautoriseerden.

X

De eisen die aan het encryptie algoritme worden gesteld dienen overeen te komen met de gevoeligheid van de gegevens.

X

Het autorisatiemechanisme van de organisatie moet waarborgen dat uitsluitend op geautoriseerde wijze toegang tot cliëntengegevens kan worden verkregen.

X

Contentbestanden dienen in voldoende mate te zijn afgeschermd.

X

De databaseserver(s) en bijbehorende componenten dienen fysiek te zijn geplaatst in een veilige, afgesloten locatie om deze machines te beschermen tegen vuur, schade en vandalisme.

X

X

X

X

X

X

X

X


33


7.7 Financieel beheer

3

X X

7.8 Configuratiebeheer Alle bij e-businessactiviteiten betrokken apparatuur en programmatuur zijn volledig en juist geregistreerd. 7.9 Incidentbeheer Er is op continue basis, dan wel op overeengekomen tijden, een helpdesk bereikbaar waar vragen, klachten en incidenten rondom E-business activiteiten kunnen worden gemeld.

X

De gestelde vragen, klachten en incidenten dienen direct te worden vastgelegd alsmede de door de helpdesk aangereikte oplossing.

X

X

De helpdesk dient erop toe te zien dat alle meldingen binnen de afgesproken tijden worden opgelost

X

X

De activiteiten van de helpdesk worden periodiek geëvalueerd.

X

X

7.10

X

Probleembeheer Er dient adequaat probleembeheer (Problem Management) te zijn geïmplementeerd (inclusief rapportage).

X

X

X

Er dienen afdoende maatregelen te zijn getroffen voor foutdetectie. Het gebruik van Internetsystemen dient te worden gelogd op problemen en foutmeldingen.

X

X

X

Onderhoudsprocedures dienen periodiek te worden uitgevoerd.

X

7.11

X

Wijzigingsbeheer De wijzigingsbeheerprocedure voor databasewijzigingen dient te zijn gedocumenteerd.

X X

X

X X

X

X

X

De implicaties voor het beveiligingsniveau van een databasewijziging dienen telkens te worden bepaald.

X

X

Alle databasewijzigingen dienen te kunnen worden herleid naar individuele personen.

X

X

X

X

Alle databasewijzigingen dienen te worden vastgelegd.

X

X

Alle databasewijzigingen dienen te zijn voorzien van een versienummer.

X

X

Beheerorganisatie niet-ICT 8.1 Beheer virtuele logistieke organisatie Organisatie

34

X X

X

Er dient een formele goedkeuringsprocedure voor databasewijzigingen te zijn geïmplementeerd.

3

X

X

Er dient adequate ondersteuning door leveranciers en Service Providers te zijn geregeld in geval van klachten, storingen of problemen.

8.

Beschikbaarheid

Controleerbaarheid

Onweerlegbaarheid

Authenticiteit


Integriteit

Exclusiviteit


X

Volledigheidshalve genoemd als beheerproces, doch valt buiten de scope van ZekeRE-business.

X

X

X

X

X



Authenticiteit

Onweerlegbaarheid

Controleerbaarheid

Beschikbaarheid

X

X

X

X

X

X

X

Integriteit

X

Exclusiviteit

X

Er dient een adequaat stelsel van maatregelen voor AO/IC te bestaan.

X

X

Er dient sprake te zijn van een adequate autorisatieprocedure, waarmee ongeautoriseerde toegang tot gegevens tot een minimum wordt beperkt. Iedere order dient te worden gevolgd door een betrouwbare orderbevestiging richting de afnemer. Daarbij dienen in ieder geval een betrouwbare leverdatum en een betrouwbare bevestiging van de prijs aanwezig te zijn.



Daar waar het geautomatiseerde logistieke proces afhankelijk is van zogenaamde sleutelfunctionarissen (personen die verantwoordelijke zijn voor cruciale handelingen in het proces), dient vervanging bij wegvallen van deze functionarissen geregeld te zijn.

X

Applicatie

X

X

X

Er is sprake van inzichtelijke en duidelijk gedocumenteerde verwerkingprocessen waarbij eventuele ontkoppelpunten tussen virtuele en traditionele processen identificeerbaar zijn.

X

X

Alleen geautoriseerde functionarissen mogen toegang hebben tot de logistieke applicatie (zowel de test, acceptatie als ontwikkelomgeving).

X

X

X

Er is sprake van een adequaat stelsel van procedures voor verander-, probleem- en incidentbeheer.

X

X

X

Er dient een certificaat of ‘oordeel betrouwbare werking’ voor de applicatie te bestaan, afgegeven voor de basisapplicatie of de bedrijfsspecifieke omgeving.

X

X

In de applicatie dienen geprogrammeerde invoercontroles te bestaan om zo de kwaliteit van de ingevoerde gegevens te waarborgen.

X

Het formaat van ingevoerde gegevens dient te voldoen aan eisen zoals gesteld door de applicatie.

X

De werking van transacties dient te worden gecontroleerd door een stelsel van geprogrammeerde verwerkingscontroles.

X

X

Kritische acties dienen te worden gevolgd middels een audit trail.

X

X

Er dient te zijn geanalyseerd in hoeverre het logistieke proces afhankelijk is van de applicatie en waar kwetsbaarheden en bedreigingen m.b.t. de applicatie bestaan.

X

X

X

De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen fysieke bedreigingen.

X

X

X

De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen logische bedreigingen (hackers, virussen etc.).

X

X

X

X

X

Het dient mogelijk te zijn een volledig functionele applicatieomgeving op te bouwen in geval van calamiteiten. De procedure hiervoor dient periodiek te worden getoetst op een juiste werking. Aansluitend op de kwetsbaarheidanalyse, dient er een plan te bestaan om de continuïteit van de applicatie te waarborgen (Business Continuity Planning). Dit continuïteitsplan dient periodiek te worden getoetst op een juiste werking. Bij wijzigingen in de applicatie of infrastructuur of bij nieuwe bedreigingen en kwetsbaarheden dient het plan te worden aangepast.

X


35


X

X

Alleen geautoriseerde functionarissen mogen toegang hebben tot de logistieke gegevens (zowel in de test, acceptatie als ontwikkelomgeving).

X

Aanpassen, toevoegen en verwijderen van logistieke gegevens (al dan niet via de logistieke applicatie) dient te worden gevolgd middels een audit trail.

X

Ongeautoriseerde logische toegang tot de logistieke gegevens dient te worden ondervangen door een systeem voor inbraakdetectie (“Intrusion Detection”).

