Rapportage IT Risk Control

Rapportage IT Risk Control

Algemene beheersmaatregelen IT

Voorbeeld B.V.

Voorbeeld BV Rapportage

1 van 22

Klantgegevens: Bedrijfsnaam Afdeling Adres Telefoonnummer E-mail Naam invuller / contactpersoon Functie

: : : : : : :

Voorbeeld BV Rapportage

2 van 22

Voorbeeld B.V. Straat 123 Amsterdam 012-3456789 [email protected] Dhr Pietersen Controller

Inhoudsopgave 1. Algemeen ..................................................................................................................... 4 1.1 Inleiding .................................................................................................................... 4 1.2 Opzet inventarisatie .................................................................................................... 4 1.3 Objecten inventarisatie ................................................................................................ 4 1.4 Uitvoering inventarisatie .............................................................................................. 4 1.5 Uitkomsten inventarisatie............................................................................................. 4 2. Managementsamenvatting ........................................................................................... 5 2.1 Inleiding .................................................................................................................... 5 2.2 Automatiseringsomgeving ............................................................................................ 5 2.3 Werkwijzen ................................................................................................................ 5 2.4 Beheersmaatregelen.................................................................................................... 6 2.5 Conclusie ................................................................................................................... 6 2.6 Aanbevelingen ............................................................................................................ 7 3. Detailbevindingen ........................................................................................................ 8 3.1 Inleiding .................................................................................................................... 8 3.2 Afstemming informatievoorziening op de bedrijfsbehoefte ................................................ 9 3.3 Risicobeheer .............................................................................................................. 10 3.4 Wijzigingenbeheer ...................................................................................................... 12 3.5 Continuïteitsbeheer .................................................................................................... 13 3.6 Systeembeveiliging .................................................................................................... 16 3.7 Gegevensbeheer ........................................................................................................ 18 3.8 Beheer fysieke omgeving ............................................................................................ 21 4. Bijlagen ...................................................................................................................... 22

Voorbeeld BV Rapportage

3 van 22

1. Algemeen 1.1 Inleiding In het kader van de accountantscontrole beheersmaatregelen bij Voorbeeld BV

is

een

inventarisatie

uitgevoerd

van

de

IT-

Het doel van de inventarisatie is inzicht te krijgen in de aard en kwaliteit van de beheersmaatregelen die door Voorbeeld BV zijn getroffen, om de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking te kunnen waarborgen. 1.2 Opzet inventarisatie De opzet van de inventarisatie is gericht op het verkrijgen van inzicht in: de aard en het belang van de automatiseringsomgeving voor de bedrijfsvoering van Voorbeeld BV; de gehanteerde werkwijzen; de aanwezigheid van concrete beheersmaatregelen, ter ondersteuning van de werkwijzen. 1.3 Objecten inventarisatie Voor de inventarisatie is een aantal IT-processen geïdentificeerd die relevant zijn in het kader van de accountantscontrole. Dit betreft de processen die direct in relatie staan tot de kwaliteitsaspecten: integriteit (juistheid en volledigheid), vertrouwelijkheid, beschikbaarheid en betrouwbaarheid van de geautomatiseerde gegevensverwerking en de daarvan afgeleide informatievoorziening en verslaglegging. Dit betreft: • Afstemming informatievoorziening op de bedrijfsbehoefte; • Risicobeheer; • Wijzigingenbeheer; • Continuïteitsbeheer; • Systeembeveiliging; • Gegevensbeheer; • Beheer fysieke omgeving. 1.4 Uitvoering inventarisatie De inventarisatie is uitgevoerd door middel van een self-assessment, op basis van een digitale vragenlijst. De vragenlijst is door een, door Voorbeeld BV aangewezen, medewerker ingevuld, waarna de uitkomsten zijn verwerkt en geïnterpreteerd. 1.5 Uitkomsten inventarisatie In het uit: • • •

navolgende zijn de uitkomsten van de inventarisatie gepresenteerd. De uitkomsten bestaan Managementsamenvatting; Detailbevindingen; Bijlage(n).

Voorbeeld BV Rapportage

4 van 22

2. Managementsamenvatting 2.1 Inleiding In deze managementsamenvatting worden de belangrijkste uitkomsten van de inventarisatie op hoofdlijnen beschreven. Achtereenvolgens wordt ingegaan op de automatiserings-omgeving, de gehanteerde werkwijzen en de beheersmaatregelen zoals deze door Voorbeeld BV zijn getroffen. Tot slot zijn in het onderdeel conclusie de uitkomsten vertaald naar interpretaties voor zowel Voorbeeld BV als de accountant.

2.2 Automatiseringsomgeving De automatiseringsomgeving wordt door Voorbeeld BV als volgt getypeerd: - Het management is actief betrokken bij de automatisering en heeft een sterk bewustzijn van het belang en risico's; - De primaire bedrijfsvoering en bedrijfsprocessen kunnen niet zonder automatisering; - De beschikbaarheid en werking van de automatisering is erg belangrijk voor derden, zoals bijvoorbeeld klanten en/of leveranciers; - De huidige systemen voldoen aan de wensen; - De automatiseringsomgeving is redelijk complex; - De systemen zijn stabiel; - De automatiseringsomgeving is erg dynamisch en er worden voortdurend wijzigingen doorgevoerd. Het aantal geautomatiseerde werkplekken bij Voorbeeld BV is 138, op een totaal van 112 fte’s ofwel 123%. 2.3 Werkwijzen Figuur 1 geeft de niveau’s van werkwijzen weer zoals deze, door Voorbeeld BV, op basis van een aantal beschrijvingen van mogelijke werkwijzen zijn aangeduid.

