Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Voorwoord Het is het bestuur van de NOREA - de beroepsorganisatie van IT-auditors - en het bestuur van het Platform voor Informatiebeveiliging (PvIB) een genoegen u hierbij het studierapport “Normen voor de beheersing van uitbestede ICT-beheerprocessen” aan te bieden. Dit studierapport is het resultaat van een gezamenlijk initiatief van NOREA en PvIB. Beide organisaties streven naar verdieping van het vakgebied en één van de middelen daartoe is het stimuleren en faciliteren van werkgroepen die vanuit de samengebrachte ervaring studies verrichten en daarover rapporteren in uiteenlopende vormen, waaronder studierapporten. In het onderhavige geval is een werkgroep “Standaard Normenkader Beheersing en Beveiliging” (SNBB) actief geweest, die was samengesteld uit leden van NOREA en PvIB, en soms waren deelnemers zelfs van beide organisaties lid. Dit studierapport bevat een normenstelsel dat is te hanteren door de diverse partijen die betrokken zijn bij de beheersing van en verantwoording over ICT-dienstverlening, namelijk: • Klantorganisaties (i.e. de opdrachtgever van de serviceorganisatie), bij het vaststellen van hun rapportagebehoeften voor de beheersing van te ontvangen ICT-diensten; • Serviceorganisaties, bij het vaststellen van de interne beheersmaatregelen en de rapportagestructuur voor de verantwoording over geleverde ICT-diensten; • IT-auditors, zowel in hun attestfunctie bij het rapporteren over uitbestede ICTdiensten, als in hun adviesfunctie als adviseur van klant- of serviceorganisatie. Het initiatief voor de ontwikkeling van dit normenstelsel komt voort uit de behoefte, die breed werd ervaren, aan een gemeenschappelijk normenstelsel dat goed hanteerbaar is bij situaties van uitbestede ICT-beheersprocessen. Het voorliggende studie rapport is dan ook primair gericht op deze situaties en is hierin, naar de mening van de werkgroep, vernieuwend ten opzichte van de meest bekende normenstelsels en best-practices (waarop overigens door de werkgroep is voortgebouwd). Om te komen tot een zo groot mogelijk draagvlak voor het normenstelsel is een klankbordgroep samengesteld met een vertegenwoordiging vanuit een groot aantal organisaties. Zo zijn enige tussentijdse producten aan de klankbordgroep voorgelegd en heeft zij ook op het conceptstudierapport kunnen reageren. Het conceptstudierapport is verder besproken in de Commissie Vaktechniek en het Bestuur van NOREA. De diverse reacties zijn vervolgens verwerkt in het nu voor liggende studierapport. Het is nadrukkelijk de bedoeling om dit studierapport als studiemateriaal, zo men wil als een “exposure draft” te hanteren: om er ervaring mee op te doen, om de bruikbaarheid te toetsen èn om suggesties ter verbetering te doen. Daartoe staat de besturen een periode van 6 maanden voor ogen. De besturen van NOREA en PvIB doen het
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
verzoek aan hun leden en aan andere geïnteresseerde gebruikers om gedurende die periode commentaar op dit product te leveren via de websites van NOREA en/of PvIB, via mail aan de respectievelijke secretariaten of anderszins. Medio 2008 zal worden bezien of naar aanleiding van het ontvangen commentaar een bijstelling van dit rapport wenselijk is, waarbij een statuswijziging van Studierapport naar Handreiking ook in overweging kan worden genomen. Tevens zal dan worden besloten of daadwerkelijk vervolgfasen van deze studie (zie I.2 Opdracht) ter hand zullen worden genomen. De besturen van NOREA en PvIB bedanken de leden van de werkgroep voor de grote inzet en vastberadenheid die zij hebben getoond bij het realiseren van dit studie rapport. Een bijzonder woord van dank is verschuldigd aan Tjakko de Boer, die, naast zijn inbreng als werkgroeplid, als Technical Writer veel heeft bijgedragen aan de inhoud, structuur en uniformiteit van de verschillende normen. De werkgroep Standaard Normenkader Beheersing en Beveiliging1: Deelnemers ir. A.G. Los RE (Bert) ir. T. de Boer RE CISA CISSP (Tjakko) B. Bokhorst RE RA (Bart) M.M. Buijs RE RI (Maarten) J.M.A. Conquet RE (Jessica) drs. M.M.H. van Ernst RE (Martin) W.A.J. Franken RE CISA (Will) H.J. Hopman RE (Hans) ir. P. Kornelisse RE CISA (Peter) drs. C.N.M. Maas (Christel) drs. W.J.A. Olthof (Wilfried) drs. M.T.J.M. Piels RE (Marc) E. Pothast RE (Erik) mr. drs. J. Roodnat RE RA (Jan) drs. B.J. van Staveren RE (Bart) drs.ing. N.B. Tewarie RE (Wiedjai) drs. S.P.W.Verweij RE RA CISA (Stefan) / ing. L. de Wit RE CISA (Leon)
Organisatie Sociale Verzekeringsbank ITegrity / Deloitte Ministerie van Financiën Ministerie van Defensie Getronics PinkRoccade BDO CampsObers Atos Consulting / KPN Getronics PinkRoccade KPMG NOREA NOREA Postkantoren B.V. EDP Audit Pool EDP Audit Pool UWV Ministerie van Defensie PriceWaterhouseCoopers
_________ 1 Wanneer één organisatie gedurende de looptijd opeenvolgende vertegenwoording heeft gekend, is dit aangegeven door een schuine streep (“/”) tussen die successievelijke deelnemers; de meest recente deel nemer staat vooraan. Indien een deelnemer gedurende de looptijd meerdere organisaties heeft vertegenwoordigd, is bij de organisaties een analoge notatiewijze gevolgd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Inhoud I
Inleiding I.1 De behoefte aan een uniform normenstelsel I.2 Opdracht I.3 Opbouw van het studierapport
5 5 6 6
II
Verkenning van het onderzoeksgebied 7 II.1 Aanduiding van de ICT-dienstverlening 7 II.2 Knelpunten tijdens de levenscyclus van een uitbestede dienst10 II.3 Waarom is geen uniformiteit in de markt ontstaan?12
III
Eigenschappen van het normenstelsel 14 III.1 Eisen aan het normenstelsel14 III.2 Kwaliteitscriteria14 III.3 Afbakening van het normenstelsel14
IV
Handleiding voor gebruik van het normenstelsel 16 IV.1 Structuur van het normenstelsel16 IV.2 Gebruik van het normenstelsel19
V
Het normenstelsel voor uitbestede ICT-beheerprocessen
21
1
Generieke beheersaspecten (GEN)
21
2
Service Level Management (SLM)
26
3
Supplier Management (SUP)
30
4
Security Management (SEC)
34
5
Infrastructure Management (INF)
38
6
Access Management (ACC)
42
7
Capacity Management (CAP)
46
8
Availability Management (AVA)
49
9
Continuity Management (CTY)
53
10
Configuration Management (CON)
56
11
Change Management (CHA)
60
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
12
Incident Management (INC)
64
13
Problem Management (PRO)
67
14
Operations Management (OPS)
70
I
Bijlagen
75
Bijlage A: Begrippen
75
Bijlage B: Literatuur
78
Bijlage C: Referenties naar andere normenstelsels
79
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
I
Inleiding
I.1
De behoefte aan een uniform normenstelsel
De behoefte aan verantwoording over ICT-beheerprocessen doet zich in principe altijd gelden, zowel bij interne als bij externe ICT-dienstverlening. Bij uitbesteding van ICT-dienstverlening is de diversiteit aan partijen echter groter en is deze behoefte, en de daaruit voortvloeiende behoefte aan een gemeenschappelijk normenstelsel, daardoor sterker. De volgende factoren spelen hierbij een rol: • Een klantorganisatie heeft te maken met meerdere leveranciers. Toelichting: Een klantorganisatie kan de ICT-dienstverlening in meerdere percelen opsplitsen, die uiteindelijk aan verschillende leveranciers worden gegund (waaronder eventueel ook interne afdelingen). De klantorganisatie heeft doorgaans bij het opstellen van de eigen verantwoording de behoefte om de verantwoordingen van verschillende leveranciers ook weer bij elkaar te kunnen optellen. De klantorganisatie hecht dus aan unifor miteit van de gebruikte normenstelsels. • Een leverancier levert aan meerdere klantorganisaties. Toelichting: Een leverancier heeft doorgaans meerdere klantorganisaties, maar zal in principe proberen om offerten, contracten, audits, service level reports, verantwoordingen en Third Party Mededelingen (TPM) zoveel mogelijk uniform te houden. Immers, het bedrijfsmodel van gespecialiseerde leveranciers is grotendeels gebaseerd op schaalvoordeel door uniforme bedrijfsprocessen. De leverancier heeft dus eveneens een groot belang bij uniformiteit van de gebruikte normenstelsels. • Meerdere organisaties werken samen in een keten. Toelichting: Als meerdere organisaties in een keten samenwerken, is voor een totaaloordeel over die keten noodzakelijk dat de verantwoordingen van de individuele organisaties over hun deelbijdrage samenvoegbaar zijn. Ook hier is uniformiteit gewenst. In de praktijk worden de problemen die door hantering van ongelijke normenstelsels ontstaan, ondervangen door onderlinge relaties (“cross-references” of “mapping”) te leggen van het ene normenstelsel naar het andere. Dit is veelal een handmatig proces, dat ook subjectieve beslissingen vergt en dus in principe aanleiding kan geven tot discussie. Daarnaast is het handmatige proces tijdrovend en inefficiënt.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
I.2
Opdracht
De opdrachtgevers voor de ontwikkeling van het normenstelsel, NOREA en het Platform voor Informatiebeveiliging (PvIB), hebben de volgende opdracht voor het normenstelsel vastgesteld: Ontwikkel een normenstelsel voor de algemene ICT-beheersmaatregelen van (uiteindelijk) alle elementen van ICT-dienstverlening, dat toepasbaar moet zijn in situaties van uitbesteding van ICT-dienstverlening. Ontwikkel dit normenstelsel in samenspraak met en maak het bruikbaar voor: • Klantorganisaties van zowel de overheid als het bedrijfsleven; • ICT-dienstverleners (intern en extern); • IT-auditors (intern en extern). De opdrachtgevers doen de suggestie om de uitwerking gefaseerd ter hand te nemen en te beginnen met de verwerkingsorganisatie. Daarna zou in ieder geval de ontwikkelorganisatie aan de orde moeten komen. Er dient rekening te worden gehouden met reeds bestaande standaarden, zoals CobiT, ITIL en de Code voor Informatiebeveiliging. De oordeelsvorming over de werking valt buiten de opdracht van de werkgroep. De werkgroep dient verder geen onderverdeling te maken in normen voor verschillende risicoklassen2. Dit zou de complexiteit te zeer vergroten. I.3
Opbouw van het studierapport
Het studierapport is, naast deze Inleiding, opgebouwd uit vier delen, die elk uit een aantal hoofdstukken bestaan, en de bijlagen. Deel II is een verkenning van het onderzoeksgebied, waarin relevante begrippen worden toegelicht en waarin achtergronden van de problematiek worden geanalyseerd. Deel III behandelt de eigenschappen die het normenstelsel kenmerken. Deel IV geeft een handleiding voor het gebruik van deze normen. Het normenstelsel zelf wordt uitgewerkt in Deel V. Tenslotte zijn bijlagen opgenomen voor een begrippenlijst, lijst van geraadpleegde literatuur en verwijzingen naar andere bekende normenstelsels.