X

X

X

Op grond van (handmatige of automatische) melding van een logische inbraak dienen acties tot bescherming en herstel te worden uitgevoerd. Deze acties kunnen zowel handmatig als automatisch plaatsvinden.

X

X

X


X X

X

X

Om herstel in geval van calamiteiten mogelijk te maken, dient een historie van de doorgevoerde transacties (ongewijzigd) beschikbaar te zijn (“Archive logs”).

X

X

De voor de gegevensopslag benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen fysieke bedreigingen. 8.1 Beheer virtuele financiële organisatie De AO/IC dient zodanig te zijn ingericht dat toezeggingen aan/afspraken met businesspartners overeenkomstig worden uitgevoerd.

X

X

X

X

Uit de AO/IC blijkt dat de organisatie toezeggingen aan/afspraken met businesspartners nakomt (audit trail) De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd.

X

In de financiële organisatie zijn voldoende waarborgen getroffen waardoor de continue werking van deze organisatie wordt gegarandeerd overeenkomstig de afspraken met de businesspartners

36

X

Er dient te zijn geanalyseerd in hoeverre het logistieke proces afhankelijk is van de gegevensopslag en waar kwetsbaarheden en bedreigingen m.b.t. de gegevensopslag bestaan.

Het dient mogelijk te zijn de volledige gegevensopslag opnieuw op te bouwen in geval van calamiteiten. De procedure hiervoor dient periodiek te worden getoetst op een juiste werking.

II.2.2.13

Beschikbaarheid

Controleerbaarheid

Onweerlegbaarheid

Integriteit

Authenticiteit

Exclusiviteit

Data


X

X

X

X

X

X

Bronnen

•

ECP.NL: Code of Conduct

•

AICPA: CPA SystTrust Service – a new assurance service on systems reliability

•

Kluwer: Handboek EDP-auditing

•

AICPA/CICA: Webtrust Principles and Aspects


D

DEEL III: Achtergronden

III.1

Indeling vakgebied, kwaliteit en kwaliteitsaspecten

In dit hoofdstuk wordt een afbakening gegeven van het vakgebied, het centrale begrip “kwaliteit” en de aspecten die daarbij worden onderscheiden. III.1.1

Indeling vakgebied

Het vakgebied IT-auditing is zo omvangrijk dat alleen daarom al een indeling noodzakelijk is. Bij de indeling van het vakgebied in onderdelen, hier objecten, gelden onder meer de volgende uitgangspunten:

• de indeling in objecten moet het overzicht over het vakgebied bevorderen. De indeling mag dus niet al te gedetailleerd zijn of moet een hiërarchische structuur hebben. Bij een hiërarchische structuur is een verdergaande indeling mogelijk zonder dat dit ten koste van het overzicht gaat;

• de in de indeling benoemde objecten behoren zo veel mogelijk op zich zelf te staan en elkaar zo min mogelijk te overlappen;

• de indeling behoort herkenbaar te zijn voor het management en voor diegenen die in de ITsector of aanverwante disciplines werkzaam zijn;

• de indeling behoort steun te bieden bij de afbakening van het domein van een IT-audit-opdracht; • de indeling behoort zoveel mogelijk in verband te kunnen worden gebracht met in de praktijk in brede kring aanvaarde “sound-practices” of “good-practices”;

• de indeling in objecten behoort zowel op processen als op (tussen)producten betrekking te hebben.

Bij informatietechnologie is sprake van een grote verscheidenheid in vormgeving (architectuur). Een verscheidenheid die vooral een gevolg is van de gemaakte keuzes voor de organisatorische - en technische infrastructuur. Deze verscheidenheid betekent dat, ongeacht de gekozen indeling, het nooit zo kan zijn dat een praktijksituatie daarin zonder meer is in te passen. De indeling kan hooguit de grootste gemene deler zijn van alle denkbare praktijksituaties. De in NOREA-geschrift No 1 “IT-auditing aangeduid” gemaakte analyse van de domeinen van IT-auditing en de daarbinnen onderkende (audit)objecten zal waar mogelijk bij de indeling van de normen worden gehanteerd. III.1.2

Kwaliteit

Voor het definiëren van het begrip kwaliteit wordt vaak de volgende definitie aangehaald (NEN-ISO 8402, 1989): “Het geheel van eigenschappen en kenmerken van een product of dienst, dat van belang is voor het voldoen aan vastgelegde of vanzelfsprekende behoeften”. Op deze definitie valt weinig af te dingen. In de praktijk biedt deze definitie vanwege het hoge abstractieniveau echter weinig houvast. Overigens geeft de Werkgroep in overweging het laatste deel van de hierboven gegeven definitie te wijzigen in “… of vanzelfsprekend (geworden) behoeften.” De reden hiervoor is om de in de tijd veranderende maatschappelijke opvattingen in de definitie tot uitdrukking te laten komen.

De uitdagingen waarvoor de IT-auditor zich met de inhoud van het begrip “kwaliteit” geplaatst ziet, zijn als volgt te omschrijven: • De verschillende benaderingen die de belanghebbenden van een audit en eventuele andere belanghebbenden kunnen hebben. Een gebruiker van een informatiesysteem zal bijvoorbeeld aan het begrip “kwaliteit” een andere inhoud geven dan de technisch beheerder van hetzelfde informatiesysteem.

37


• Kwaliteit is een verzamelbegrip. Kwaliteit omvat verschillende kwaliteitsaspecten die elkaar soms in negatieve zin beïnvloeden. Een voorbeeld daarvan is het aspect “efficiency”. Verbetering van de overige kwaliteitsaspecten heeft doorgaans een negatief effect op de efficiency. Dit negatieve effect komt tot uitdrukking in een groter beslag op de middelen of (mede) in een afnemende gebruikersvriendelijkheid. Bij de vorming van een samenvattend oordeel kan een onderlinge (subjectieve) afweging van de verschillende kwaliteitsaspecten problemen geven. •

De inhoud van het begrip “kwaliteit” is afhankelijk van het object of de objecten die bij de uitvoering van een auditopdracht moeten worden betrokken. Naar de aard van het object valt er onderscheid te maken in: • de kwaliteit van het product; • de kwaliteit van het proces om tot het product te komen; en daarmee samenhangend • de kwaliteit van de ingezette dan wel in te zetten middelen.