Voorbeeld BV Rapportage

5 van 22

2.4 Beheersmaatregelen Op basis van de aangegeven werkwijzen is, voor elk proces, op basis van een aantal relevante beheersmaatregelen gevraagd aan te geven, of de betreffende beheersmaatregelen concreet aanwezig zijn. Tabel 1 toont de uitkomsten. Tabel 1: Relatieve beheersmaatregelen Proces

Niveau

Ja

Informatievoorziening

5

100

0

0

0

Risicobeheer

2

67

33

0

0

Wijzigingenbeheer

4

100

0

0

0

Continuïteitsbeheer

3

70

30

0

0

Systeembeveiliging

4

82

18

0

0

Gegevensbeheer

5

50

50

0

0

Beheer fysieke omgeving

5

100

0

0

0

Legenda: Ja % Nee % Nb % Ng %

Nee

Nb

Ng

aanwezige beheersmaatregelen niet aanwezige beheersmaartregelen waarbij niet is aangegeven of de beheersmaatregel aanwezig is niet gestelde vragen omdat het proces niet aanwezig is

2.5 Conclusie Aan de kwaliteit van de IT-processen kan/hoeft niet in elke organisatie hetzelfde belang te worden toegekend. Om deze reden kunnen geen eenduidige en absolute normeringen worden gehanteerd waaraan de kwaliteit van de IT-processen, bij Voorbeeld BV, eenduidig en absoluut kan worden getoetst. Mede hierdoor is het niet mogelijk om een eenduidige en absolute conclusie te geven. De inventarisatie geeft echter wel een goed bruikbare indicatie over de aard en kwaliteit van de getroffen beheersmaatregelen. De inventarisatie heeft hierbij de functie vervult van het systematisch, verzamelen en structureren van informatie en het identificeren van mogelijke relevante aandachtspunten. Navolgend worden de uitkomsten van de inventarisatie nader geïnterpreteerd en toegelicht. De details van de uitkomsten van de inventarisatie zijn opgenomen in hoofdstuk 3. Interpretatie voor Voorbeeld BV Voor een adequate beheersing van de automatiseringsomgeving is het voor Voorbeeld BV, van belang dat een zeker evenwicht bestaat tussen de typering van de automatiseringsomgeving, de gevolgde werkwijzen en de mate waarin de werkwijzen worden ondersteund door daadwerkelijk getroffen beheersmaatregelen. De onderbroken (rode) en doorlopende (groene) verticale lijnen in figuur 1 geven respectievelijk de ondergrens en bovengrens aan, van het niveau van de werkwijzen, dat mag worden verwacht. De door Voorbeeld BV aangegeven typeringen van de automatiseringsomgeving zijn hierbij als uitgangspunt genomen. Voor Voorbeeld BV geven de lijnen een indicatie of het bedoelde evenwicht aanwezig is. Hierbij geldt wel dat de aangegeven werkwijzen ook daadwerkelijk dienen te worden ondersteund door getroffen beheersmaatregelen. Naarmate door Voorbeeld BV een hoger niveau is aangegeven mag worden verwacht dat het hogere niveau wordt ondersteund door een relatief hogere score in de kolom ‘Ja’ van figuur 2. Indien, in relatie tot het aangegeven niveau, een relatief lage score in de kolom ‘Ja’ wordt behaald, kan dit betekenen dat Voorbeeld BV, wellicht ten onrechte, in de veronderstelling verkeerd dat het beheersproces op het aangegeven niveau is georganiseerd. In algemene zin geldt dat bij een niveau van 3 of meer een score van circa 70% of meer mag worden verwacht in de kolom ‘Ja’.

Voorbeeld BV Rapportage

6 van 22

Interpretatie voor de accountant Vanuit het belang van de accountant dienen de werkwijzen, met het oog op de betrouwbaarheid van de geautomatiseerde gegevensverwerking en daarvan af te leiden informatievoorziening en verslaglegging, op een zeker niveau te zijn ingevuld. Daarnaast dienen de werkwijzen aantoonbaar te worden ondersteund door getroffen maatregelen. Het door Voorbeeld BV aangegeven, ongewogen gemiddelde is niveau 4,0. De gemiddelde ongewogen scores op de detailvragen zijn respectievelijk: 81% (ja), 19% (nee), 0% (niet beantwoord) en 0% (niet gesteld). Niveau 3 kan worden beschouwd als het na te streven niveau. Bij dit niveau zijn processen operationeel, gedocumenteerd en zijn de verbandhoudende taken, verantwoordelijkheden en bevoegdheden gecommuniceerd. Niveau 3 biedt een goede basis voor het (nader) toetsen van het feitelijk bestaan en een (verdere) beoordeling van de inhoudelijke kwaliteit van de werkwijzen. In algemene zin geldt dat bij niveau 3 een score van circa 70% of meer mag worden verwacht. Uiteraard dient hierbij de eerder genoemde typering van de automatiseringsomgeving bij Voorbeeld BV mede in ogenschouw te worden genomen. 2.6 Aanbevelingen De uiteindelijke interpretatie en oordeelsvorming over de uitkomsten van deze inventarisatie zullen per situatie dienen plaats te vinden. Om deze reden is het aan te bevelen de uitkomsten in een breder perspectief te plaatsen door deze te bespreken met het management. Afhankelijk van de uitkomsten van de bespreking met het management kan vervolgens worden overwogen een nader gericht onderzoek te laten uitvoeren naar een of meerdere deelaspecten.