_________ 2 De werkgroep heeft zich gebaseerd op gangbare best practices. Afhankelijk van de risico’s die van toepassing zijn voor de serviceorganisatie, dienen (meer of minder) beheersmaatregelen te worden geselecteerd door de serviceorganisatie.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
II Verkenning van het onderzoeksgebied II.1
Aanduiding van de ICT-dienstverlening
Klantorganisatie en serviceorganisatie; demand en supply De eisen (“demand”) waaraan de ICT-dienstverlening moet voldoen, zijn primair afkomstig van de gebruikersorganisatie en het management, die deze eisen weer ontlenen aan de eisen van klanten in de buitenwereld. De ontvangende organisatie van ICT-diensten wordt aangeduid met klantorganisatie, opdrachtgever of “business”. De organisatie, intern of extern, die verantwoordelijk is voor de levering (“supply”) van ICT-diensten aan de klantorganisatie, wordt aangeduid met “ICT-serviceorganisatie” of kortweg “serviceorganisatie”. Doorgaans wordt in een Service Level Agreement (SLA), een overeenkomst tussen klantorganisatie en serviceorganisatie, de afstemming geregeld tussen vraag en aanbod van de te leveren diensten (demand en supply). Om aan de Service Level Agreement te kunnen voldoen en deze systematisch te bewaken is binnen de serviceorganisatie een proces Service Level Management ingericht. In organisaties komen verschillende vormen van ICT-dienstverlening voor, die hierna kort worden belicht. ICT-dienstverlening volledig in eigen beheer De meest eenvoudige vorm van ICT-dienstverlening treft men aan, wanneer in de eigen organisatie een serviceorganisatie is ingericht die alles in eigen beheer regelt. Het proces Service Level Management sluit intern, dus binnen de eigen service organisatie zogenaamde Operational Level Agreements (OLA’s) af met diverse subprocessen (soms georganiseerd in subafdelingen). Een en ander is geïllustreerd in de navolgende figuur.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
ICT-dienstverlening met (gedeeltelijke) uitbesteding Met de toenemende complexiteit komt het steeds meer voor, dat de serviceorganisatie niet alles meer in eigen beheer regelt, maar bepaalde diensten uitbesteedt aan een externe ICT-dienstverlener (ook wel: externe- of sub-serviceorganisatie of leverancier). Nu formuleert de serviceorganisatie op haar beurt eisen (demands) en sluit een overeenkomst met de leverancier. Deze overeenkomst noemt men ook wel een Underpinning Contract: het is een contract dat ondersteunend is aan de SLA tussen de serviceorganisatie en de klantorganisatie. Om de leverancier en de uitbestede diensten te beheren wordt in de serviceorgani satie het proces Supplier Management ingericht. Men kan zich voorstellen dat de omvang van uitbesteding kan variëren van minimaal (geen Supplier Management) tot maximaal, waarbij de serviceorganisatie zich vrijwel alleen bezighoudt met Supplier Management. In een organisatie zal altijd sprake zijn van een eigen, interne service organisatie, al kan dat in een zeer rudimentaire vorm zijn. ICT-dienstverlening met (gedeeltelijke) uitbesteding is weergegeven in de hierna volgende figuur.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
ICT-dienstverlening door een keten van leveranciers: een recursief model Het is belangrijk om te onderkennen dat het voorgaande schema recursief is: omdat een leverancier zèlf ook een organisatie vormt en omdat een leverancier zelf ook weer diensten kan uitbesteden, komt het schema, en dus ook de begrippen “klant organisatie” en “(ICT) serviceorganisatie”, op verschillende niveaus terug, zoals weergegeven in de volgende figuur. Als gevolg van de recursiviteit worden de underpinning contracts, gezien vanuit het perspectief van de leverancier, vaak ook aangeduid als Service Level Agreement, hetgeen tot spraakverwarring kan leiden. Vanwege de recursiviteit is het normenstelsel in dit studierapport evenzeer van toe passing op elk niveau van recursiviteit. De serviceorganisatie van de leverancier heeft te maken met een complexe klant organisatie: enerzijds dienen hun diensten te voldoen aan de afspraken vanuit de eigen business, “de eigen, interne klant”, anderzijds dienen die diensten natuurlijk ook te voldoen aan hetgeen met de externe opdrachtgevers in underpinning contracts is overeengekomen: de “externe klant”.
Als gevolg van de recursiviteit worden de underpinning contracts, gezien vanuit het perspectief van de leverancier, vaak ook aangeduid als Service Level Agreement, hetgeen tot spraakverwarring kan leiden.
StudierapportVanwege Normen voor de beheersingisvan ICT-beheerprocessen de recursiviteit hetuitbestede normenstelsel in deze handreiking evenzeer van toepassing op elk niveau van recursiviteit.
II.2
De Service organisatie van de leverancier heeft te maken met een complexe Knelpuntenenerzijds tijdens de hun levenscyclus van aan eendeuitbestede dienst klantorganisatie: dienen diensten te voldoen afspraken vanuit de eigen business, “de eigen, interne klant”, anderzijds dienen die diensten natuurlijk ook te voldoen aan hetgeen met de externe opdrachtgevers in underpinning contracts is hierna volgende (beknopte) analyse baseren wij ons op de situatie van een overeengekomen: de “externe klant”.
In de bestede dienst en de daarin doorlopen fasen (levenscyclus). 10
10
uit-
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Fase:
Vorm:
Request For Information Request For Proposal Bestek voor ICTdienstverlening
Globale beschrijving Klantorganisatie Meerdere van de gevraagde Leveranciers dienstverlening
Operatie Gunning
Offerte
Contract, inclusief Service Level Agreement ICT service management
Het “Wat” gedetailleerd, met specificatie van gewenste ServiceLevels Met enig detail aangegeven “Hoe” het gevraagde “Wat” conform de gewenste ServiceLevels geleverd kan worden. Kan inclusief de bijlagen zeer omvangrijk zijn
Vanuit:
Aan: / Met:
Klantorganisatie Meerdere Leveranciers
Meerdere Leveranciers
Onderkende knelpunten Beheereisen niet altijd op agenda
Mate van detail varieert, service levels niet altijd afdoende concreet
Klantorganisatie Mate van detail varieert, service levels niet afdoende concreet
Klantorganisatie “Uitverkoren Leverancier”
Eisen, rapportages en providerdossier niet opgenomen in formele afspraken Serviceverzoeken en Klantorganisatie Klantorganisatie Aspecten in service service level en Leveranciers en Leveranciers level-rapportages rapportages ontbreken
11
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Fase:
Vorm:
Bespreking over auditplanning
Objecten, gehanteerde normenstelsels; Auditfrequentie Volgens een vaste vorm
Audit en Assurance
Opstellen periodieke Service LevelRapportages
Opstellen verantwoording met TPM
Providerdossier
Review van TPM
Volgens reviewrichtlijnen, discussie over normenstelsels en weging van afwijkingen
II.3
Vanuit:
Aan: / Met:
Onderkende knelpunten Auditor van Auditor van Verscheidenheid klantorganisatie leverancier aan geselecteerde objecten en gestelde eisen Leverancier Klantorganisatie Leveranciers en verschillende klantorganisaties wensen verschillende rapportages Service- en/of Klantorganisatie Provider dient voor klantorganisatie meerdere (en diens klantorganisaties auditor) een dossier op te bouwen Auditor van Auditor van Verscheidenheid klantorganisatie leverancier aan geselecteerde objecten, control objectives en wegingen
Waarom is geen uniformiteit in de markt ontstaan?
De kernvraag, die moet worden beantwoord om de oplossingsrichting te kunnen bepalen, is waarom de tot nu toe beschikbare normenstelsels niet hebben voorzien in de behoefte van een uniform toegepast normenstelsel. Er kunnen meerdere redenen worden genoemd: • De bestaande stelsels worden soms ervaren als te omvangrijk; de stelsels schrijven teveel detailmaatregelen voor en zijn (mede daardoor) minder geschikt voor kleinere organisaties; • De bestaande stelsels worden soms ervaren als onoverzichtelijk, hebben een ongeschikte structuur of ongeschikte formuleringen van beheersdoelstellingen en beheersmaatregelen; • De bestaande stelsels zijn teveel geschreven vanuit één visie: die van de auditor, die van de informatiebeveiliger of die van de beheerder van een serviceorganisatie; • Sommige organisaties hadden al een “eigen benadering” voordat bruikbare andere stelsels voorhanden waren en zijn daaraan vast blijven houden; • Sommige organisaties geven sowieso de voorkeur aan een “eigen benadering”, omdat daar meer vertrouwen in bestaat en/of daar meer (intern) draagvlak voor aanwezig wordt geacht. Kijkende naar de thans meest bekende normenstelsels, waaronder CobiT, ISO/IEC 17799:2005 en ISO/IEC 20000, lijkt de belangrijkste reden te zijn, dat deze normen12
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
stelsels niet primair zijn opgesteld vanuit een demand-supply benadering: vanuit de behoefte van beheersing c.q. om verantwoording af te leggen tussen een klantorganisatie en een serviceorganisatie. De meeste normenstelsels zijn opgesteld vanuit een interne benadering: vanuit de behoefte van beheersing c.q. om verantwoording af te leggen tussen het management en de eigen ICT-organisatie.