Bij software-ontwikkeling bijvoorbeeld is de doorslaggevende factor voor een goed resultaat de kwaliteit van het middel “mensen”. Verder wordt opgemerkt dat een object van aard kan wisselen. Applicatiesoftware is bijvoorbeeld het product van het systeemontwikkelingsproces, maar is een middel in het gegevensverwerkingsproces dat tot het uiteindelijke product, i.c. informatie, moet leiden. Uit een oogpunt van eenvoud heeft de Commissie gemeend het hiervoor onderkende onderscheid tussen product, proces en middelen niet tot uitdrukking te moeten laten komen door het definiëren van (verschillende) kwaliteitsrasters (aspecten of maatregelen) in de normenstelsels

III.1.3

Kwaliteitsaspecten

Binnen de context van de NOREA-normen en -standaarden worden de gehanteerde kwaliteitsaspecten als volgt gedefinieerd: • Effectiviteit: de mate waarin een object in overeenstemming is met de eisen4 en doelstellingen van de gebruikers en de mate waarin een object bijdraagt aan de organisatiedoelstellingen, zoals die in de informatiestrategie zijn vastgelegd. • Efficiency: de verhouding tussen de gerealiseerde kosten en de begrote kosten per object. De begrote kosten zijn daarbij de kosten die voorgenomen zijn voor het realiseren van het uit de organisatiedoelstellingen voortvloeiende gewenste prestatieniveau van het object. • Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruikmaken van IT-processen5. • Integriteit: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. • Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. • Continuïteit: de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben. • Beheersbaarheid: de mate waarin het object kan worden aangestuurd en/of bijgestuurd, zodat het object bij voortduring aan de daaraan gestelde eisen kan voldoen.

4 5

Met inbegrip van de “functinele eisen” In NOREA-geschrift No 1 wordt privacy (vertrouwelijkheid) als een aspect van exclusiviteit aangeduid: de mate waarin persoonlijke gegevens worden afgeschermd.

38


Opgemerkt wordt dat in de literatuur de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid ook wel worden aangeduid onder de noemer ”betrouwbaarheid”. Maatregelen gericht op continuïteit (beschikbaarheid), exclusiviteit en integriteit worden gezamenlijk ook wel aangeduid als “beveiliging”. Verder dient te worden bedacht dat de kwaliteitsaspecten niet bij elk object integraal van toepassing zijn. In de afbakening van de normenset zullen de relevante aspecten worden aangeduid (zie punt 10 model onder II.1). III.2

Scope NOREA-normenstelsel Na een introductie en definitie van het begrippenkader worden de uitgangspunten voor het hanteren van normen en metanormen uitgewerkt. III.2.1

Terreinafbakening en begrippenkader

IT-auditing is het beoordelen van één of meer kwaliteitsaspecten of beheersingsmaatregelen van (onderdelen van) de toegepaste dan wel toe te passen informatie- en communicatietechnologie (ICT). Dit impliceert dat overal waar in dit rapport sprake is van IT en IT-auditing wordt gedoeld op het “brede” begrip Informatietechnologie, dat dus eveneens de communicatietechnologie omvat. Beoordelen betekent het toetsen aan een norm. De begrippen “normen” en “standaarden” blijken zowel in de praktijk als in de literatuur veel verwarring te zaaien. De belangrijkste reden is dat deze begrippen vaak door elkaar worden gebruikt. De CNS geeft in dit verband de voorkeur aan het begrip “NOREA-norm” voor elk beoordelingskader in de omgeving van het IT-vakgebied. Binnen het audit-vakgebied wordt onderscheid gemaakt tussen uitvoerings- en toetsingsnormen. Uitvoeringsnormen zijn normen die beogen een systematische en achteraf verifieerbare uitvoering van de IT-auditopdracht te waarborgen (zie bijvoorbeeld Richtlijnen in het kader van de attestfunctie en NOREA-studierapport 2). Vanzelfsprekend is dat in verband met de controle-aanpak wordt bepaald of het normenkader in de betreffende situatie toereikend is. Toetsingsnormen zijn normen op basis waarvan de oordeelsvorming met betrekking tot één of meer kwaliteitsaspecten of beheersingsmaatregelen van een bepaald auditobject tot stand komt. In dit document komen alleen de toetsingsnormen aan bod. Het resultaat van een IT-auditopdracht moet een oordeel zijn over de mate waarin het auditobject aan een vooraf vastgesteld stelsel van toetsingsnormen voldoet, eventueel (indien gewenst en van toepassing) aangevuld met adviezen om de aangetroffen situatie te verbeteren. Het kernprobleem daarbij is het vaststellen van het stelsel van toetsingsnormen (concretisering van normen) dat bij een specifieke IT-audit-opdracht de toetssteen is. Omdat er (nog) geen sprake is van op specifieke auditopdrachten gerichte (en algemeen aanvaarde) normenstelsels, neemt de IT-auditor meestal zijn toevlucht tot het in gezamenlijk overleg met de belanghebbende vaststellen van het te hanteren normenstelsel. Meestal is voor de belanghebbende de wezenlijke betekenis van dat normenstelsel, in termen van risicobeheersing, onvoldoende duidelijk. III.2.2

Uitgangspunten

De noodzaak van het uitoefenen van de attestfunctie op basis van een normenstelsel staat niet ter discussie. Immers zonder een referentiekader staat elke conclusie van de IT-auditor open voor een individuele interpretatie, wat leidt tot misverstanden. Dit uitgangspunt leidt er niet toe dat normenstelsels per definitie eenduidig toepasbaar en interpretabel zijn. In bepaalde situaties kan het noodzakelijk of wenselijk zijn normen te definiëren die tegemoetkomen aan specifieke omstandigheden. Een dergelijke situatie zal er wel toe leiden dat

39


het gebruik van de uitkomst van een onderzoek op basis van dergelijke specifieke normen doorgaans beperkt zal blijven tot het besloten verkeer (interne domein). Bij normen spelen tenminste de volgende aspecten een rol: •

Objectiviteit: de mate waarin een norm objectief is, bepaalt mede de stelligheid van het oordeel waarin een IT-audit uitmondt (deugdelijke grondslag). In die zin is objectiviteit een belangrijk aspect. Elementen die daarop invloed hebben zijn de persoonlijke beïnvloeding en het opgelegd zijn van normen.

•

Formulering: de IT-auditor moet vaak met de belanghebbende over de normstelling overleggen en dus is de manier van formuleren van invloed op het communicatieproces. Daarom moet aandacht worden geschonken aan elementen als de doelstelling, de eisen, de referentiepunten en het hanteren van richtlijnen.

•

Schaalbaarheid: de kwalitatieve en kwantitatieve meetschaal waarin een norm is uitgedrukt en waaraan de waargenomen werkelijkheid wordt getoetst. Dit is bepalend voor de mate van concreetheid waarmee een IT-auditor zijn oordeel kan formuleren en zijn adviezen kan geven.