Voorbeeld BV Rapportage

7 van 22

3. Detailbevindingen 3.1 Inleiding Hoofdstuk 3 geeft een overzicht van de detailbevindingen. Hierbij worden de resultaten per ITbeheerproces beschreven. Daarbij is onderstaande leeswijzer van toepassing: Leeswijzer detailbevindingen:

Belang algemeen Geeft een beschrijving van het belang van het proces vanwege de invloed op de kwaliteitsaspecten: integriteit (juistheid en volledigheid), vertrouwelijkheid, beschikbaarheid en betrouwbaarheid van de geautomatiseerde gegevensverwerking en de daarvan afgeleide informatievoorziening en verslaglegging. Typering vanuit omgeving Vanuit de door Voorbeeld BV aangegeven typering van de automatiseringsomgevingen worden hier punten onder de aandacht gebracht die van belang kunnen zijn om de detailbevindingen in het juiste perspectief te kunnen plaatsen. Huidige werkwijze Een beschrijving van de werkwijze waarvan door Voorbeeld BV is aangegeven dat deze het beste overeenkomt met de bij Voorbeeld BV gehanteerde werkwijze. Detailvragen De detailvragen en antwoorden. Voor het presenteren van de antwoorden wordt gebruik gemaakt van de volgende symbolen:


  

De beheersmaatregel is aanwezig De beheersmaatregel is niet aanwezig De vraag over de beheersmaatregel is niet beantwoord De vraag over de beheersmaatregel is niet gesteld vanwege de aangegeven werkwijze

Bij elke vraag wordt cursief gedrukt een korte toelichting gegeven op het belang van de beheersmaatregel. Hoe: Op basis van de antwoorden worden, waar relevant, mogelijke actiepunten beschreven. Deze geven aan op welke wijze de genoemde beheersmaatregel gerealiseerd kan worden. Hierbij geldt het volgende: Als de beheersmaatregel niet aanwezig is of de vraag is niet beantwoord worden mogelijke actiepunten beschreven. Als de beheersmaatregel aanwezig is of de vraag is niet gesteld omdat de aangegeven werkwijze onder een bepaald niveau ligt worden de actiepunten niet beschreven. De reden om actiepunten niet te beschrijven is voorkomen dat het management wordt overspoeld met actiepunten die al zijn gerealiseerd of waar Voorbeeld BV, gelet op de aangegeven werkwijze, (nog) niet aan toe is. Opmerking: De beschreven actiepunten zijn geen limitatieve of absolute opsomming. Ze zijn uitsluitend bedoeld als indicatie hoe de beheersmaatregel gerealiseerd kan worden. Afhankelijk van de diverse belangen en het ambitieniveau zal Voorbeeld BV hierin een eigen keuze dienen te maken.

Voorbeeld BV Rapportage

8 van 22

3.2 Afstemming informatievoorziening op de bedrijfsbehoefte Belang algemeen Voor een optimale benutting van de mogelijkheden dient de informatievoorziening te worden afgestemd op de bedrijfsbehoefte. Dit omvat onder andere het opstellen van regels over de betekenis en gebruik van gegevens(verzamelingen), gegevensclassificatie en beveiligingsniveaus. Het beheer van de informatievoorziening verbetert de kwaliteit van managementbeslissingen doordat de zekerheid over juist en betrouwbaar gebruik van informatie toeneemt. Belang vanuit typering niet van toepassing Omdat derden (deels) betrokken zijn bij het beheer is het van belang om interne en externe taken en verantwoordelijkheden nauwkeurig op elkaar af te stemmen en eenduidig vast te leggen. Verder is het van belang om periodiek verantwoording door de derde te laten afleggen over uitgevoerde taken, activiteiten en de hiermee verband houdende prestatie-indicatoren en vergoedingen. Huidige werkwijze Automatisering wordt op consistente wijze ingezet en gebruikt in alle lagen van de organisatie. Het belang van het benutten van de mogelijkheden wordt voortdurend benadrukt. IT-personeel heeft de kennis en expertise om een robuuste en passende automatisering te realiseren. De informatie wordt consistent en organisatiebreed toegepast. Best practices uit de branche wordt benut voor het continue verbeteren.

Detailvragen:


Is vastgelegd met welke automatiseringsoplossingen de processen worden ondersteund? Het informatiemodel is vooral van belang bij de ontwikkeling en implementatie van systemen en faciliteert het consistente gebruik en delen van informatie.


Is de gegevens- en datastructuur eenduidig vastgelegd? In het databeheermodel is vastgelegd welke gegevens aanwezig zijn en hoe die dienen te worden gebruikt. Hierdoor wordt hergebruik van gegevens tussen applicaties en systemen en IT-medewerkers en gebruikers eenvoudiger.


Zijn de gegevens in uw organisatie geclassificeerd? Classificatie van gegevens omvat de mate van gevoeligheid van informatie, maar ook wie eigenaar is, beveiligingsniveaus en informatie over opslag en vernietiging. De classificatie wordt gebruikt om op efficiënte wijze beschermende maatregelen te kunnen treffen.


Heeft u procedures geïmplementeerd die de integriteit van gegevens moeten waarborgen? De integriteit van gegevens is van belang voor een betrouwbare informatievoorziening.

Voorbeeld BV Rapportage

9 van 22

3.3 Risicobeheer Belang algemeen Risicobeheersing is gericht op het maken en onderhouden van een raamwerk voor beheersing van ITrisico´s. In het raamwerk kan een algemeen geaccepteerd risico-niveau worden vastgelegd, welke strategie wordt gevolgd om risico's te beheersen en geaccepteerde restrisico's. Iedere mogelijke ongeplande gebeurtenis die een impact heeft op de doelstellingen van de organisatie zou moeten worden vastgesteld en moeten worden beoordeeld. De resultaten van de risicoanalyses dienen te worden gedocumenteerd op zodanige wijze dat deze begrepen kunnen worden door het management en belanghebbenden en gekwantificeerd kunnen worden afgewogen tegen de bedrijfsbelangen. Mogelijke aandachtspunten De huidige systemen voldoen aan de wensen. Een directe behoefte aan de vervanging van de bestaande systemen is er niet. Om ook in de toekomst de systemen te laten voldoen is het evenwel van belang om alert te zijn op de dynamiek van de bedrijfsvoering en de marktomgeving. Dit kan leiden tot een snellere noodzaak van vervanging dan nu wellicht wordt verondersteld. Hierbij dient tevens rekening te worden gehouden met de benodigde doorlooptijd voor selectie en implementatie van een vervangend systeem. Huidige werkwijze Een aanpak voor het inventariseren en beoordelen van risico's is in ontwikkeling en geïmplementeerd. De aanpak staat nog wel in de kinderschoenen. Risicobeheersing is meestal op een hoog abstractieniveau en wordt alleen bij belangrijke projecten uitgevoerd of in reactie op voorgekomen probleemsituaties. Procedures om tegenmaatregelen te treffen worden pas uitgewerkt als risico's zijn vastgesteld.