13
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
III Eigenschappen van het normenstelsel III.1
Eisen aan het normenstelsel
Er lijkt in de markt duidelijk een behoefte te zijn aan een nieuw uniform normen stelsel voor de onderlinge communicatie tussen klant- en serviceorganisatie, in aanvulling op de reeds bestaande en meer gedetailleerde normenstelsels en best-practices. De eisen voor een dergelijk normenstelsel dienen te zijn: • Een overzichtelijke structuur; • Vooral beschrijvend wat bereikt moet worden; niet hoe dat bereikt moet worden. (Het hoe is reeds elders in de reeds bestaande normenstelsels uitgebreid beschreven.Volstaan kan worden met een inzichtelijke verwijzing naar deze bronnen); • Een wijze van beschrijven die voor organisaties van diverse grootte hanteerbaar is; • Eenvoudig te relateren aan thans gebruikte internationale standaarden; • Een, bij voorkeur vooraf gegarandeerd, breed draagvlak. III.2
Kwaliteitscriteria
Het normenstelsel zal op de volgende kwaliteitscriteria gericht zijn: • Beschikbaarheid. De mate waarin het object beschikbaar is en de informatie verwerking ongestoord voortgang kan hebben; • Integriteit. De mate waarin het object (d.w.z. in deze situatie: ICT-dienst of ICTmiddel) in overeenstemming is met de afgebeelde werkelijkheid; • Vertrouwelijkheid. De mate waarin uitsluitend geautoriseerde gebruikers of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van ICT-processen; • Controleerbaarheid. De mate waarin het mogelijk is kennis te krijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming is uitgevoerd met de eisen ten aanzien van de overige kwaliteitsaspecten. III.3
Afbakening van het normenstelsel
Het normenstelsel richt zich uitsluitend op procesnormen voor de geselecteerde ICTbeheerprocessen, die onderdeel uitmaken van zogenaamde “general IT controls”. Normen voor producten, zoals technische voorschriften en parametrisering van specifieke ICT-middelen, worden niet beschreven. Deze keuze wil echter niet zeggen, dat dergelijke normen niet van belang zijn bij de beheersing en verantwoording van de ICT-dienstverlening tussen klant- en serviceorganisatie. Integendeel: in de meeste gevallen van ICT-dienstverlening zal dit normenstelsel moeten worden gebruikt naast component-specifieke normen. 14
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
De keuze voor de te beschouwen beheerprocessen is bepaald op basis van een inschatting van die processen van verwerkingsorganisaties (ICT-exploitatie) waarvoor in de markt de grootste behoefte bestaat. De volgende beheerprocessen zijn aldus als relevant bestempeld: Procesacroniem GEN SLM SUP SEC INF ACC CAP AVA CTY CON CHA INC PRO OPS
Procestitel Generieke beheersaspecten Service Level Management Supplier Management Security Management Infrastructure Management Access Management Capacity Management Availability Management Continuity Management Configuration Management Change Management Incident Management Problem Management Operations Management
Voor een definitie en afbakening van de verschillende processen wordt verwezen naar de hoofdstukken waarin de respectievelijke processen worden behandeld. De keuze behelst, dat niet ieder beheerproces dat in andere normenstelsels en best-practices voorkomt, in de onderhavige normenset is opgenomen. In bijlage C, de referentie naar andere normenstelsels, is aangeduid welke processen niet in deze normenset terug komen.
15
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
IV Handleiding voor gebruik van het normenstelsel IV.1
Structuur van het normenstelsel
Relatie met andere normenstelsels De normen beschrijven zaken op hoofdlijnen. Andere normenstelsels, zoals CobiT, ISO/IEC 17799:2005 en ISO/IEC 20000 (met daaronder ITIL), kunnen worden geraadpleegd voor eventueel bij gebruikers gewenste verdere verdieping. De bestaande normenstelsels worden ontsloten door in Bijlage C per proces per beheersdoelstelling te verwijzen naar die bestaande normenstelsels. Iedere organisatie kan naar eigen behoefte de normen verder aanvullen dan wel detailleren op basis van die normenstelsels. Ten aanzien van de kruisverwijzingen tussen de normenstelsels in de bijlagen wordt opgemerkt, dat een verwijzing niet per se inhoudt dat de normen volledig gelijk waardig zijn of elkaar volledig afdekken. Een opgenomen verwijzing betekent slechts dat de normen gedeeltelijk overlappen of sterk aan elkaar gerelateerd zijn. Generieke beheersaspecten Om redundantie te voorkomen worden bepaalde, algemeen geldende maatregelen, die in principe bij ieder specifiek beheerproces genoemd zouden kunnen worden, niet telkens compleet herhaald. In plaats daarvan is een afzonderlijk deel (‘Beheerproces GENeriek) met “Generieke normen” opgenomen. In de specifieke beheerprocessen is steeds een figuur opgenomen, waardoor de lezer er aan wordt herinnerd, dat bij het specifieke beheerproces twee process flows te onderscheiden zijn: 1. Een buitenste proces bestaande uit een Demming circle (Plan-Do-Check-Act) dat vooral gericht is op voorwaardelijke aspecten van het proces. De cirkel is hier steeds geconcretiseerd door Beleidsplanning (Plan), Uitvoering (Do), Bewaking (Check), Onderhoud (Act), terwijl de activiteit Rapportage is toegevoegd aan de Demming circle. Rapportage vindt feitelijk plaats vanuit Plan-, Do-, Check- èn Actactiviteiten, volgens navolgende figuur. 2. Een binnenste proces dat gericht is op de activiteiten binnen de procesuitvoering zelf. Het binnenste proces is veelal ook een Demming circle voor continue, cyclische processen; soms is het proces een gebeurtenisgeoriënteerd proces.
16
ormen voor de beheersing_B.doc
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Indeling normen Indelingvan van de de normen indelingvan van de grotendeels gebaseerd op het op NOREA Studierapport DeDe indeling de normen normenis is grotendeels gebaseerd het NOREA Studierapport 3: 3: “Raamwerk voor ontwikkeling normenstelsels en standaarden”, waarbij de werk“Raamwerk voor ontwikkeling normenstelsels en standaarden”, waarbij de werkgroep groep zich de volgende afwijking heeft gepermitteerd. Er Er isisper expliciet zich de volgende afwijking heeft gepermitteerd. pernorm normniet niet expliciet benoemd benoemd op welk kwaliteitsaspect de norm zich richt. Er is gemeend dat de meeste op welk kwaliteitsaspect de norm zich richt. Er is gemeend dat de meeste beheersdoelstellingen zich richten op meerdere van de kwaliteitsaspecten beschikbeheersdoelstellingen zich richten op meerdere van de kwaliteitsaspecten baarheid, integriteit en vertrouwelijkheid, waardoor een expliciete vermelding per beschikbaarheid, integriteit en vertrouwelijkheid, waardoor een expliciete vermelding norm volgens de werkgroep weinig toevoegde. per norm volgens de werkgroep weinig toevoegde. Voor ieder proces wordt dezelfde structuur gehanteerd die bestaat uit:
Voor ieder proces wordt dezelfde structuur gehanteerd die bestaat uit: 1. Een definitie van het IT-object, hier steeds een ICT-beheerproces;
1. Een definitie van het IT-object, hier steeds een ICT-beheerproces; 2. Een rubriek Toelichting en afbakening;
2. Een rubriek Toelichting en afbakening;
Deze rubriek bevat, behalve de toelichting en een afbakening, doorgaans ook een processchema, waarin de volgordelijke activiteiten zijn gegroepeerd. Deze volgDeze rubriek bevat, behalve de toelichting en een afbakening, doorgaans ook een orde komt later bij de indeling van de beheersmaatregelen weer terug.
processchema, waarin de volgordelijke activiteiten zijn gegroepeerd. (Deze volgorde bij de indeling vantussen de beheersmaatregelen weer terug). In de figuurkomt wordtlater een onderscheid gemaakt voor een proces specifieke
beheersmaatregelen (die invulling geven aan voor het proces specifieke beheersdoelstellingen) en generieke beheersmaatregelen anderzijds. In de figuur enerzijds wordt een onderscheid gemaakt tussen voor een proces specifieke Deze generieke beheersmaatregelen beschrijven maatregelen die ieder specifieke proces beheersmaatregelen (die invulling geven aan voor het bij proces
beheersdoelstellingen) enerzijds en generieke beheersmaatregelen anderzijds. Deze generieke beheersmaatregelen beschrijven maatregelen die17 bij ieder proces steeds weer terugkomen. Een voorbeeld hiervan is de training van medewerkers: voor ieder proces moeten de medewerkers geïnstrueerd en/of getraind worden. Het zou tot te veel redundantie leiden om die generieke maatregelen voor ieder
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
steeds weer terugkomen. Een voorbeeld hiervan is de training van medewerkers: voor ieder proces moeten de medewerkers geïnstrueerd en/of getraind worden. Het zou tot te veel redundantie leiden om die generieke maatregelen voor ieder proces opnieuw te behandelen. Daarom is als eerste een generiek “proces” opgenomen, waarin de generieke beheersdoelstellingen en -maatregelen de revue passeren. 3. Een beschrijving en toelichting van de beheersdoelstellingen, die met een hoofdletter worden aangeduid; 4. Een tabel met de Beheersmaatregelen die invulling moeten geven aan de beheersdoelstellingen. De tabel is ingedeeld volgens de volgordelijke processtappen uit het processchema;
De beheersmaatregelen zijn per proces doorlopend genummerd in de kolom Nr.