•

Geldigheidsgebied of domein: de betekenis van deze classificatie is vooral gelegen in het feit dat er een nauwe samenhang bestaat tussen het abstractieniveau waarmee normenstelsels geformuleerd zijn en het deel van het werkterrein (domein) dat deze stelsels bestrijken. Hoe groter het domein, hoe hoger het abstractieniveau, des te globaler (minder concreet) het oordeel en de advisering van de IT-auditor zullen zijn.

•

Precisering: betreft het abstractieniveau waarop normenstelsels geformuleerd kunnen zijn met als uitersten globaal en gedetailleerd.

•

Gezaghebbendheid: is van invloed op het objectieve gehalte van een normenstelsel en is dus van betekenis voor de onderbouwing (deugdelijke grondslag) van het oordeel van de IT-auditor.

•

Kwaliteitseigenschappen: de mate van concreetheid waarmee een IT-auditor zijn oordeel kan vellen en zijn adviezen kan geven. Dit is gebaseerd op de in het NOREA-geschrift No 1 “IT-auditing aangeduid” ontleende en daar gedefinieerde classificatie.

III.2.3

Metanormen

De overheersende rol die normen in het auditproces vervullen, rechtvaardigt de vraag aan welke normen de normenstelsels op het vakgebied IT-auditing moeten voldoen. Er is dan sprake van zogenoemde metanormen. Metanormen zijn normen waaraan de op het (sub)object gerelateerde normen op het vakgebied van de IT-auditing moeten voldoen. Op basis van datgene wat in de literatuur over dit onderwerp is gevonden, is vooralsnog een eigen aanzet gegeven tot het ontwikkelen van deze metanormen. Metanormen hebben betrekking op: •

Objectiviteit: de mate waarin normen(stelsels) vrij zijn van persoonlijke beïnvloeding;

•

Eenduidigheid: de mate van precisering en eenduidigheid van formulering;

•

Relevantie: de mate waarin normen(stelsels) bruikbaar zijn voor bepaalde audit-opdrachten;

•

Herleidbaarheid: de mate waarin kan worden vastgesteld waaraan normen(stelsels) zijn ontleend;

•

Zorgvuldigheid: de mate waarin het normenstelsel beantwoordt, al dan niet juridisch verankerd, aan de maatschappelijke opvattingen over behoorlijk IT-gebruik.

Het raamwerk onder II.1 is opgesteld op basis van deze metanormen.

40


III.3

Ontwikkeling NOREA-normenstelsels In dit hoofdstuk wordt geschetst op welke wijze de keuze wordt bepaald van de uit te werken objecten en volgens welke stappen de ontwikkeling van een toetsingsnorm plaatsvindt. III.3.1

Keuze te normeren objecten

Het ligt voor de hand om voor de ontwikkeling van de normenstelsels uit te gaan van de in domeinen ingedeelde objecten die in NOREA-geschrift No 1 “IT-auditing aangeduid” (1998) zijn omschreven. Toch meent de commissie dat het verstandig is om bij de vervolgactiviteiten niet al te rigide aan deze indeling en omschrijving vast te houden. Een al te rigide naleving zou er namelijk toe kunnen leiden dat in de dagelijkse praktijk gehanteerde “normenstelsels”, zoals de Code voor informatiebeveiliging, Control Objectives for Information and Related Technology (CobiT), IT Infrastructure Library (ITIL) en ISO-normenstelsels onvoldoende benut worden. “In ruil” voor deze vrijheid behoort bij de beschrijving en afbakening van het IT-object aandacht te worden besteed aan de relatie met de in NOREA-geschrift No 1 en andere toonaangevende publicaties omschreven objecten. Sommige objecten kunnen qua omvang wellicht onhandelbaar blijken in relatie tot een te ontwikkelen normenstelsel. Naarmate een object omvangrijker is, moet er naar worden gestreefd een nadere onderverdeling aan te brengen. Om zo goed mogelijk in te spelen op de actuele behoeften van leden, zal het bepalen en vaststellen van objecten waarvoor normen worden ontwikkeld, verlopen volgens de volgende aanpak: • De objecten waarvoor de meeste belangstelling bestaat worden ter hand genomen. Het aantal objecten waarvoor per jaar een normering kan worden uitgewerkt is afhankelijk van het aantal leden dat bereid is op grond van reeds bij hen aanwezig kennis een of meerdere normen uit te werken. • De keuze van de ter hand te nemen onderwerpen wordt door de Algemene Vergadering gesanctioneerd en gepubliceerd in “De EDP-Auditor”. • Het Bestuur kan om haar moverende redenen een onderwerp toevoegen of anders prioriteren dan de uitkomst van de ledenenquête toont. • Concept-normen worden voorgelegd aan de leden (“green-paper-procedure”). De normen worden vastgesteld door de Algemene Vergadering en daarna als definitieve handreiking aan de leden beschikbaar gesteld. Kenmerkend voor de objecten die zijn bepaald op basis van de voorgestelde procedure is, dat de belangstelling voor een norm niet alleen sterk wordt beïnvloed door nieuwe technologische ontwikkelingen, maar ook door het onderhoud van bestaande producten. Daarbij worden in een aantal gevallen fundamentele aanpassingen gepleegd op producten, die moeten leiden tot aanpassing van reeds ontwikkelde NOREA-normenstelsels. Gezien de omvang van het aantal objecten en de wijzigingen daarin acht de Commissie het een illusie te veronderstellen dat de NOREA in staat is een integrale en actuele set normen voor alle te auditen objecten te ontwikkelen en onderhouden. In III.6 is een opsomming opgenomen van ten tijde van het samenstellen van dit raamwerk actuele objecten. III.3.2

Formuleren normenstelsel

Bij de ontwikkeling van een objectgericht normenstelsel kan een discussie ontstaan over de aard van het betreffende object. Met de aard wordt bedoeld de typering van een object als proces of als procesuitkomst (product). Het onderkennen van het type object is van betekenis voor de termen waarin het desbetreffende normenstelsel behoort te worden geformuleerd. Ingeval het object van het type “procesuitkomst” (product) is, zullen de afzonderlijke normen in