Detailvragen:


Is risicobeheersing inzake IT geïntegreerd met de beheersing van de bedrijfsrisico's? Onderling afstemmen van IT- en algemene bedrijfsrisicobeheersing zodat effectief en efficiënt omgegaan kan worden met risico's en tegenmaatregelen.

 Heeft u een raamwerk voor risicoanalyse in gebruik? Het raamwerk geeft aan op welke wijze risicoanalyses moeten worden uitgevoerd, zodat de resultaten consistent zijn en de bruikbaarheid wordt vergroot. Hoe: ● Hanteer een raamwerk voor het identificeren van risico's en het vaststellen en beoordelen van risicolimieten en risicotoleranties. ● Evalueer risico's kwalitatief op basis van impact (catastrofaal, kritisch, marginaal), de waarschijnlijkheid (zeer zeker, zeer, onwaarschijnlijk) het tijdsschema (onmiddellijk, korte termijn, lange termijn) en kwantificeer deze zo mogelijk. ● Prioriteer risico's aan de hand van criteria en impact. ● Onderzoek de waarschijnlijkheid van belangrijke risico's. ● Maak IT-risico management onderdeel van de (bredere) corporate governance activiteiten.


Wordt bij het bepalen van de risico's rekening gehouden met de mogelijke impact van de gevolgen? Van belang om vast te kunnen stellen wat de impact is van risico's. Bijvoorbeeld juridisch, technisch, reputatie, personeel en operationeel.


Voorbeeld BV Rapportage

10 van 22

Beoordeelt u vastgestelde risico's naar waarschijnlijkheid en consequenties? Beschikken over inzicht in relevante risico's en hiermee samenhangende consequenties en waarschijnlijkheid hiervan.


Neemt u maatregelen tegen risico's en documenteert u deze? Het door middel van maatregelen reduceren van vastgestelde risico's tot een voor de organisatie acceptabel niveau. Hierbij kan gedacht worden aan voorkomen van risico's, verkleinen van de kans of de impact van een risico, overdragen van risico's.

 Heeft u een risico-actieplan en wordt dit onderhouden? In het actieplan kunnen prioriteiten worden vastgesteld zodat voorgestelde maatregelen naar mate van belang worden uitgevoerd. Hierdoor wordt bewuster met IT-kosten omgegaan en wordt vooral geïnvesteerd in die zaken waarvan de baten het hoogst zijn. Hoe: ● Maak het uitvoeren van een risicoanalyse tot een vast onderdeel van alle relevante beslissingen inzake IT-investeringen, projecten en ingrijpende wijzigingen.

Voorbeeld BV Rapportage

11 van 22

3.4 Wijzigingenbeheer Belang algemeen Alle wijzigingen, inclusief noodmaatregelen en -patches, op de operationele infrastructuur en applicaties dienen beheerst te worden doorgevoerd. Beheerste doorvoering van wijzigingen betekent dat wijzigingen worden geregistreerd, beoordeeld en goedgekeurd voordat de wijzigingen worden doorgevoerd. Na afloop worden de doorgevoerde wijzigingen gecontroleerd. Dit minimaliseert het risico van een verstoring op de stabiliteit en integriteit van de operationele omgeving. Belang vanuit typering Frequente wijzigingen kunnen de stabiliteit van de systemen aantasten. Het is daarom van belang te beschikken over een gestructureerd wijzigingenbeheer waarbij wijzigingen op een geplande en beheerste wijze worden doorgevoerd om mogelijke verstoringen te beperken cq. te voorkomen. Huidige werkwijze De procedure voor het beheer van wijzigingen is ontwikkeld en wordt bij alle wijzigingen ook gevolgd. Het management heeft voldoende vertrouwen dat er slechts minimale uitzonderingen zijn op de procedure. Wijzigingenbeheer is efficiënt en effectief, maar steunt nog wel in belangrijke mate op handmatige activiteiten om te zorgen dat de beoogde kwaliteit wordt gehaald. Alle wijzigingen worden onderworpen aan een gedegen analyse van planning en impact om de kans op storingen en fouten te minimaliseren. Na beoordeling vindt formele goedkeuring van de wijziging plaats. Documentatie van wijzigingen is volledig en juist, evenals de documentatie van de configuraties. De procedures voor wijzigingenbeheer worden steeds beter geïntegreerd in de bedrijfsprocessen. Er is een toenemende coördinatie van IT-wijzigingen en herontwerp van bedrijfsprocessen.

Detailvragen:


Heeft u procedures voor wijzigingenbeheer vastgesteld? Wijzigingsprocedures zorgen voor een uniforme afhandeling van wijzigingen op applicaties, procedures, processen, systemen, enz.


Worden wijzigingen beoordeeld op impact, prioriteit en noodzakelijke goedkeuring voordat deze worden doorgevoerd? Een gestructureerde analyse van impact, prioriteit en bijbehorende goedkeuring minimaliseert de kans op fouten of storingen bij wijzigingen.


Zijn voor spoedwijzigingen procedures aanwezig? Noodwijzigingen vereisen speciale aandacht en procedures om achteraf alsnog de wijziging te kunnen beoordelen en eventueel te kunnen corrigeren.


Worden status en resultaten van wijzigingen gerapporteerd? Wijzigingen moeten gevolgd kunnen worden door de betrokkenen. Rapportage maakt het mogelijk proactief bij te sturen in de planning, capaciteit en prioriteit.