In de kolom Key is met een “X” aangegeven of de desbetreffende maatregel al dan niet een “key-control” is. In dit normenstelsel wordt onder een key-control verstaan, dat deze maatregel in iedere organisatie, groot of klein, aanwezig mag worden geacht. Het ontbreken van de maatregel is ongebruikelijk en dient daarom te worden onderbouwd. Hier geldt dus het bekende “Comply, or explain!” principe. Benadrukt wordt, dat de key-controls niet in iedere situatie afdoende hoeven te zijn om de risico’s volledig af te dekken. Elke organisatie dient te evalueren of overige maatregelen nodig zijn in de eigen situatie. In de kolom Doel is door middel van een letter aangegeven op welke beheers doelstelling de beheersmaatregel betrekking heeft. Tenslotte is in de kolom Vastleggingen een niet-uitputtende suggestie opgenomen voor vormen van vastleggingen waaruit het bestaan en/of de werking van de maatregel zou kunnen blijken. 5. Onder de kop Prestatie-indicatoren wordt een niet-uitputtende suggestie gedaan voor prestatie-indicatoren voor de kwaliteit van het beschouwde proces. Hierbij hebben we ons beperkt tot de prestatie-indicatoren die kunnen worden gebruikt in het afspreken van dienstenniveaus (service levels) tussen klant- en service organisatie. De prestatie-indicatoren zijn onderverdeeld in: • Indicatoren die kunnen worden gemeten door de klantorganisatie; over deze indicatoren heeft een klantorganisatie geen onafhankelijke auditrapportage (Third Party Mededeling of TPM) nodig, want de meting gebeurt in eigen beheer; • Indicatoren die alleen door de serviceorganisatie kunnen worden gemeten; over deze indicatoren heeft een klantorganisatie wel een TPM nodig. Daarnaast wordt het onderscheid aangegeven of het een Prestatie-indicator is die een inspanningsverplichting (aangegeven door “(I)” achter de prestatie-indicator) 18
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
verwoordt of dat het een Prestatie-indicator is die een resultaatverplichting (aangegeven door “(R)” achter de prestatie-indicator) verwoordt. Een uitgebalanceerd overeengekomen Service Levels Agreement bestaat uit beide type Prestatieindicatoren. Andere statistieken over processen zijn buiten beschouwing gelaten. IV.2
Gebruik van het normenstelsel
Hoewel de aanleiding voor het ontwikkelde normenstelsel oorspronkelijk was gericht op situaties van uitbesteding, is het normenstelsel eveneens van toepassing in situaties met een interne serviceorganisatie. De normen kunnen door de volgende doelgroepen en op de volgende manieren worden gebruikt: Klantorganisaties Klantorganisaties kunnen de normen gebruiken in de communicatie met service organisaties, om tot heldere afspraken te komen over de dienstverlening, de te realiseren beheersdoelstellingen en dienstenniveaus, en over de scope van een onafhankelijke auditrapportage. Hiertoe dient de klantorganisatie de volgende stappen te doorlopen: • Selecteer de relevante uitbestede processen die van toepassing zijn op de uitbestede ICT-diensten; • Selecteer de relevante beheersdoelstellingen. (De beheersmaatregelen worden door de serviceorganisatie geselecteerd op basis van de organisatiespecifieke kenmerken en de risico’s die van toepassing zijn op de serviceorganisatie); • Bepaal de relevante prestatie-indicatoren en bepaal de wenselijke dienstenniveaus; • In de overeenkomst met de serviceorganisatie worden de relevante beheersdoelstellingen, prestatie-indicatoren en dienstenniveaus vastgelegd. Serviceorganisaties Serviceorganisaties kunnen de normen op vergelijkbare wijze gebruiken in de communicatie met klantorganisaties. De serviceorganisatie doorloopt de volgende stappen: • In de overeenkomst met de klantorganisatie worden de relevante beheersdoel stellingen, prestatie-indicatoren en dienstenniveaus vastgelegd; • Voer een risico-analyse uit en selecteer / kies de relevante beheersmaatregelen die nodig zijn om de beheersdoelstellingen te bereiken. IT-auditors IT-auditors kunnen de normen gebruiken bij het uitvoeren van audits voor het afgeven van Third Party Memoranda of mededelingen (TPM’s) en interne auditrapportages. De IT-auditor en de klant bepalen gezamenlijk de scope van de audit door het selecteren van: 19
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
• relevante beheersdoelstellingen van de ICT-beheersprocessen; èn • de objecten van onderzoek (ICT-diensten en ICT-componenten). De scope van de audit dient desgewenst te worden uitgebreid met beheersdoel stellingen die buiten de reikwijdte vallen van dit normenstelsel, bijvoorbeeld die van systeemontwikkeling.Tevens dient de IT-auditor te bepalen welke technische normen nodig zijn in het kader van de oordeelsvorming. De IT-auditor kan vervolgens de normatieve beheersmaatregelen gebruiken, aan gevuld met de noodzakelijke technische normen, als normenkader om tot een oordeel te komen over de opzet van het geïmplementeerde stelsel van beheersmaatregelen en de mate waarin deze de beheersdoelstellingen kunnen waarborgen. In de kolom Vastleggingen is een niet-uitputtende suggestie opgenomen voor vormen van vast leggingen waaruit het bestaan en/of de werking van de maatregel zou kunnen blijken. De IT-auditor zal naar eigen inzicht werkzaamheden dienen uit te voeren om een conclusie te kunnen trekken over bestaan en werking van de beheersmaatregelen en de mate waarin deze de beheersdoelstellingen hebben gewaarborgd. Bij TPM’s is het een goed gebruik dat aan klantorganisaties wordt aangegeven welke beheersmaatregelen de klant geacht wordt te treffen, om aan te sluiten bij de beheersmaatregelen van de serviceorganisatie ter waarborging van de betreffende beheersdoelstellingen. In dit normenstelsel zijn deze zogenaamde “client controls considerations” gelijk aan de beheersaspecten van het proces Supplier Management. Immers, dit volgt uit de recursiviteit die eerder is beschreven.
20
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
V Het normenstelsel voor uitbestede ICTbeheerprocessen Normen voor de beheersing_B.doc
1 Generieke beheersaspecten (GEN) (GEN) 1. Generieke beheersaspecten V. Het normenstelsel voor uitbestede ICT-beheerprocessen
1.1. Definitie 1.1 Definitie
Generieke beheersaspecten zijn aspecten die op ieder beheerproces afzonderlijk van toepassing zijn. Generieke beheersaspecten zijn aspecten die op ieder beheerproces afzonderlijk van
toepassing zijn. 1.2. Toelichting en afbakening 1.2 Toelichting en afbakening De generieke beheersaspecten zijn van toepassing op ieder van de ICT-beheerprocessen, die in volgende hoofdstukken worden behandeld. De generieke beheersaspecten worden in ditgenerieke hoofdstukbeheersaspecten apart behandeld om te voorkomen. De zijnredundantie van toepassing op ieder van de ICT-beheer processen, die in de volgende hoofdstukken worden behandeld. De generieke beheers In de generieke zijn de activiteiten onderscheiden zoals in de aspecten wordenbeheersmaatregelen in dit hoofdstuk apart behandeld omteredundantie te voorkomen. onderstaande figuur weergegeven.
21
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
In de generieke beheersmaatregelen zijn de activiteiten te onderscheiden zoals in de voorgaande figuur weergegeven. 1.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A
Het proces dient te worden gegarandeerd.
Toelichting van het risico: Indien het proces niet is gegarandeerd, bestaat het risico dat de doelstellingen, die het management wil bereiken met het proces, niet structureel worden behaald. Zonder garantie van het proces zijn de gewenste uitkomsten van het proces onvoldoende repeteerbaar. Het realiseren van deze doelstelling betekent dat het proces formeel ingericht en repeteerbaar is. Deze eigenschap komt overeen met het derde volwassen heidsniveau volgens de indeling van CobiT. B
Het proces dient controleerbaar te zijn.
Toelichting van het risico: Indien het proces niet controleerbaar is, is het niet mogelijk om het proces objectief te evalueren en om te beoordelen of de doelstellingen van het proces zijn bereikt. De controleerbaarheid stelt eisen aan de juistheid, volledigheid en tijdigheid van de registratie van gegevens over het proces. C
Het proces dient aan de actuele vereisten te voldoen.
Toelichting van het risico: Indien het proces niet voortdurend wordt bijgesteld aan de actuele vereisten, bestaat het risico dat de doelstellingen, die het management wil bereiken met het proces, niet structureel worden behaald. Het realiseren van deze doelstelling betekent dat de uitkomsten van het proces moeten worden bewaakt en dat het proces zonodig moet worden bijgesteld. Deze eigenschap komt overeen met het vierde volwassenheids niveau volgens de indeling van CobiT. D Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd. Toelichting van het risico: Indien belanghebbenden onjuist of onvolledig (hieronder ook de tijdigheid begrepen) over de uitkomsten en kenmerken van het proces worden geïnformeerd, bestaat het risico dat deze belanghebbenden verkeerde beslissingen nemen op grond van deze informatie.Voor de serviceorganisatie kan dit een schending betekenen van overeenkomsten en kan dit leiden tot reputatie- en financiële schade. Belanghebbenden zijn onder meer de klantorganisaties, de eigenaren van de ICT22
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
middelen en de betrokkenen van andere tactische en operationele ICT-beheer processen. 1.4
Beheersmaatregelen
Nr. Beheersmaatregel Procesplanning 01 Beleid is vastgelegd en door het management van de serviceorganisatie geaccordeerd over de doelstellingen, reikwijdte, randvoorwaarden, relaties met aanverwante processen, prioriteiten en werkwijze van het proces. 02 De inrichting van het proces, de procedures, rollen, functiescheidingen en ondersteunende systemen worden beschreven en door management geaccordeerd. 03 Het proces is in onderlinge afstemming met aanverwante processen ingericht. Uitvoering 04 De verantwoordelijkheden voor de inrichting, uitvoering, bewaking en onderhoud van het proces zijn toegewezen. 05 De serviceorganisatie beschikt over voldoende deskundigheid door intern personeel en/of externe dienstverleners, inclusief vervangend personeel in geval van tijdelijke afwezigheid. 06 Medewerkers worden periodiek bijgeschoold in relevante nieuwe ontwikkelingen en procesaanpassingen. 07 Transacties van het beheerproces worden in een doorlopende reeks vastgelegd. 08 Processtappen, controleactiviteiten en informatie over de productieverwerking worden (chronologisch) geregistreerd. 09 Een toegespitst systeem wordt gebruikt ter ondersteuning van de procesgang en registraties van het proces. 10 Registraties van het proces worden veiliggesteld en gearchiveerd.
Key
Doel
Vastleggingen
X
A
Beleidsplan.
X
A
Procesdocumentatie.
X
A
Procesdocumentatie.
X
A B C D Beschrijving van taken en verantwoordelijkheden.
X
A
Organisatieschema en beschrijving.
X
A
Opleidingsprogramma.
X
AB
Transactieregistraties.
X
AB
Registraties.
AB
Systeemdocumentatie.
BD
Back-upprocedure en logging.
X
23
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Beheersmaatregel Bewaking 11 De resultaten van het proces worden periodiek beoordeeld in relatie tot de afgesproken ICT-diensten, beleidsaspecten en dienstenniveaus. 12 Periodiek worden de opzet en werking van de interne beheersmaatregelen getoetst. 13 Wijzigingsvoorstellen van aanverwante processen worden beoordeeld op consequenties voor het proces. Onderhoud 14 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van het beleid, de processen en de beheersmaatregelen. 15 Aan te brengen veranderingen aan het beleid, de processen en de beheersmaatregelen worden op afhandeling bewaakt. 16 Periodiek worden het beleidsplan en de procesdocumentatie geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
Key
Doel
Vastleggingen
X
C
Interne rapportages.
X
C
X
C
Audit- en interne controle rapportages. Procedurebeschrijving. Impactanalyse van wijzigingen.
X
Rapportage 17 Rapportages aan belanghebbenden worden X op juistheid en volledigheid (waaronder tijdigheid) gecontroleerd. 18 De procesbewaking en rapportage zijn functioneel gescheiden van de uitvoering van het proces. 19 Periodiek wordt verantwoording afgelegd aan het management over de resultaten van het proces.