41


termen van de aan de uitkomst te stellen kwaliteitseisen of -aspecten geformuleerd moeten worden. Is het objecttype een “proces”, dan zullen de afzonderlijke normen als noodzakelijke maatregelen moeten worden geformuleerd: het gaat immers om de in en rondom het proces noodzakelijke beheersingsmaatregelen die redelijke zekerheid moeten bieden op het realiseren van de beoogde procesuitkomst. Idealiter zouden normenstelsels waarvan de processen en procesuitkomsten rechtstreeks met elkaar verband houden, gelijktijdig moeten worden ontwikkeld. De Commissie meent echter dat deze ideale situatie in de praktijk niet altijd haalbaar zal zijn en vindt dat de beslissing over de haalbaarheid van deze doelstelling in relatie tot een specifiek object aan de werkgroepen moet worden overgelaten. Informatiebeleid kan als zodanig een proces of procesuitkomst (product) zijn. Ter illustratie is in II.2.1 voor het objecttype “procesuitkomst” de normering voor het object “informatiebeleid” uitgewerkt. De normering betreft de aan de inhoud van het informatiebeleid te stellen eisen, in dit geval uitgedrukt in een normatieve opsomming van de onderwerpen waarover strategische uitspraken nodig zijn. Verder is in II.2.2 een norm inzake e-business-to-business processen als voorbeeld uitgewerkt. III.3.3

Kwaliteitsniveau normenstelsels

In III.2.3 zijn enige metanormen genoemd waaraan de NOREA-normenstelsels getoetst kunnen worden. Behalve de hier bedoelde metanormen is ook het door prof. mr. H. Franken (1997) ontwikkelde beginsel van ‘behoorlijk IT-gebruik’ een toetssteen (zie III.5). Bepalend voor de inhoud van het begrip ‘behoorlijk IT-gebruik’ zijn de, al dan niet juridisch verankerde, maatschappelijke opvattingen. In dat opzicht valt de vergelijking te trekken met beginselen als ‘maatschappelijke zorgvuldigheid’ en ‘behoorlijk bestuur’. Deze terminologie is voor de Commissie aanleiding om het vereiste kwaliteitsniveau van de normenstelsels aan te duiden als ‘behoorlijk’. In het algemeen valt te constateren dat vernieuwende ontwikkelingen in eerste instantie leiden tot een discrepantie tussen datgene wat in het maatschappelijk verkeer als wenselijk of nodig wordt geacht, en de visie van organisaties op deze ontwikkelingen. Organisaties moeten op grond van de maatschappelijke ontwikkelingen hun doelstellingen geregeld bijstellen en hun organisatie (structuur) daarop aanpassen. Die aanpassingen vergen veel inspanningen en brengen veel kosten met zich mee. Organisaties zullen altijd afwachten of trends een blijvend karakter krijgen. Normenstelsels zullen in de praktijk derhalve niet van meet af aan voldoen aan de metanormen. Door de tempoverschillen kunnen de maatschappelijke belangen en die van organisaties op korte termijn uiteen lopen. Op langere termijn bezien blijkt echter dat deze verschillen zijn geëgaliseerd. Dat komt doordat aan de ene kant de scherpe kantjes van het maatschappelijk denken afslijten en aan de andere kant organisaties structurele maatschappelijke denkbeelden en ideeën zullen omarmen om hun voortbestaan veilig te stellen. Zolang de standpunten afwijken ontstaat een discussie over de zorgvuldigheid waarmee partijen met waarden omgaan. Die discussie mondt doorgaans uit in een dispuut over de inhoud van het begrip ‘behoorlijk IT-gebruik’. Ter illustratie is in III.5 weergegeven op welke wijze prof. mr. H. Franken het begrip “behoorlijk IT gebruik” nader invult met behulp van de (deels) ook hiervoor onderscheiden kwaliteitsaspecten. Daarnaast wordt in een analyse het begrip bezien vanuit de adviespraktijk. Bepalend voor de zwaarte van het niveau en de aard van de kwaliteitsbeheersingsmaatregelen zijn:

42


• het belang van het IT-object voor de organisatie; • de potentiële gevolgen van het niet naar behoren functioneren van het IT-object; • de bedreigingen/risico’s waaraan het IT-object bloot staat; • het risico (de kans) op het zich manifesteren van die bedreigingen. De verantwoordelijkheid voor het risicomanagement wordt uit het oogpunt van zorgvuldig ITgebruik nadrukkelijk in het maatschappelijk verkeer onderkend. Zo wordt bijvoorbeeld door De Nederlandsche Bank in de Regeling Organisatie en Beheersing (ROB) gesteld: “De organisatie draagt zorg voor een systematische risico-analyse die gericht is op het identificeren, meten en evalueren van alle risico’s. Het doel van de analyse is om inzicht te krijgen in de risico’s die de organisatie loopt en om vast te stellen of deze in overeenstemming is met de doelstellingen, strategie en beleidsuitgangspunten. Risicoanalyse is een continu proces, waarbij op systematische wijze rekening gehouden dient te worden met: • veranderende interne en externe omstandigheden; • nieuwe producten, diensten en ondersteunende processen; en • toekomstplannen.” Het risicomanagement als bedoeld in de ROB legt als het ware een directe relatie met het vereiste kwaliteitsniveau. In diverse publicaties over normenstelsels en invulling van kwaliteitsaspecten wordt een driedeling (bijvoorbeeld laag, middel, hoog) gehanteerd om aan te geven dat diverse kwaliteits- of beveiligingsniveau’s kunnen worden onderscheiden met elk een bijbehorende aspecten- of maatregelset. De Commissie heeft gemeend een dergelijke indeling niet te moeten hanteren omdat de indeling vaak arbitrair is en per object kan verschillen. Bij de uitwerking van de NOREA-normenstelsels is uitgegaan van het hiervoor genoemde begrip behoorlijk IT-gebruik waarbij géén onderscheid wordt gemaakt in kwaliteitsniveau’s. Verder speelt bij deze afweging mee dat, ondanks situationele verschillen, voor eenzelfde IT-object de bedreigingen dezelfde zijn. Het belang van het IT-object en het risico dat bepaalde bedreigingen manifest worden variëren al naar gelang de omstandigheden en zullen aanleiding vormen voor het invullen van het normenstelsel in een specifieke situatie. Vanzelfsprekend is het zinvol om bij de ontwikkeling van de NOREA-normenstel-sels gelijktijdig die situaties te schetsen die noodzaken tot het stellen van hogere eisen en tot het treffen van strengere en/of aanvullende maatregelen zoals die bij voorbeeld voortvloeien uit de Code voor informatiebeveiliging: 2000.

43


III.4

Gebruik van de NOREA-normenstelsels In dit hoofdstuk wordt aangeduid hoe het normenstelsel zich verhoudt tot de fasen in het auditproces en welke functie het normenstelsel kan vervullen. III.4.1

Plaats van het NOREA-normenstelsel in het auditproces

Doorgaans verloopt het auditproces in het geval van de uitoefening van de attestfunctie als volgt (zie NOREA-studierapport 2): Fase 1:

Fase 2:

Fase 3:

Voorbereiden van het onderzoek. 1.1

Vooronderzoek

1.2

Opdrachtverstrekking/-acceptatie.