Worden wijzigingen gedocumenteerd en wordt de systeemdocumentatie ook aangepast? Door middel van documenteren van wijzigingen in zowel de systeem- als de gebruikersdocumentatie waarborgen dat steeds kan worden beschikt over actuele systeembeschrijvingen.

Voorbeeld BV Rapportage

12 van 22

3.5 Continuïteitsbeheer Belang algemeen Het waarborgen van de continue beschikbaarheid van de IT-voorzieningen vereist het ontwikkelen, onderhouden en testen van continuiteitsplannen, het opslaan van backup op een externe lokatie en het periodiek trainen op de werking van de plannen. Belang vanuit typering Een verstoring in de IT-voorzieningen zal direct leiden tot stagnatie van een of meerdere primaire bedrijfsprocessen. Deze directe en onverbrekelijke afhankelijkheid maakt het noodzakelijk te beschikken over hierop afgestemde IT-continuïteitsvoorzieningen. Bij eventuele verstoringen zullen derden direct hinder kunnen ondervinden. Dit kan leiden tot aantasting van het imago, extra kosten en mogelijk tot gevolgschade. Bij het bepalen van de beschikbaarheidseisen dient hiermee in het bijzonder rekening te worden gehouden door het uitvoeren van een bedrijfsimpactanalyse en de noodvoorzieningen hierop af te stemmen. De huidige systemen zijn stabiel. Stabiele systemen duiden op weinig of slechts kleine storingen. Dit is positief. Tegelijkertijd kan de afwezigheid van storingen leiden tot een minder alerte houding ten aanzien van de te volgen handelswijze, ingeval zich wel een storing voordoet. Het is daarom van belang te kunnen beschikken over op de bedrijfsbelangen afgestemde IT-continuïteitsvoorzieningen. Huidige werkwijze De verantwoordelijkheid voor continuïteit is ondubbelzinnig vastgesteld. Verantwoordelijkheden voor planning en testen zijn daarbij toegewezen. Het continuïteitsplan is gedocumenteerd en gebaseerd op kritische systemen en de impact daarvan op de bedrijfsprocessen. Periodiek wordt over het testen van de continuïteitsplanning gerapporteerd. De noodzaak van waarborging van continuïteit wordt door het management regelmatig gecommuniceerd. De maatregelen zijn afgestemd op het bedrijfsbelang van de systeemcomponenten. Een overzicht van kritische systemen en componenten wordt actueel onderhouden.

Detailvragen:

 Past u een raamwerk voor continuïteitsbeheer toe? Beschikken over een raamwerk op basis waarvan de vereiste robuustheid van de IT- voorzieningen en continuïteitsplannen kunnen worden vastgesteld. Hoe: ● Leg rollen en verantwoordelijkheden vast voor het ontwikkelen van een IT continuïteitsraamwerk en het vaststellen van regels, het goedkeuren, documenteren en implementeren. ● Ontwikkel een IT-continuïteitsbeleid en -filosofie die aansluiten bij de bedrijfsbehoeften en continuïteitsbehoeften van de organisatie. Houd hierbij rekening met wettelijke eisen en ´good practices´ bij vergelijkbare organisaties. ● Wijs functionarissen aan die verantwoordelijk zijn voor het onderhoud en actualiseren van het raamwerk. ● Zorg dat de IT-continuïteitsplannen zijn afgestemd op de bedrijfsbehoefte en -belangen. Stel de behoefte vast op basis van een gedetailleerde bedrijfsimpactanalyse en vastgestelde herstelbehoefte.


Zijn continuïteitsplannen opgesteld? Het continuïteitsplan minimaliseert de impact van een grote verstoring in de IT-voorzieningen op de bedrijfskritische processen en IT-systemen. In het plan is onder andere opgenomen welke alternatieven voorhanden zijn, wat de kritische IT-diensten zijn en welke procedures worden gevolgd.


Voorbeeld BV Rapportage

13 van 22

Zijn kritische IT-middelen en personen vastgesteld? Door in het continuïteitsplan de aandacht te concentreren op de kritische IT-middelen en personen wordt doelmatigheid ingebouwd en kunnen prioriteiten worden vastgesteld in noodscenario's.


Wordt het continuïteitsplan jaarlijks onderhouden? Het continuïteitsplan moet periodiek worden onderhouden zodat het blijft aansluiten bij de behoefte van de organisatie en de wijzigingen in de IT-infrastructuur.


Wordt het continuïteitsplan jaarlijks getest? Regelmatig testen van het plan maakt het mogelijk om tijdig tekortkomingen te signaleren en de plannen hierop aan te passen, zodat steeds kan worden beschikt over een werkend plan.

 Worden alle betrokkenen getraind in de procedures en plannen ten aanzien van continuïteit? Alle betrokkenen zouden op de hoogte moeten zijn van de inhoud van het continuïteitsplan en de gang van zaken bij een noodgeval. Hoe: ● Zorg dat het betrokken personeel goed op de hoogte is van het herstelplan en hun specifieke rol en taken. ● Bevorder actief het IT-continuïteitsbewustzijn. Dit om zeker te stellen dat betrokken managers, staf en andere belanghebbenden bewust blijven van de noodzaak en hun rol daarin.

 Is het continuïteitsplan verspreid onder alle betrokkenen? Een doordacht verspreidingsplan inclusief communicatie over het plan waarborgt dat alle betrokkenen op de hoogte zijn wat te doen bij een noodgeval. Hoe: ● Zorg bij wijzigingen dat de exemplaren van de vorige versie van het plan worden verzameld en vernietigd, conform de richtlijnen voor vernietiging van vertrouwelijke informatie.


Is een planning gemaakt van de volgorde waarin IT-activiteiten hersteld moeten worden in geval van calamiteit? Beschikken over een planning en aanpak die voorkomen dat bij herstel na calamiteiten onvoldoende rekening is gehouden met onderlinge afhankelijkheden. Dit kan zowel de IT als de bedrijfsvoering betreffen.