1.8
C
Wijzigingsvoorstellen. Correspondentie.
C
Correspondentie en voortgangsverslagen.
C
Beleidsplan. Procesdocumentatie.
D
Werkinstructies. Correspondentie.
BCD
Beschrijving van taken en verantwoordelijkheden. Rapportage.
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Periodiciteit van rapportage aan de klantorganisatie over de beheersdoelstellingen. (I) 02 Snelheid van rapportages aan de klantorganisatie (periode tussen de datum van rapportage en de einddatum waarover wordt gerapporteerd). (I)
24
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Prestatie-indicator Prestatie-indicatoren te meten door de serviceorganisatie 03 Periodiciteit van de evaluatie van het beheerproces en de beheersdoelstellingen. (I) 04 Mate van afwijking van de gerealiseerde versus afgesproken beheersdoelstellingen per evaluatieperiode. (R) 05 Periodiciteit van veiligstellen van registraties van het proces. (I) 06 Periodiciteit van rapportages aan management en andere belanghebbenden van de serviceorganisatie. (I) 07 Snelheid van rapportages aan management en andere belanghebbenden van de serviceorganisatie (periode tussen de datum van rapportage en de einddatum waarover wordt gerapporteerd). (I)
25
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
2 Service Level Management (SLM) 2.1
Definitie
Service Level Management draagt zorg voor het onderhandelen, vastleggen en bewaken van de naleving van de afspraken over de dienstverlening met klanten. 2.2
Toelichting en afbakening
Dit proces is belast met het borgen van de aansluiting tussen vraag en aanbod van ICT-diensten tussen de serviceorganisatie en de klantorganisaties. Deze aansluiting wordt geformaliseerd door het afsluiten en onderhouden van Service Level Agreements met de klantorganisaties. Service Level Management omvat het onderhandelen, definiëren, meten, bewaken en verbeteren van de te leveren kwaliteit van de ICTdiensten door de serviceorganisatie. Service Level Management omvat ook het overeenkomen van de te leveren dienstenniveaus met de leverende onderdelen van de serviceorganisatie, die voor het feitelijke leveren van de prestaties verantwoordelijk zijn. Deze overeenstemming kan worden geformaliseerd door zogenaamde Operational Level Agreements. Het toetsen van de eisen van klanten op haalbaarheid en het meewerken dat hierover duidelijke afspraken worden opgenomen in de Service Level Agreements, valt onder het proces Service Level Management. Opgemerkt wordt, dat het onderhandelen en definiëren van de ICT-diensten weliswaar activiteiten zijn van Service Level Management, maar dat hierover geen maat regelen in het normenstelsel zijn opgenomen, omdat deze activiteiten niet door de klant zijn uitbesteed aan de serviceorganisatie en daarom niet van belang zijn voor de klantorganisatie. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Service Level Management de activiteiten te onderscheiden zoals in de navolgende figuur weergegeven.
26
Normen voor de beheersing_B.doc
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
2.3. Beheersdoelstellingen 2.3 Beheersdoelstellingen
A
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaargewaarborgd: borgd: De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, A De geleverde ICT-diensten dienen aan de overeengekomen beleids dienstenniveaus en beheersdoelstellingen te voldoen. punten, dienstenniveaus en beheersdoelstellingen te voldoen. Toelichting: Indien de ICT-diensten niet voldoen aan de overeengekomen beleidspunten, Toelichting van het risico: dienstenniveaus en beheersdoelstellingen, bestaat het risico dat beleidspunten, de klantorganisatie haar Indien de ICT-diensten niet voldoen aan de overeengekomen diensten bedrijfsdoelstellingen niet behaalt, dat de serviceorganisatie hiervoor aansprakelijk niveaus en beheersdoelstellingen, bestaat het risico dat de klantorganisatie haar wordt gesteld en dat de serviceorganisatie hierdoor reputatie- en/of financiële schade bedrijfsdoelstellingen niet behaalt, dat de serviceorganisatie hiervoor aansprakelijk lijdt. wordt gesteld en dat de serviceorganisatie hierdoor reputatie- en/of financiële schade De ICT-diensten, beleidspunten, dienstenniveaus en beheersdoelstellingen dienen per lijdt. contract en Service Level Agreement te zijn overeengekomen met de klantorganisatie. Overeengekomen beleidspunten zijn randvoorwaarden en richtlijnen die de De ICT-diensten, beleidspunten, dienstenniveaus en beheersdoelstellingen dienen per klantorganisatie stelt ten aanzien van de geleverde diensten, bijvoorbeeld eisen van het contract en Service Level Agreement te zijn overeengekomen met de klantorganisatie. eigen bedrijfsbeleid, specifieke regelgeving, milieueisen e.d. De aansluiting van deze Overeengekomen beleidspunten zijnbedrijfsdoelstellingen, randvoorwaarden enisrichtlijnen die de klant formele overeenkomst met de actuele de verantwoordelijkheid organisatie stelt ten aanzien van de geleverde diensten, bijvoorbeeld eisen vanishet van de klantorganisatie. Daarom richt deze beheersdoelstelling zich slechts op wat eigen bedrijfsbeleid, specifieke regelgeving, milieueisen e.d. De aansluiting van deze overeengekomen. formele overeenkomst met de actuele bedrijfsdoelstellingen is de verantwoordelijkheid van de klantorganisatie. Daarom richt deze beheersdoelstelling zich slechts op wat is overeengekomen.
26
27
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
2.4
Beheersmaatregelen
Nr. Beheersmaatregel Serviceplanning 01 De ICT-diensten van interne afdelingen en de daarbij horende voorwaarden (beleidspunten, dienstenniveaus, beheersdoelstellingen en geautoriseerde ontvangers van ICT-diensten) worden ondubbelzinnig overeengekomen in overeenstemming met de afspraken met klantorganisaties. 02 Communicatie- en escalatieprocedures, evenals rapportagevorm, -periodiciteit en inhoud, worden overeengekomen met de interne afdelingen. 03 De belanghebbenden van de ICT-diensten binnen de serviceorganisatie worden betrokken bij de contractvorming. Communicatie- en escalatieprocedures over de ICT-diensten van interne afdelingen worden ingericht binnen de serviceorganisatie. Uitvoering 05 Prestaties van geleverde ICT-diensten worden gemeten en geregistreerd. 06 Drempelwaarden zijn gedefinieerd en geïmplementeerd voor de (automatische) signalering van (dreigende) overschrijdingen van dienstenniveaus. Bewaking 07 Metingen en signaleringen van overschreden drempelwaarden worden geanalyseerd ten opzichte van de gestelde eisen. 08 Rapportages over de gerealiseerde dienstenniveaus en beheersdoelstellingen worden beoordeeld. 09 Periodiek wordt overlegd met de interne afdelingen over de gerealiseerde dienstenniveaus, geplande en uitgevoerde
Key
Doel
Vastleggingen
X
A
Operational level agreements en onderliggende documenten. Service Level Agreements.
X
A
Procedurebeschrijvingen.
A
A
Operational level agreements en onderliggende documenten. Notulen. Procedurebeschrijving.
A
Registratie van metingen.
A
Drempelwaarden (parameters) en signaalberichten.
X
A
Vastleggingen van analyses.
X
A
Service level rapportages. Interne auditrapportages.
X
A
Notulen Service Level Meetings. Service level rapportages.
04
wijzigingen, opgetreden incidenten en de perceptie van de kwaliteit van de ontvangen ICT-diensten.
28
X
Correspondentie.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. 10
Beheersmaatregel Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 11 Wijzigingsvoorstellen worden beoordeeld op consequenties voor de overeenkomsten met interne afdelingen. Onderhoud 12 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de diensten van interne afdelingen. 13 Aan te brengen veranderingen aan de diensten van interne afdelingen worden op afhandeling bewaakt. 14 Periodiek worden de overeenkomsten met interne afdelingen geëvalueerd en zonodig bijgesteld en herbevestigd door daartoe bevoegden van de betrokken partijen, in overeenstemming met de afspraken met klantorganisaties.
2.5
Key
Doel A
Vastleggingen Vastleggingen van analyses.
X
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen. Incidentmeldingen. Klachtenmeldingen. Correspondentie en voortgangsverslagen.
A
X
A
Operational level agreements en onderliggende documenten. Notulen. Service Level Agreements.
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Mate van afwijking van gerealiseerde versus afgesproken dienstenniveaus per evaluatieperiode. (R) 02 Aantal afwijkingen van service levels dat niet vooraf door de serviceorganisatie is gesignaleerd. (R) Prestatie-indicatoren te meten door de serviceorganisatie 03 Periodiciteit van de interne evaluatie van gerealiseerde versus afgesproken dienstenniveaus. (I) 04 Aantal service level bewakingsuren per periode. (I)
29
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
3
Supplier Management (SUP)
Normen voor de beheersing_B.doc
3. Supplier Management (SUP)
3.1 Definitie 3.1. Definitie Supplier Management draagt zorg voor het vastleggen en bewaken van de naleving Supplier Management zorg voor hetvan vastleggen en bewaken van de naleving van van de afspraken overdraagt de dienstverlening leveranciers aan de serviceorganisatie. de afspraken over de dienstverlening van leveranciers aan de serviceorganisatie. 3.2 Toelichting en afbakening 3.2. Toelichting en afbakening Ditproces procesis isbelast belastmet met borgen de aansluiting tussen en aanbod van Dit hethet borgen van van de aansluiting tussen vraagvraag en aanbod van ICTICT-diensten tussen de serviceorganisatie en de leveranciers (subserviceorganisaties). diensten tussen de serviceorganisatie en de leveranciers (subserviceorganisaties). Deze Deze aansluiting wordt geformaliseerd door het afsluiten en van onderhouden aansluiting wordt geformaliseerd door het afsluiten en onderhouden zogenaamdevan zogenaamde contracts. underpinning contracts. Supplier Management omvat het bewaken definiëren, underpinning Supplier Management omvat het definiëren, meten, en meten, bewakenvan en de doen verbeteren van dedoor ICT-dienstverlening door doen verbeteren ICT-dienstverlening de leveranciers aan de de leveranciers serviceorganisatie. Buiten het Supplier Management proces vallen de vallen besluitvorming aan de serviceorganisatie. Buiten het Supplier Management proces de besluitover de bron vandelevering (ook wel aangeduid “sourcing” “make-or-buy” vorming over bron van levering (ook welals aangeduid alsof “sourcing” of “make-orbesluitvorming) en overendeover selectie van de van leverancier (inkoop). buy” besluitvorming) de selectie de leverancier (inkoop). Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in in het proces Supplier Management de activiteiten te onderscheiden zoals in de het proces Supplier Management de activiteiten te onderscheiden zoals in de onderstaande figuur weergegeven. onderstaande figuur weergegeven.