Uitvoeren van het onderzoek. 2.1

Initiële beoordeling.

2.2

Bepalen/vaststellen van het toe te passen normenstelsel (‘soll-positie’).

2.3

Vaststellen van de feitelijke situatie (‘ist-positie’).

2.4

Confronteren ‘soll-positie’ versus ‘ist-positie’.

2.5

Evalueren en oordeelsvorming.

Afronden van het onderzoek. 3.1

Opstellen rapportage.

3.2

Evalueren van het onderzoek.

De NOREA-normenstelsels beogen steun te bieden bij de activiteiten: ‘1.2 Opdrachtverstrekking/acceptatie’ en ‘2.2 Bepalen/vaststellen van het toe te passen normenstelsel.’ Bij de activiteit ‘1.2 Opdrachtverstrekking/-acceptatie’ behoort de auditor een indicatie betreffende de bij de audit aan te leggen normen te geven. De uitwerking van die indicatie in toetsbare normen valt onder de activiteit ‘2.2 Bepalen/vaststellen van het toe te passen normenstelsel’. III.4.2

Functie van de NOREA-normenstelsels

Uitgangspunt van de NOREA is dat de belanghebbende instemt met de bij een audit te gebruiken toetsingsnormen. In de praktijk zal de auditor meestal deze normen zelf ontwikkelen en met de belanghebbende afstemmen. Om de auditor bij het proces van normontwikkeling te ondersteunen, worden NOREA-normenstelsels opgesteld. De NOREA-normenstelsels hebben voor de auditor de functie van referentiekader voor de ontwikkeling van een bij een specifieke audit te gebruiken normenstelsel. Het gebruik van NOREA-normenstelsels verhoogt het objectieve gehalte van het normenstelsel (‘soll-positie’), waaraan de geïnterpreteerde feitelijke situatie (‘ist-positie’) wordt afgemeten. Overigens komt het voor dat de belanghebbende zelf de bij de audit in acht te nemen normering aandraagt. In dat geval zal de auditor de toereikendheid van het door de belanghebbende aangedragen normenstelsel moeten beoordelen, waarbij de NOREA-normenstelsels als referentiekader kunnen fungeren. Activiteit 2.2 moet dan worden gelezen als: ‘Beoordelen toereikendheid/aanpassen aangedragen normenstelsel’. Uiteraard is het denkbaar dat er verschil van inzicht blijft bestaan tussen de opdracht-gever en de auditor over het bij de audit te gebruiken normenstelsel. In een dergelijke situatie zal de auditor zich moeten afvragen of onder die omstandigheid er wel sprake is van een rationele opdracht. Op zijn minst zal de auditor het bestaan van dit verschil van inzicht in zijn rapport moeten vermelden, maar bij voorkeur ook in de opdrachtaanvaarding.

44


III.4.3

Ontwikkeling van een auditspecifiek normenstelsel

De bij een specifieke audit toe te passen normen kunnen niet zonder meer uit de NOREAnormenstelsels overgenomen worden. Een auditspecifiek normenstelsel zal tenminste moeten voldoen aan de overkoepelende norm van ‘behoorlijk IT-gebruik’. De objectgerichte NOREAnormenstelsels beogen aan die overkoepelende norm te voldoen, zij het met de complexiteitsreducerende veronderstelling van ‘in de meeste situaties toereikend’. Allereerst behoort de auditor de relevante (delen van) de NOREA-normenstelsels te concretiseren door de normen toe te snijden op de betreffende omgeving en/of het betreffende platform. Voorts dient de auditor na te gaan of er voor de in de auditopdracht begrepen objecten van een ‘normale situatie’ sprake is. Er zijn ten minste zes situaties denkbaar die van invloed zijn op de ontwikkeling van een auditspecifiek normenstelsel, namelijk: • de in de auditopdracht begrepen objecten sluiten niet volledig aan op de objecten waarvoor NOREA-normenstelsels zijn ontwikkeld; • de maatschappelijke opvattingen over het belang van de door de huishouding uitgevoerde processen en de (privacy)gevoeligheid van de daarbij in het geding zijnde gegevens; • de afhankelijkheid van de huishouding van één of meer van de in de audit begrepen objecten is extreem groot; • de branchespecifieke wetgeving, voorschriften en richtlijnen; • de contractuele verplichtingen; • het beleid van de huishouding, vooral betreffende het risicomanagement. III.4.3.1

Afstemmen auditobjecten met NOREA-normenstelsels

In het geval de in de auditopdracht begrepen objecten niet (volledig) aansluiten op de objectgerichte NOREA-normenstelsels, zal de IT-auditor de relevante normen tot een auditspecifiek normenstelsel moeten combineren. III.4.3.2

Maatschappelijke verwachtingen

Vooral bij bedrijven en organisaties met een vitaal maatschappelijk belang verwacht de maatschappij dat de door deze huishoudingen toegepaste en toe te passen informatietechnologie aan stringente kwaliteitseisen voldoet. Voor auditobjecten die zich binnen dergelijke huishoudingen bevinden zal er al gauw sprake zijn van een ‘bovennormale’ situatie omdat zij blootstaan aan de gesel van de publieke opinie. III.4.3.3

Afhankelijkheid

Denkbaar is dat een huishouding in extreme mate afhankelijk is van één of meer in de auditopdracht begrepen auditobjecten. Doorgaans is dat het geval als huishouding de primaire processen zonder deze extreem belangrijke auditobjecten niet kan uitvoeren, waardoor de continuïteit van de huishouding als geheel in het geding is. III.4.3.4

Branchespecifieke wetgeving, voorschriften en aanwijzingen

In de NOREA-normenstelsels worden de algemene wettelijke bepalingen, zoals de Wet bescherming persoonsgegevens (WBP), de Wet computercriminaliteit (WCC) en de Auteurswet verwerkt. Uiteraard behoren bij de opstelling van een auditspecifiek normenstelsel de branchespecifieke wetgeving, voorschriften en richtlijnen in ogenschouw te worden genomen. Voorbeelden van branchespecifieke wetgeving zijn: • Comptabiliteitswet; • Wet bescherming staatsgeheimen; • Wet politieregisters;