Worden back-ups ook op een externe lokatie opgeslagen? Opslag van belangrijke back-upmedia, documentatie en andere IT-hulpmiddelen op een externe locatie waarborgt de beschikbaarheid van bedrijfskritische middelen en -gegevens.

Voorbeeld BV Rapportage

14 van 22


Worden herstelactiviteiten na een storing altijd geëvalueerd? Het benutten van de opgedane ervaringen bij herstelactiviteiten en verbeteren (bijstellen) van de continuïteitsplannen zodat deze weer zijn afgestemd op de ervaringen.

Voorbeeld BV Rapportage

15 van 22

3.6 Systeembeveiliging Belang algemeen De noodzaak om de integriteit van informatie te waarborgen en de IT-middelen te beschermen maakt een proces van systeembeveiliging noodzakelijk. Dit omvat het vaststellen en onderhouden van ITbeveiligingsrollen en -verantwoordelijkheden, beveiligingsbeleid, standaards en procedures. Het betreft ook het monitoren van informatiebeveiliging en de periodieke toetsing en implementatie van correctieve maatregelen indien zwakheden in de beveiliging zijn aangetroffen of beveiligingsincidenten zich hebben voorgedaan. Effectieve systeembeveiliging beschermt alle IT-middelen zodat het risico van impact op de bedrijfsprocessen wordt geminimaliseerd. Huidige werkwijze De verantwoordelijkheid voor informatiebeveiliging is helder toegewezen en consistent doorgevoerd. Beveiligingsrisico's worden geanalyseerd. Beveiligingsbeleid en -procedures worden uitgewerkt, waarbij rekening wordt gehouden met een basis beveiligingsniveau. Gebruikersidentificatie, -authenticatie en autorisatie zijn gestandaardiseerd. Beoordeling van de informatiebeveiliging vindt plaats volgens formele procedures en leidt tot verbetering van het niveau van informatiebeveiliging. Rapportage over informatiebeveiliging is gekoppeld aan bedrijfsdoelstellingen.

Detailvragen:


Is informatiebeveiliging benoemd in de portefeuilles van topmanagement? Het management van informatiebeveiliging dient voldoende hoog in de organisatie te zijn verankerd, zodat de beslissingen over informatiebeveiliging aansluiten bij de bedrijfsdoelen en -behoeften.


Is een informatiebeveiligingsplan opgesteld? Het informatiebeveiligingsplan bevat de informatiebehoeften, IT-configuraties, informatie over risicoanalyses en maatregelen waardoor doelgericht gewerkt kan worden aan het verbeteren van informatiebeveiliging.


Zijn procedures opgesteld voor gebruikersbeheer? Alle gebruikers en hun activiteiten op IT-systemen zouden uniek identificeerbaar moeten zijn. Rechten van gebruikers zouden overeen moeten stemmen met hun organisatorische bevoegdheden en verantwoordelijkheden.


Zijn procedures opgesteld voor beheer van gebruikersrechten? Het aanvragen, toekennen, opschorten, wijzigen en intrekken van gebruikers- accounts en bijbehorende rechten zou beheerd moeten plaatsvinden. Goedkeuring van de wijzingen door de proceseigenaar is hierbij noodzakelijk.


Wordt minimaal jaarlijks de informatiebeveiliging getest en beoordeeld? Regelmatig testen en beoordelen van de bestaande maatregelen van informatiebeveiliging waarborgt het niveau van beveiliging en het vasthouden hiervan. Hierdoor kan zekerheid worden verkregen dat belangrijke risico's daadwerkelijk zijn afgedekt.

Voorbeeld BV Rapportage

16 van 22

 Zijn procedures opgesteld voor de identificatie en afhandeling van beveiligingsincidenten? Beveiligingsincidenten zouden als zodanig herkenbaar moeten zijn en moeten worden geregistreerd. Dit maakt het mogelijk adequate en duurzame maatregelen te treffen. Hoe: ● Laat alle gerapporteerde beveiligingsincidenten direct evalueren door een team met voldoende expertise, om de schade te beperken en de oorzaak van het incident te vinden en te elimineren. ● Informeer het management over alle significante inbreuken op de beveiliging. ● Hanteer een formeel gecommuniceerd proces voor medewerkers die het beveiligingsbeleid en/of procedures schenden. Zorg dat medewerkers en derden zijn geïnformeerd over dit proces.


Zijn procedures opgesteld voor de bescherming van hulpmiddelen die gebruikt worden voor informatiebeveiliging? Apparatuur die gebruikt wordt voor informatiebeveiliging zou beschermd moeten zijn zodat fraude hiermee wordt voorkomen.


Zijn procedures opgesteld voor beheer van cryptografische sleutels? Procedures zouden aanwezig moeten zijn waarin het maken, wijzigen, intrekken, vernietigen, verspreiden, certificeren, opslag, invoer en gebruik van cryptografische sleutels is geregeld.


Zijn maatregelen getroffen ter voorkoming, herkenning en correctie van schadelijke software? Besmetting met schadelijke software (virus, worm, spyware, spam, enz.) zou moeten worden voorkomen door gebruik en onderhoud van daarvoor beschikbare hard- en software.


Zijn maatregelen getroffen ten aanzien van netwerkbeveiliging? Digitaal gegevensverkeer tussen lokaal netwerk en Internet zou beheerst moeten worden door voldoende beveiligingstechnieken en procedures. Bijvoorbeeld firewalls, hardware tokens voor het werken op afstand en intrusion detection.