30 30
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
3.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen. Toelichting van het risico: Indien de ICT-diensten van leveranciers niet voldoen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen, bestaat het risico dat de serviceorganisatie en haar klantorganisaties hun respectievelijke bedrijfsdoelstellingen niet behalen, dat hiervoor de serviceorganisatie aansprakelijk wordt gesteld en dat de serviceorganisatie hierdoor reputatie- en/of financiële schade lijdt. De ICT-diensten, beleidspunten, dienstenniveaus en beheersdoelstellingen dienen formeel te zijn overeengekomen met de leveranciers. Het is de verantwoordelijkheid van de serviceorganisatie om te bewaken dat deze formele overeenkomst is afgestemd met de actuele eigen bedrijfsdoelstellingen als ook met die van haar klantorganisaties. Daarom richt deze beheersdoelstelling zich op wat is vereist en niet slechts op wat is overeengekomen. 3.4
Beheersmaatregelen
Nr. Beheersmaatregel Serviceplanning 01 De ICT-diensten van leveranciers en de daarbij horende voorwaarden (beleidspunten, dienstenniveaus, beheersdoelstellingen en geautoriseerde ontvangers van ICT-diensten) worden formeel overeengekomen. Communicatie- en escalatieprocedures, 02 evenals rapportagevorm, -periodiciteit en inhoud, worden overeengekomen met de leveranciers. 03 De belanghebbenden van de ICT-diensten binnen de serviceorganisatie worden betrokken bij de contractvorming. 04 Communicatie- en escalatieprocedures over de ICT-diensten van leveranciers worden ingericht binnen de serviceorganisatie. Uitvoering 05 Prestaties van ontvangen ICT-diensten worden gemeten en geregistreerd.
Key
Doel
Vastleggingen
X
A
Contracten (underpinning contracts) en onderliggende documenten.
X
A
Procedurebeschrijvingen.
A
A
Contracten en onderliggende documenten. Notulen. Procedurebeschrijving.
A
Registratie van metingen.
X
31
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. 06
Beheersmaatregel Drempelwaarden zijn gedefinieerd en geïmplementeerd voor de (automatische) signalering van (dreigende) overschrijdingen van dienstenniveaus. Bewaking 07 Metingen en signaleringen van overschreden drempelwaarden worden geanalyseerd ten opzichte van de gestelde eisen. 08 Rapportages over de gerealiseerde dienstenniveaus en beheersdoelstellingen worden beoordeeld. 09 Periodiek wordt overlegd met de leveranciers over de gerealiseerde dienstenniveaus, geplande en uitgevoerde wijzigingen, opgetreden incidenten en de perceptie van de kwaliteit van de ontvangen ICT-diensten. 10 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 11 Wijzigingsvoorstellen worden beoordeeld op consequenties voor de overeenkomsten met leveranciers. Onderhoud 12 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de diensten van leveranciers. 13 Aan te brengen veranderingen aan de diensten van leveranciers worden op afhandeling bewaakt. Periodiek worden de overeenkomsten met 14 leveranciers geëvalueerd en zonodig bijgesteld en herbevestigd door daartoe bevoegden van de betrokken partijen.
32
Key
Doel A
Vastleggingen Drempelwaarden (parameters) en signaalberichten.
X
A
Vastleggingen van analyses.
X
A
X
A
Service level rapportages. Third party en auditrapportages. Notulen Service Level Meetings. Service level rapportages. Correspondentie.
X
A
Vastleggingen van analyses.
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen. Incidentmeldingen. Klachtenmeldingen. Correspondentie en voortgangsverslagen.
A
X
A
Contracten en onderliggende documenten. Notulen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
3.5
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Periodiciteit van beoordeling van rapportages over gerealiseerde dienstenniveaus (service level rapportages van de leverancier) en beheersdoelstellingen (auditrapportages van de leverancier) door de leverancier. (I) 02 Snelheid van rapportage door leveranciers (periode tussen de datum van rapportage en de einddatum waarover wordt gerapporteerd). (I) 03 Periodiciteit van evaluatiebesprekingen per leverancier (service level meetings) per periode. (I) 04 Aantal supply management bewakingsuren per periode. (I) 05 Periodiciteit van evaluatie van de contracten per leverancier. (I) 06 Aantal afwijkingen in het nakomen van afspraken per leverancier per periode. (R) 07 Aantal incidenten per leverancier per impactcategorie per periode. (I)
33
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
4
Security Management (SEC)
4.1
Definitie
Security Management draagt zorg voor het in kaart brengen en adresseren van de risico’s van vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid die van toepassing zijn op de ICT-diensten. 4.2
Toelichting en afbakening
Het doel van Security Management is om te waarborgen dat alle risico’s van vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid, die relevant zijn voor de ICT-diensten, systematisch in kaart worden gebracht en worden geadresseerd. De reikwijdte van ICT Security Management omvat zowel de ontwikkel- als exploitatiefase van ICT-diensten. Tijdens de ontwikkelfase van ICT-diensten dient een risicoanalyse plaats te vinden en dient in het ontwerp een keuze te worden gemaakt voor passende beheersmaatregelen (beveiligingsontwerp) ter afdekking van de risico’s. In de exploitatiefase dienen de beheersmaatregelen in stand te worden gehouden en dient actie te worden ondernomen op relevante gebeurtenissen. De eigenaren van de ICT-diensten zijn verantwoordelijk voor het vaststellen van het beveiligingsniveau. Dit normenstelsel richt zich echter uitsluitend op de exploitatiefase. Hierom zullen in dit normenstelsel eisen worden gesteld aan de producten van de ontwikkelfase in de vorm van acceptatiecriteria. Het proces Security Management vertoont gelijkenis met de aanverwante processen Capacity, Availability, Continuity, Infrastructure en Access Management. Al deze processen zijn te ordenen volgens de kwaliteitscyclus “Plan - Do - Check - Act” of “Planning - Implementatie - Bewaking - Onderhoud”. Het op te stellen beveiligingsontwerp vervult een regiefunctie voor andere detailontwerpen van de beveiliging van de aanverwante processen, zoals beveiligingsstandaarden en baselines, autorisatie matrices, capaciteitsplannen, beschikbaarheidsplannen en continuïteitsplannen. Ook zal er een mate van overlap zijn tussen Security Management en deze aan verwante processen, omdat al deze processen te maken hebben met risicoanalyse en beveiliging. Security Management richt zich hierbij op het complete spectrum van vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid, terwijl de andere processen zich op enkele specifieke criteria richten. Security Management moet daarom worden gezien als een tactisch proces dat als paraplu dient voor de aanpak van risico’s c.q. als vangnet voor risico’s die niet worden geadresseerd door een van de specifiekere processen. Ook kan het in de praktijk nodig zijn om verwijzingen aan te brengen tussen Security Management en de aanverwante processen. 34
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Security Management de activiteiten te onderscheiden zoals in de Normen voor de beheersing_B.doc onderstaande figuur weergegeven.
4.3. Beheersdoelstellingen 4.3. Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaargewaarborgd: borgd: A
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en A Alle risico’s de vertrouwelijkheid, integriteit, beschikbaarheid controleerbaarheid van voor de ICT-diensten dienen te worden geadresseerd. en controleerbaarheid van de ICT-diensten dienen te worden Toelichting: geadresseerd. Indien niet alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid de ICT-diensten zijn geadresseerd, loopt de serviceorganisatie Toelichting van hetvan risico: de kans dat deze risico’s worden afgedekt,integriteit, waardoor ongewenste Indien niet alle risico’s onvoldoende voor de vertrouwelijkheid, beschikbaarheid en reputatie- en/of financiële schade kan ontstaan voor de serviceorganisatie, al dan niet controleerbaarheid van de ICT-diensten zijn geadresseerd, loopt de serviceorganisatie via vorderingen van haar klantorganisaties. de kans dat deze risico’s onvoldoende worden afgedekt, waardoor ongewenste Het adresseren van een risicoschade kan opkan verschillende manieren plaatsvinden: al dan niet reputatieen/of financiële ontstaan voor de serviceorganisatie, via •vorderingen van haar klantorganisaties. De serviceorganisatie kan beheersmaatregelen invoeren ter afdekking van een Het adresseren risico; van een risico kan op verschillende manieren plaatsvinden: • •De Een serviceorganisatie kan beheersmaatregelen invoeren ter afdekking van een risico kan worden verzekerd; risico; serviceorganisatie kan een risico accepteren; • •EenDe risico kan worden verzekerd; • •De Een serviceorganisatie een risico accepteren; combinatie vankan de bovengenoemde aanpakken kan worden gevolgd voor deelrisico’s. De reikwijdte van de risicobeoordeling hoeft in dit kader alleen de risico’s van de ICT35
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
• Een combinatie van de bovengenoemde aanpakken kan worden gevolgd voor deelrisico’s. De reikwijdte van de risicobeoordeling hoeft in dit kader alleen de risico’s van de ICT-diensten te betreffen, die een serviceorganisatie levert aan haar klantorganisaties. Interne risico’s van de serviceorganisatie zelf, of inhoudelijke risico’s van bedrijfs applicaties en -gegevens van klantorganisaties, vallen buiten het bereik van deze risico beoordeling. 4.4
Beheersmaatregelen
Nr. Beheersmaatregel Beveiligingsontwerp 01 Door de serviceorganisatie is een beveiligingsbeleid vastgesteld voor ICTdiensten in overeenstemming met de beleidspunten van klantorganisaties. 02 Er is een actuele, gedocumenteerde en door het management geaccordeerde risicoanalyse uitgevoerd voor de ICT-diensten in relatie tot de afgesproken beleidspunten, dienstenniveaus en beheersdoelstellingen. 03 Er is een actueel, gedocumenteerd en door het management geaccordeerd beveiligingsontwerp aanwezig voor de ICTdiensten, inclusief het accorderen door het management van niet afgedekte (rest)risico’s. Uitvoering Bewaking 04 Meldingen van beveiligingsrisico’s door externe instanties worden ontvangen en beoordeeld. 05 Periodiek worden ICT-diensten beoordeeld op kwetsbaarheden. 06 Periodiek wordt de naleving van het beveiligingsontwerp getoetst. 07 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 08 Wijzigingsvoorstellen worden beoordeeld op consequenties voor het beveiligingsontwerp.
36
Key
Doel
Vastleggingen
X
A
Beveiligingsbeleid.