45


• Wet gemeentelijke basisadministratie persoonsgegevens; • Wet op de beroepen in de individuele gezondheidszorg; • Wet geneeskundige behandelovereenkomst; • Wet bijzondere opnemingen in psychiatrische ziekenhuizen; • Medische Tuchtwet. Voorbeelden van voorschriften en aanwijzingen zijn: • Voorschrift informatiebeveiliging rijksdienst; • Aanwijzingen voor beveiliging van staatsgeheimen en vitale onderdelen van de rijksdienst; • Mantelcontracten (opgesteld door het ministerie van Binnenlandse Zaken en Koninkrijkrelaties); • Regeling organisatie en beheersing d.d. 29-03-2001 (De Nederlandsche Bank). III.4.3.5

Contractuele verplichtingen

In de NOREA-normenstelsels is uiteraard geen rekening gehouden met contractuele verplichtingen, omdat deze verplichtingen alleen op de betreffende huishouding van toepassing zijn. Bij de ontwikkeling van een auditspecifiek normenstelsel behoort de auditor de relevante contractuele verplichtingen in aanmerking te nemen. Contractuele verplichtingen kunnen onder meer betrekking hebben op: • aanschaf van software (gebruiksrechtovereenkomst dan wel ontwikkelingsovereenkomst e.d.); • aanschaf van hardware (koop- dan wel lease-overeenkomst); • aanschaf van computersystemen (combinatie van hardware-, software- en dienstverleningsovereenkomsten); • onderhoudsovereenkomsten; • raadpleging, externe verwerking en transport van gegevens (overeenkomsten voor het raadplegen van databanken, computerservice-overeenkomsten, overeenkomsten voor gegevenstransport, overeenkomsten voor Electronic Data Interchange e.d.); • automatiseringsadviezen en opleidingen; • ter beschikking stellen personeel; • beheren automatiseringsfaciliteiten (facilities management-overeenkomsten, overeenkomsten voor outsourcing); • computeruitwijk en bewaargeving (overeenkomsten voor computeruitwijk, escrowovereenkomsten e.d.). III.4.3.6

Beleid van de huishouding

Bij de ontwikkeling van auditspecifieke normenstelsels vanuit de objectgerichte NOREAnormenstelsels behoort de auditor ook rekening te houden met de voor de betreffende audit relevante beleidsuitgangspunten en -randvoorwaarden zoals die door de leiding van de huishouding zijn vastgesteld. Van betekenis zijn vooral het beleid wat betreft het risico-management (risicomijdend, risico-neutraal en risico-dragend) en het beleid van verzekeringsmaatschappijen ten aanzien van de vereiste beveiligingsmaatregelen.

46


III.5

Beginselen behoorlijk IT-gebruik De NOREA-normen zijn gedefinieerd op een zodanig niveau dat sprake is van behoorlijk IT-gebruik. In dit hoofdstuk wordt het begrip behoorlijk IT-gebruik geanalyseerd vanuit juridisch en audit perspectief. III.5.1

Juridisch perpectief

Prof. mr. H. Franken (1997) heeft de normen voor ‘behoorlijk ICT-gebruik’ ingedeeld naar wat voor de auditor herkenbaar is als kwaliteitsaspecten. De naamgeving en begripsinhoud van de door Franken gebruikte eisen sporen echter niet geheel met de auditpraktijk. Samengevat komt prof. mr. H. Franken tot de volgende normen (eisen): • Beschikbaarheid - Informatie moet, al dan niet kosteloos, vrij beschikbaar en toegankelijk zijn (artikel 10 EVRM). - De norm van toegankelijk zijn van informatie betekent het definiëren van IT-standaarden (technische, procedurele en inhoudelijke) met betrekking tot de functies van systemen en de wijze van interactie tussen deze systemen. - Bij het gebruik van IT-standaarden behoort de relevante wetgeving betreffende het mededingingsrecht en de intellectuele eigendom te worden nageleefd. •

Vertrouwelijkheid Om redenen van privacybescherming en bedrijfsbelangen (bedrijfsgeheimen, productontwerpen, productiemethoden, strategische informatie e.d.) behoort de toegankelijkheid te worden beperkt tot daartoe geautoriseerde personen. Relevante regelgeving op dit punt is artikel 13 van de Wbp (passende beveiliging) en artikel 138a van het Wetboek van Strafrecht (minimale beveiliging), welk artikel onderdeel is van de Wcc.

•

Integriteit Informatiesystemen behoren juist te functioneren en de gegevens en programma’s moeten correct en volledig zijn. Voor de output van het informatiesysteem gaat het er om dat deze ‘waarheidsgetrouw’ is en dat men op de resultaten mag vertrouwen. Veel informatie wordt niet meer op documenten vastgelegd. Men moet er toch zeker van zijn, dat daardoor geen informatie verdwijnt of veranderd ter beschikking komt. De juistheid en volledigheid, met inbegrip van de actualiteit van de informatie moet bij voortduring vaststaan.

•

Authenticiteit Bij elektronisch berichtenverkeer is het van vitaal belang te kunnen vaststellen of verzonden berichten werkelijk afkomstig zijn van de afzender die zich als zodanig op het scherm presenteert, en terechtkomen bij de juiste geadresseerde. Voorts is het van belang dat de invoergegevens door of namens de ‘echte’ aanvrager zijn verstrekt en dat het juiste programma deze gegevens verwerkt. De vraag naar de formele bewijskracht van computeruitvoer is hier aan de orde.

•

Flexibiliteit - IT-toepassingen behoren aan nieuwe gebruikerseisen en aan veranderde verwerkingsomstandigheden (ander platform, andere locatie e.d.) te kunnen worden aangepast. - Bepaalde informatiesystemen, bijvoorbeeld kennissystemen, behoren een zekere mogelijkheid te bieden tot aanpassing aan individuele omstandigheden.

•

Transparantie De werking van IT-toepassingen moet zichtbaar en voor de gebruiker begrijpelijk, dus controleerbaar kunnen zijn.