 Zijn procedures opgesteld voor gegevensuitwisseling van gevoelige informatie? Gegevensuitwisseling van gevoelige informatie dient beheerst te worden door gebruik te maken van media die moeilijk zijn te manipuleren of voldoende beschermende technieken bieden, bijvoorbeeld encryptie. Hoe: ● Maak gebruik van digitale handtekeningen indien is vereist dat zekerheid bestaat dat data afkomstig zijn van een bekende bron. ● Distribueer gevoelige data alleen via een beveiligde weg. Dit vereist, indien mogelijk, zowel encryptie als voldoende fysieke bescherming van de gegevensdrager. Gevoelige data zijn bijvoorbeeld sleutels, beveiliginginformatie, vertrouwelijke data en wachtwoorden. ● Kopppel aan transacties die ondertekend moeten worden tijdstempels. Gebruik hierbij gesynchroniseerde klokken en houd, indien van toepassing, rekening met internationale tijdzones.

Voorbeeld BV Rapportage

17 van 22

3.7 Gegevensbeheer Belang algemeen Voor een effectief gegevensbeheer is het nodig vast te stellen waaraan gegevens moeten voldoen. Het proces gegevensbeheer omvat tevens procedures voor effectief beheer van de data, back-up en recovery van gegevens, en een juiste en veilige vernietiging van gegevens. Gegevensbeheer draagt bij aan de kwaliteit, tijdigheid en beschikbaarheid van bedrijfsgegevens. Belang vanuit typering Gelet op de redelijk complexe omgeving worden inzake procedures en documenten IT-beheer zwaardere eisen gesteld. Hierbij dient aandacht te worden besteed aan: taken en verantwoordelijkheden van ITmedewerkers, de logische- en fysieke toegangsbeveiliging, de backup- en herstelprocedures en documentatie inzake configuratiemanagement en noodvoorzieningen. Huidige werkwijze Gegevensbeheer is zodanig geïmplementeerd dat toekomstige behoeften proactief worden benaderd. Procedures zijn vastgesteld en worden consistent toegepast. Geautomatiseerde hulpmiddelen worden gebruikt om gegevensbeheer toe te passen.

Detailvragen:


Zijn eisen ten aanzien van gegevensbeheer opgesteld vanuit het belang van de bedrijfsprocessen? Eisen aan de automatisering zouden vanuit de bedrijfsprocessen tot stand moeten komen in plaats van dat automatisering bepaalt welke gegevens verwerkt en ondersteund kunnen worden.

 Zijn procedures aanwezig voor opslag en archivering van gegevens? Procedures voor gegevensopslag zouden aanwezig moeten zijn om de toegankelijkheid, het gebruik en de digitale duurzaamheid te waarborgen. Hoe: ● Gebruik documentatierichtlijnen en procedures voor de opslag van de gegevens. Zorg dat deze consistent zijn met het beveiligingsbeleid. ● Documenteer bewaarstandaarden en opslagvoorwaarden voor documenten, data, programma's, rapporten en verslagen.. Zorg dat de procedures voldoen aan de bedrijfseisen en wetten en regelgeving. ● Hanteer richtlijnen en procedures die de integriteit van de opgeslagen data waarborgen. ● Zorg voor een fysieke beveiliging van de hulpmiddelen voor authenticatie. ● Houd bij de ontwikkeling van de archiveerstandaarden rekening met bedrijfs, overheids- en wettelijke eisen. ● Encrypt vertrouwelijke data om te voorkomen dat onbevoegden hiervan kennis kunnen nemen. ● Verleen uitsluitend geautoriseerd personeel logische en fysieke toegang tot data.

 Zijn procedures aanwezig voor beheer van media voor gegevensopslag? Gebruikte media voor gegevensopslag zouden actueel geïnventariseerd moeten zijn zodat altijd bekend is waar welke media zijn opgeslagen en welke gegevens zich daarop bevinden. Hoe: ● Hanteer gedocumenteerde procedures voor de toegang tot opslagmedia. ● Documenteer de opslagstandaard. Leg minimaal vastwelke back-ups intern en welke back-ups extern worden opgeslagen. ● Leg verplaatsingen van media vast en controleer de vastlegging regelmatig. Spoor de media op die niet binnen de verwachte periode terugkeren.

Voorbeeld BV Rapportage

18 van 22

● Maak een inventarisatielijst van alle mediadragers en controleer de lijst regelmatig. Onderzoek affwijkingen en rapporteer ontbrekende media aan het management. ● Controleer minstens een keer per jaar de integriteit en bruikbaarheid van magnetische opslagmedia. Onderzoek defecte opslagmedia, spoor de oorzaken op en rapporteer deze. Stel eventuele trends in de storingen vast om zeker te stellen dat opslagmedia ongestoord gebruikt kunnen worden Vervang perodiek de media die onderhevig zijn aan slijtage. ● Bewaar de opslagmedia in een fysiek veilige omgeving waarbij de toegang is beperkt tot daartoe bevoegde medewerkers. ● Stel voor externe en interne identificatie van gegevensdragers standaarden op. De standaarden bevatten vastgestelde naamconventies, consistentie tussen externe- en interne labels en periodieke controle op de naleving van de standaard. ● Verplaats of vernietig opslagmedia uitsluitend op basis van een gedocumenteerd verzoek dat is goedgekeurd door geautoriseerde medewerkers. ● Voorzie back-upmedia van voldoende interne en externe labels voor identificatie. Encrypt gevoelige back-updata. ● Sla back-upmedia roulerend extern op. Houdt bij de selectie van de externe locatie rekening met onder andere geografische ligging, bereikbaarheid en veiligheid. ● Gebruik voor de opslag van back-upmedia brandveilige kasten of kluizen. ● Beveilig de fysieke toegang tot de interne- en externe opslagfaciliteiten en beperk de toegang tot geautoriseerde medewerkers. Inspecteer de opslagfaciliteiten periodiek op het toepassen van de beveiligingsmaatregelen.