X
A
X
A
Risicoanalyse document met bijbehorende beheersdoelstellingen. Toegangspadanalyse document. Beveiligingsontwerp (en -architectuur) met geselecteerde beheersmaatregelen.
X
X
A
CERT-advisories en correspondentie.
A
Testplan en -rapportage.
A
Controleverslag.
A
Vastleggingen van analyses.
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Beheersmaatregel Onderhoud 09 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de beheersmaatregelen. 10 Aan te brengen veranderingen aan de beheersmaatregelen worden op afhandeling bewaakt. 11 Periodiek worden de risicoanalyse en het beveiligingsontwerp geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
4.5
Key
X
Doel
Vastleggingen
A
Wijzigingsvoorstellen. Incidentmeldingen.
A
Correspondentie en voortgangsverslagen.
A
Risicoanalyse document met bijbehorende beheersdoelstellingen. Beveiligingsontwerp (en -architectuur) met geselecteerde beheersmaatregelen.
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Periodiciteit van de evaluatie van risico’s en van het beveiligingsontwerp. (I) 02 Aantal beveiligingsincidenten per impactcategorie per evaluatieperiode. (I) 03 Periodiciteit van het testen op kwetsbaarheden. (I) 04 Aantal bewakingsuren voor security management per periode. (I)
37
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
5 Infrastructure Management (INF) 5. Infrastructure Management (INF) Normen voor de beheersing_B.doc
5.1. Definitie 5.1 Definitie Infrastructure Management draagt zorg voor de correcte werking van de ICT-middelen. Infrastructure Management draagt zorg voor de correcte werking van de ICTmiddelen. en afbakening 5.2. Toelichting Het doel van Infrastructure 5.2 Toelichting enManagement afbakeningin de context van dit document is om een correcte werking van ICT-middelen (infrastructuur) te waarborgen.
Het doel van Infrastructure Management in de context van dit document De levenscyclus van ICT-middelen omvat enerzijds een ontwikkelfase en eenis om een correcte werking van ICT-middelen (infrastructuur) te waarborgen. exploitatiefase. De ontwikkelfase bestaat op hoofdlijnen uit de subfasen: definitie van functionele (inrichtings-)eisen, ontwerp, bouw en implementatie. De ontwikkelfase valt De levenscyclus vanvan ICT-middelen een ontwikkelfase en een exploitatiefase. buiten de reikwijdte dit document.omvat Anderzijds is er de exploitatiefase, waarin de De ontwikkelfase bestaat opwordt hoofdlijnen uit deEen subfasen: definitie van van functionele inrichting van ICT-middelen onderhouden. effectieve inrichting ICTmiddelen is mede afhankelijk van een uitgevoerdeDe ontwikkelfase. (inrichtings-)eisen, ontwerp, bouw engoed implementatie. ontwikkelfase valt buiten de reikwijdte van dit document. In de exploitatiefase wordt de inrichting van ICTNaast de generieke beheersmaatregelen, die gelden voor van ieder ICT-middelen ICT-beheerproces, in middelen onderhouden. Een effectieve inrichting is zijn mede het proces Infrastructuur Management de activiteiten te onderscheiden zoals in de afhankelijk van een goed uitgevoerde ontwikkelfase. onderstaande figuur weergegeven.
38 38
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Infrastructuur Management de activiteiten te onderscheiden zoals in de voorgaande figuur weergegeven. 5.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Toelichting van het risico: Indien de instellingen van de ICT-middelen, die ICT-diensten ondersteunen, niet overeenkomen met het geautoriseerde ontwerp, bestaat het risico dat de integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten niet worden geborgd in overeenstemming met de eisen van management en worden aangetast, doordat de werking van de onderliggende ICT-middelen kan zijn veranderd. De mate waarin de instellingen van ICT-middelen de integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten waarborgen, is een ontwerpkeuze die buiten de reikwijdte van de exploitatieorganisatie valt. Het ontwerp dient te zijn geautoriseerd door of namens de eigenaren van de ICT-diensten (al dan niet na instemming van de klantorganisatie). B Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toelichting van het risico: Indien pogingen tot ongeautoriseerde toegang tot ICT-middelen niet tijdig worden gedetecteerd, bestaat het risico dat de integriteit en beschikbaarheid van de ICTdienst, de vertrouwelijkheid van opgeslagen gegevens en/of de beschikbaarheid van opgeslagen gegevens worden aangetast, wanneer ongeautoriseerden toegang krijgen tot de ICT-middelen. 5.4
Beheersmaatregelen
Nr. Beheersmaatregel Inrichtingsplanning 01 Er is een actuele, gedocumenteerde en door het management geaccordeerde
Key
Doel
Vastleggingen
X
AB
Beveiligingsstandaard.
beveiligingsstandaard voor de ICT-middelen van de ICT-diensten.
39
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Beheersmaatregel Uitvoering 02 Het gebruik/toegang en pogingen tot ongeautoriseerd gebruik/toegang van de ICT-middelen worden geregistreerd. 03 Drempelwaarden zijn gedefinieerd en geïmplementeerd voor de (automatische) signalering van (dreigende) beveiligingsrisico’s. 04 Testplannen zijn opgesteld voor het testen van de kwetsbaarheid van (onderdelen van) de inrichting. Bewaking 05 Meldingen van beveiligingsrisico’s en aanbevolen wijzigingen (patches) door leveranciers worden ontvangen en beoordeeld. 06 Registraties van gebruik/toegang en van pogingen tot ongeautoriseerd gebruik/ toegang van de ICT-middelen worden regelmatig onderzocht op indicaties van ongeoorloofd gebruik en zonodig worden corrigerende acties geïnitieerd. 07 Periodiek wordt de inrichting getest in overeenstemming met de testplannen. 08 Periodiek wordt de inrichting van ICTmiddelen gecontroleerd op naleving van de beveiligingsstandaard. 09 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. Wijzigingsvoorstellen worden beoordeeld op 10 consequenties voor de beveiligingsstandaard.
Key
Doel
Vastleggingen
X
B
Toegangsregistratie
AB
Drempelwaarde (parameter) en signaalbericht.
AB
Testplannen
AB
Release notes van patches en gerelateerde interne documentatie.
X
B
Werkinstructie. Uitzonderings rapportages. Correspondentie
X
A
Testresultaten
X
AB
Controleverslag.
A
Vastleggingen van analyses.
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
AB
Wijzigingsvoorstellen. Incidentmeldingen.
AB
Correspondentie en voortgangsverslagen.
AB
Beveiligingsstandaard.
X
X
Onderhoud 11 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de inrichting. 12 Aan te brengen veranderingen aan de dienstenlevering worden op afhandeling bewaakt. 13
40
Periodiek wordt de beveiligingsstandaard geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
X
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
5.5
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Periodiciteit van de evaluatie van de beveiligingsstandaard. (I) 02 Aantal incidenten per impactcategorie per evaluatieperiode toe te schrijven aan afwijkingen van de beveiligingsstandaard. (I) 03 Periodiciteit van controle op de naleving van de beveiligingsstandaard. (I) 04 Aantal bewakingsuren voor Infrastructuur Management per periode. (I)
41
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
6
Access Management (ACC)
Normen voor de beheersing_B.doc
6.1 Definitie 6. Access Management (ACC) Access Management draagt zorg voor het beheren van de toegang tot de ICT-diensten 6.1. Definitie en ICT-middelen. Access Management draagt zorg voor het beheren van de toegang tot de ICT-diensten en ICT-middelen. 6.2 Toelichting en afbakening
6.2. Toelichting afbakening Het doel vanentoegangsbeveiliging is het beschermen van de ICT-diensten en ICTmiddelen tegen ongeautoriseerd gebruik, aanpassing, enen vernietiging. Het doel van toegangsbeveiliging is het beschermen vanbekendmaken de ICT-diensten ICTDit doel wordt bereikt door middel van het beperken van de toegang tot ICT-diensten middelen tegen ongeautoriseerd gebruik, aanpassing, bekendmaken en vernietiging. Dit en overeenstemming met te formuleren eisen door de eigenarenenvan doelICT-middelen wordt bereikt in door middel van het beperken van de toegang tot ICT-diensten ICT-diensten enovereenstemming ICT-middelen. Access Management van de toepassing ICT-middelen in met te formuleren eisenis door eigenarenop vanzowel ICTlogische als ICT-middelen. fysieke beveiliging. diensten en Access Management is van toepassing op zowel logische als
fysieke beveiliging. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn Naast generieke die geldentevoor ieder ICT-beheerproces, zijn in in het de proces Accessbeheersmaatregelen, Management de activiteiten onderscheiden zoals in de onderhet proces Access Management de activiteiten te onderscheiden zoals in de staande figuur weergegeven. onderstaande figuur weergegeven.
42
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
6.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders. Toelichting van het risico: Indien de toegang tot ICT-diensten en -middelen niet is beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders, bestaat het risico dat: • de integriteit van ICT-diensten wordt aangetast (doordat ongeautoriseerde wijzigingen kunnen zijn aangebracht aan de onderliggende ICT-middelen); • de integriteit van data wordt aangetast (doordat ongeautoriseerde transacties kunnen zijn uitgevoerd); • de vertrouwelijkheid van opgeslagen gegevens wordt aangetast. De beperking tot geautoriseerd gebruik duidt op de toegestane autorisaties zoals: kennisnemen, wijzigen, creëren, kopiëren, verwijderen en exploitatie. De beperking tot geautoriseerde gebruikers en beheerders impliceert identificatie en authenticatie van gebruikers en beheerders. Afhankelijk van de ICT-dienst en de afspraken met de klantorganisatie kan het nodig zijn om onderscheid te maken tussen toegang door gebruikers van de serviceorganisatie en toegang door gebruikers van de klantorganisaties. De toegang dient te zijn geautoriseerd door of namens de eigenaren van de ICT-diensten en -middelen en, afhankelijk van de ICT-dienst en afspraken met de klantorganisatie, door de klant organisatie. 6.4
Beheersmaatregelen
Nr. Beheersmaatregel Toegangsplanning 01 Er is een actuele, gedocumenteerde en door de eigenaren van de ICT-diensten en middelen geaccordeerde (toegangs-) beveiligingsstandaard en autorisatiematrix. Uitvoering 02 Unieke identiteitskenmerken (zoals gebruikersnamen en pasjes) worden toegekend aan gebruikers en beheerders na controle van de identiteit van de gebruikers en beheerders en na goedkeuring door of namens het verantwoordelijke management.
Key
Doel
Vastleggingen
X
A
Autorisatiematrix. Beveiligingsstandaard.