47


De hiervoor genoemde normen (eisen) voor de beoordeling van producten van IT en het gebruik daarvan sporen niet steeds met elkaar: • Exclusiviteit of vertrouwelijkheid vormt een uitzondering op de eis van algemene beschikbaarheid van informatie en toegankelijkheid van informatiesystemen. • Individualisering (flexibiliteit) leidt tot vergaande complexiteit van systemen, waardoor de transparantie wordt verminderd. Integriteit en authenticiteit liggen wel op één lijn met de transparantie-eis. Het totale pakket van normen (eisen) moet steeds per informatiesysteem worden bezien. In een individueel geval zal afgewogen moeten worden welke norm (eis) het zwaarste gewicht verdient. Deze afwegingen zijn in de rechtspraktijk gebruikelijk. III.5.2

Audit perspectief

a. De begrippen ‘beschikbaarheid’ en ‘vertrouwelijkheid’ in de betekenis die Franken daaraan toekent, vallen voor de auditor onder het kwaliteitsaspect ‘exclusiviteit’. Voor de auditor is ‘beschikbaarheid’ (continuïteit) de mate waarin daartoe geautoriseerde personen op de beoogde tijdstippen gebruik kunnen maken van informatiesystemen en de daarin opgeslagen informatie met behulp van daartoe bestemde apparatuur en programmatuur. Franken gebruikt daarentegen het begrip ‘beschikbaarheid’ in de betekenis van ‘vrije, maar niet persé kostenloze toegankelijkheid’, i.c. zonder exclusie (uitsluiting). c. De begripsinhoud van ‘integriteit’ zoals door Franken gebezigd, stemt volledig overeen met de betekenis die de auditor daaraan hecht. d. Franken ruimt voor ‘authenciteit’ een aparte plaats in, terwijl dit voor de auditor begrepen is in het kwaliteitsaspect integriteit. Accentuering van de eis van authenciteit is vanuit juridisch perspectief niet verwonderlijk, omdat de formele bewijskracht in het geding is. e. De eis van flexibiliteit zoals door Franken geformuleerd, vertoont sterke gelijkenis met het kwaliteitsaspect ‘beheersbaarheid’, dat tot de vaktaal van de auditor behoort. f. De door Franken beschreven eis van transparantie is vergelijkbaar met het kwaliteitsaspect ‘controleerbaarheid’, waarmee de auditor vertrouwd is.

48


D

DEEL IV: Ontwikkeling normen

IV.1

Instructie ontwikkeling toetsingsnormen

Deze instructie heeft tot doel de NOREA-leden en/of werkgroepen die zich binnen het project Normen en Standaarden richten op het ontwikkelen van toetsingsnormen, te informeren over de “spelregels” die hierbij gelden.

De ontwikkeling van toetsingsnormen wordt aangestuurd door het bestuur. Per object zal door het bestuur een taakopdracht worden verstrekt.

Naar aanleiding van de taakopdracht wordt gerapporteerd aan de Vaktechnische Commissie, die toeziet op de juiste interpretatie van de uitgangspunten, de voortgang van de werkzaamheden, de consistentie tussen de NOREA-normenstelsels en bruikbaarheid in de praktijk. Waar nodig stuurt de Vaktechnische Commissie bij. De Commissie Vaktechniek bewaakt de kwaliteit van de ontwikkelde conceptnormen in relatie tot het kwaliteitsbeleid van de NOREA en adviseert het Bestuur over het starten van de ‘green paper procedure’. IV.1.1

Interpretatie taakopdracht

De werkzaamheden worden gestart met het interpreteren van de taakopdracht. Zonodig wordt met voorstellen tot aanvulling en bijsturing gekomen. Deze voorstellen worden door de Vaktechnische Commissie beoordeeld, waarna de definitieve opdracht wordt vastgesteld. IV.1.2

Verkenning en literatuurstudie

Nadat de Vaktechnische Commissie groen licht heeft gegeven kunnen de werkzaamheden worden voortgezet met een verkenning, inventarisatie en literatuurstudie. Uit de voorhanden zijnde definities moet een bewuste keuze worden gemaakt. Uitgangspunt is dat de normen moeten zijn gericht op een zo breed mogelijke toepassing. Daardoor zullen normen veelal een globaal karakter hebben. Specifieke opmerkingen en aanwijzingen die in relatie tot een norm kunnen worden onderkend, zullen ter illustratie aan de norm worden toegevoegd. IV.1.3

Review- en goedkeuringsprocedure

Indien de werkzaamheden zijn afgerond, reviewt de Vaktechnische Commissie de conceptnorm. Indien de Vaktechnische Commissie de inhoud, al dan niet geamendeerd op basis van de review, aanvaardt, vindt publicatie van de NOREA-norm op het besloten deel van de website van NOREA plaats in de vorm van een ‘green paper’. Een jaar na de publicatie als ‘green paper’ stelt het bestuur de NOREA-toetsingsnorm vast als handreiking aan de leden. Het secretariaat van de NOREA zorgt voor publicatie op de openbare deel van de website van de NOREA als zogenaamd ‘white paper’. Het bestuur neemt de nodige publicitaire activiteiten voor haar rekening (lezingen, artikelen, persbericht, publicatie op het openbare deel van de website). Blijkt de norm in de praktijk een zekere waarde te hebben, dan kan door het bestuur aan de Algemene Vergadering worden voorgesteld die om te zetten in een NOREA-standaard. IV.1.4

Permanente educatie

Het uitvoeren van werkzaamheden in het kader van de ontwikkeling van NOREA-normenstelsels en -standaarden kan worden aangemerkt als een activiteit in het kader van de voor RE’s verplichte permanente educatie conform artikel 4c, lid 2 en 3 van de Richtlijn Permanente Educatie (evenals de toelichting daarop).

49


IV.2

Mogelijke onderwerpen voor normen • Betaling via internet • Beveiligingsbeleid • Business continuity management • Continuiteitsmanagement • Cryptografische toepassingen • Distributiemanagement • Elektronische werkplekbeveiliging • Firewall • Implementatie ERP-systemen • Informatiearchitectuur • Internet, intranet en beveiliging – technisch en organisatorisch kader • Intrusion detection • Linux • Netwerkbeveiliging • Outsourcing contractuele (beveilgings)-aspecten in een klant –leverancierrelatie • Projectmanagement • Quality Assurance bij systeemontwikkeling • Rappid Application Development • Risicomanagement van ICT-projecten • Service level agreement • Software configuration management • Technische beveiligingsstandaard Windows NT • Testen • Trusted Third Party’s • Uitwijk

50


B Bijlage

B.1

Geraadpleegde literatuur

• NOREA-geschrift No 1: IT-auditing aangeduid - 1998 • NOREA-studierapport nr 2: Een kwaliteitsmodel voor Register EDP-auditors – de eerste stap 1997

• Normbesef; L. Annokkée RE en B. Sebregts RE – Compact 1996/1 • Kwaliteitsnormen bij EDP auditing – een kritische beschouwing; inaugurele rede prof. H.B. Moonen 27-09-91

• Gedrags- en Beroepsregels Register EDP-auditors • Recht en computer; prof. mr. H. Franken e.a. – Kluwer 1997 • IEEE Standards Collection

• Handleiding ZekeRE-business, NOREA 2001

51


52


53


54


Raamwerk voor ontwikkeling normenstelsels en standaarden

Recommend Documents