 Zijn procedures aanwezig voor vernietiging van media en gegevens? De toegang tot gevoelige informatie en software welke vernietigd gaat worden moet voorkomen worden, bijvoorbeeld door beveiligde containers voor vernietiging. Hoe: ● Hanteer gedocumenteerde richtlijnen en procedures voor het vernietigen van gevoelige informatie. Wijs de verantwoordelijkheid voor de vernietiging van gevoelige informatie duidelijk toe. Stel eisen aan het het overschrijven en herformatteren van de gegevensdragers om te waarborgen dat data niet meer achterhaald kunnen worden. ● Zorg dat back-ups automatisch worden uitgevoerd op vooraf bepaalde tijden. Laat de back-upactiviteiten aansluiten bij de backup- en herstelstrategie. ● Schoon apparatuur en media die vertrouwelijke informatie bevatten voordat ze worden hergebruikt of buiten gebruik worden gesteld. Beperk de fysieke toegang tot de apparatuur en media tot geautoriseerde medewerkers. ● Hanteer voorgeschreven procedures en documenten voor het onderzoeken van apparatuur en media op vertrouwelijke informatie en het verwijderen of doorgeven van apparatuur en media die vertrouwelijke informatie bevatten. Verwijder direct tijdelijke bestanden die vertrouwelijke gegevens bevatten. ● Gebruik voor het vernietigen van vertrouwelijke documenten en output afsluitbare containers. Maak de containers als zodanig duidelijk herkenbaar. Zie toe op het vervoer en de systematische vernietiging. ● Beperk de mogelijkheid om een geplande back-up te wijzigen tot geautoriseerde medewerkers. Hanteer voor het wijzigen van back-upopdrachten en het herplannen gebeurt een vastgesteld beheerproces dat vereist dat de veranderingen in de planning gemotiveerd worden vastgelegd. ● Stem de back-upmethode en procedures af op de eisen inzake beschikbaarheid en integriteit. ● Inspecteer periodiek de back-upmedia op bruikbaarheid. Leg in een logboek vast waneer de backupmedia initieel in gebruik zijn genomen en wanneer deze vervangen dienen te worden.


Zijn back-up en herstelprocedures van systemen en gegevens aanwezig? Procedures voor back-up en restore van systemen, gegevens en documentatie dienen aan te sluiten bij de bedrijfsbehoeften en IT-continuïteitsplannen.

Voorbeeld BV Rapportage

19 van 22


Zijn maatregelen getroffen om de bescherming van gegevens te waarborgen? Maatregelen dienen getroffen te zijn om beveiligingseisen op de ontvangst, verwerking, opslag en verspreiding van gegevens te identificeren en toe te passen.

Voorbeeld BV Rapportage

20 van 22

3.8 Beheer fysieke omgeving Belang algemeen Voor de bescherming van computerapparatuur en IT-personeel zijn goede fysieke voorzieningen nodig. Het proces van beheersing van de fysieke omgeving omvat tevens het vaststellen van vereisten aan de fysieke locatie, de selectie van de juiste voorzieningen en de mogelijkheden om de omgevingsfactoren en toegang tot de ruimtes te monitoren en te beperken. Effectieve beheersing van de fysieke omgeving van ITvoorzieningen minimaliseert verstoringen van de geautomatiseerde gegevensverwerking. Huidige werkwijze Lange termijn plannen om de serveromgeving te beheersen zijn beschikbaar. Standaards zijn vastgesteld voor alle relevante zaken, zoals personele beveiliging, mechanische en elektrische systemen, beschermende maatregelen tegen brand, water, stof, enz. Alle fysieke ruimten waar kritische systemen of componenten aanwezig zijn worden geclassificeerd volgens de toegepaste methode van risicobeheersing.

Detailvragen:


Is de bepaling van locatie en indeling van serverruimte(s) zorgvuldig uitgevoerd? Bij het bepalen van de locatie en indeling van de serverruimte(s) dient rekening gehouden te worden met risico's vanwege omgeving en menselijke invloeden, evenals met wet- en regelgeving ten aanzien van veiligheid en werkomstandigheden.


Zijn voldoende fysieke beveiligingsmaatregelen getroffen? Fysieke beveiligingsmaatregelen zouden recht moeten doen aan de bedrijfsafhankelijkheid van automatisering. Hierbij kan o.a. gedacht worden aan beveiligde zones, ruimtes en het bepalen van de meest geschikte locatie voor de IT-voorzieningen.


Is de fysieke toegang beheerst? De toegang tot panden en kritische ruimtes dient beheerst te zijn door toegangsbeveiligingssystemen. Bezoekers dienen te worden geregistreerd en begeleid.


Zijn beschermende maatregelen getroffen tegen omgevingsfactoren? De kritische ruimtes dienen voorzien te zijn van de nodige beschermende maatregelen tegen omgevingsinvloeden.


Zijn voldoende maatregelen getroffen voor adequaat beheer van de fysieke ruimtes? Het beheer van fysieke ruimtes, inclusief elektriciteitsvoorziening en communicatieapparatuur, dient in lijn zijn met wet- en regelgeving, technische eisen en bedrijfseisen, specificaties van leveranciers en veiligheidsreglementen.

Voorbeeld BV Rapportage

21 van 22

4. Bijlagen Applicaties Onderstaand een overzicht van de applicaties die als belangrijkste bedrijfsapplicaties worden gekenmerkt. Overzicht applicaties: Naam Versie Voorbeeld 3

Toelichting Jaar Gebr. Soort Functie Koppelingen

Jaar 2012

Gebr. 138

Soort standaard pakket

Koppelingen Combinatie

Jaar waarin de applicatie is ingevoerd Het aantal gebruikers dat het systeem gebruikt Geeft aan of het een standaardpakket of maatwerkpakket betreft Het organisatorische functiegebied waarvoor de applicatie wordt gebruikt Geeft aan of er koppelingen zijn met andere systemen binnen of buiten de organisatie.

Voorbeeld BV Rapportage

Functie overig

22 van 22