X
A
Werkinstructies / standaard change
43
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. 03
Beheersmaatregel Individuele en geheime authenticatiemiddelen worden uitgegeven aan gebruikers en beheerders zodanig dat deze middelen niet in handen komen van ongeautoriseerde personen. 04 Toegangsrechten worden uitgegeven aan gebruikers en beheerders na goedkeuring door het verantwoordelijke management. Bewaking 05 Toegangsrechten en de identiteits- en authenticatiemiddelen worden gedeactiveerd of ingetrokken nadat hiervan gedurende een vastgestelde periode geen gebruik is gemaakt. 06 Functiewijzigingen en uitdiensttredingen worden bewaakt voor aanpassen van de toegangsrechten en voor intrekken van de identiteits- en authenticatiemiddelen.
Key X
Doel A
Vastleggingen Werkinstructies / standaard change
X
A
Werkinstructies / standaard change
A
Procedure/beschrijving technische maatregelen
X
A
07
Periodiek worden toegangsrechten op actualiteit gecontroleerd en bevestigd door het verantwoordelijke management.
X
A
08
Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. Wijzigingsvoorstellen worden beoordeeld op consequenties voor de toegangsrechten.
A
Procedures beheer toegangsrechten. Informatie van management/ personeelszaken over functiewijzigingen. Controleverslag. Door management geaccordeerde overzichten van aanwezige autorisaties. Vastleggingen van analyses.
09
X
Onderhoud 10 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de toegangsrechten en uitgegeven identiteits- en authenticatiemiddelen. 11 Aan te brengen veranderingen aan de toegangsrechten en identiteits- en authenticatiemiddelen worden op afhandeling bewaakt. 12 Periodiek worden de (toegangs-) X beveiligingsstandaard en toegangsrechten geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
44
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen.
A
Correspondentie en voortgangsverslagen.
A
Autorisatiematrix. (Toegangs-) beveiligingsstandaard.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
6.5
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Periodiciteit van controle op de naleving van de autorisatiematrix (voor toegang door gebruikers van de klantorganisatie). (I) Prestatie-indicatoren te meten door de serviceorganisatie 02 Periodiciteit van de evaluatie van de autorisatiematrix (voor toegang door gebruikers en beheerders van de serviceorganisatie). (I) 03 Periodiciteit van controle op de naleving van de toegangsprocedures (voor toegang door gebruikers en beheerders van de serviceorganisatie). (I) 04 Aantal incidenten per impactcategorie per evaluatieperiode toe te schrijven aan afwijkingen van de autorisatiematrix (voor toegang door gebruikers en beheerders van de service- en klantorganisatie). (R)
45
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
7
Capacity Management (CAP)
7.1
Definitie
Capacity Management draagt zorg voor het aanwezig zijn van capaciteit van de ICTdiensten en ICT-middelen in overeenstemming met het afgesproken niveau van dienstverlening en met de doelstellingen van het management. 7.2
Toelichting en afbakening
Het doel van Capacity Management is het realiseren van de benodigde capaciteit van de ICT-middelen die de ICT-diensten moeten realiseren. Uit de capaciteitsbehoefte voor de ICT-diensten dient de capaciteitsbehoefte voor de ICT-middelen te worden afgeleid door de serviceorganisatie. Capacity Management is belast met: • Planning van de capaciteit op basis van de afgesproken niveaus van dienst verlening; • Bewaking van de prestaties en belasting van de ICT-diensten en ICT-middelen; • Zonodig uitbreiding van de capaciteit van de ICT-middelen door het indienen van wijzigingsverzoeken via Change Management.
Normen voor de beheersing_B.doc
7.3. Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd:
46
A
De ICT-diensten dienen de overeengekomen werklast te kunnen verwerken. Toelichting:
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Capacity Management de activiteiten te onderscheiden zoals in de voorgaande figuur weergegeven. 7.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A De ICT-diensten dienen de overeengekomen werklast te kunnen verwerken. Toelichting van het risico: Indien de capaciteit van de ICT-diensten niet voldoende is, bestaat het risico dat de ICT-diensten niet voldoende beschikbaar is voor de klantorganisatie om de werklast tijdig te verwerken. Bij het achteraf evalueren van deze beheersdoelstelling, dient niet alleen te worden beoordeeld of de vereiste beschikbaarheid is behaald; het gaat er ook om of de beschikbaarheid zou zijn gewaarborgd onder een afgesproken (piek)belasting. 7.4
Beheersmaatregelen
Nr. Beheersmaatregel Capaciteitsplanning 01 Er is een actueel, gedocumenteerd en door het management geaccordeerd capaciteitsplan voor de ICT-diensten. Uitvoering 02 Capaciteitsverbruik wordt continu gemeten en geregistreerd. Drempelwaarden zijn gedefinieerd en 03 geïmplementeerd voor de (automatische) signalering van (dreigende) capaciteitsoverschrijdingen. Bewaking 04 Capaciteitsmetingen worden periodiek geanalyseerd ten opzichte van de gestelde eisen en de verwachte werklast. 05 Periodiek wordt de capaciteit van ICTmiddelen gecontroleerd op naleving van het capaciteitsplan. 06 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends.
Key
Doel
Vastleggingen
X
A
Capaciteitsplan
X
A
Capaciteitsregistratie
A
Drempelwaarde (parameter) en signaalbericht.
X
A
Capaciteitsrapportage
X
A
Controleverslag.
A
Vastleggingen van analyses.
47
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. 07
Beheersmaatregel Wijzigingsvoorstellen worden beoordeeld op consequenties voor het capaciteitsplan.
Key X
Onderhoud 08 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de capaciteit van de ICT-middelen. 09 Aan te brengen veranderingen aan de
10
7.5
capaciteit van de ICT-middelen worden op afhandeling bewaakt. Periodiek wordt het capaciteitsplan geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
Doel A
Vastleggingen Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen. Incidentmeldingen.
A
Correspondentie en voortgangsverslagen.
X
A
Capaciteitsplan
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Karakteristiek van de belasting van de ICT-dienst, zoals de gemiddelde belasting, piekbelasting en verdeling van de belasting. (I) 02 Responsetijd van de ICT-dienst. (I) 03 Aantal afwijkingen in de beschikbaarheid dat niet vooraf door de serviceorganisatie is aangekondigd of gesignaleerd. (R) Prestatie-indicatoren te meten door de serviceorganisatie 04 Periodiciteit van de evaluatie van het capaciteitsplan. (I) 05 Aantal capaciteitsincidenten per impactcategorie per evaluatieperiode. (I) 06 Aantal bewakingsuren voor Capacity Management per periode. (I)
48
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
8 Availability Management (AVA) 8.1
Definitie
Availability Management draagt zorg voor het beschikbaar houden van ICT-diensten onder normale bedrijfsomstandigheden en op de normale productielocatie, in overeenstemming met het afgesproken niveau van dienstverlening. 8.2
Toelichting en afbakening
Het doel van Availability Management is om de ICT-diensten beschikbaar te houden in overeenstemming met de met klanten afgesproken beschikbaarheid en met de eisen van het management van de serviceorganisatie. Availability Management richt zich daarbij alleen op normale bedrijfsomstandigheden en niet op de beschikbaarheid van ICT-diensten na het optreden van en tijdens calamiteiten: het beheersen van calamiteitensituaties behoort tot het proces Continuity Management. Availability Management kenmerkt zich door: continue meting van de beschikbaarheid; redundante, actieve componenten; en normale beschikbaarheid van productie locaties en personeel. Continuity Management kenmerkt zich door: verplaatsing van de productie naar een andere locatie; beperkte beschikbaarheid van personeel; en inschakeling van vervangende componenten. Het proces Availability Management start bij het treffen van maatregelen om aan de beschikbaarheidseisen te kunnen voldoen. Het bepalen van de beschikbaarheidseisen is de verantwoordelijkheid van de klantorganisatie en van het management van de serviceorganisatie. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Availability Management de activiteiten te onderscheiden zoals in de navolgende figuur weergegeven.
49
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Normen voor de beheersing_B.doc
8.3. Beheersdoelstellingen 8.3 Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaargewaarborgd:
borgd:
A
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het A De ICT-diensten dienen onder tenormale overeengekomen niveau van beschikbaarheid voldoen. bedrijfsomstandigheden Toelichting:aan het overeengekomen niveau van beschikbaarheid te voldoen. Indien de beschikbaarheid van de ICT-diensten niet voldoet aan het overeengekomen Toelichting van het risico: dienstenniveau, bestaat het risico dat de klantorganisatie haar bedrijfsdoelstellingen Indien de beschikbaarheid van de ICT-diensten niet voldoet aan het overeengekomen niet behaalt, dat de serviceorganisatie hiervoor aansprakelijk wordt gesteld en dat de dienstenniveau, bestaat hetreputatierisico dat de financiële klantorganisatie haar bedrijfsdoelstellingen serviceorganisatie hierdoor en/of schade lijdt.
niet behaalt, dat de serviceorganisatie hiervoor aansprakelijk wordt gesteld en dat de
Bij het achteraf evalueren van deze beheersdoelstelling, dient niet alleen te worden serviceorganisatie hierdoor reputatie- en/of financiële schade lijdt. beoordeeld of de vereiste beschikbaarheid is behaald; het gaat er ook om of de beschikbaarheid zou zijn gewaarborgd indien zich incidenten zouden hebben Bij het achteraf evalueren van deze dient niet alleen te worden voorgedaan die worden gerekend tot debeheersdoelstelling, normale bedrijfsomstandigheden en waarvoor beoordeeld of de vereiste beschikbaarheid is behaald; het gaat er ook om of de beschikbeschikbaarheidsmaatregelen zijn afgesproken.
baarheid zou zijn gewaarborgd indien zich incidenten zouden hebben voorgedaan die worden gerekend tot de normale bedrijfsomstandigheden en waarvoor beschikbaarheidsmaatregelen zijn afgesproken.
51
50
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
8.4
Beheersmaatregelen
Nr. Beheersmaatregel Beschikbaarheidsplanning 01 Er is een actueel, gedocumenteerd en door het management geaccordeerd beschikbaarheidsplan voor de ICT-diensten. 02 De ICT-middelen zijn onderworpen aan een onderhouds- en vervangingsplan. Uitvoering 03 Tijdsblokken zijn afgesproken met klanten voor het uitvoeren van onderhoud aan de ICT-middelen (geplande downtime). 04 Beschikbaarheid van ICT-diensten en de ICT-middelen wordt continu (geautomatiseerd) gemeten en geregistreerd. 05 Testplannen zijn opgesteld voor het testen van (onderdelen van) het beschikbaarheidsplan, gericht op de afgesproken dienstenniveaus. Bewaking 06 Beschikbaarheidsmetingen worden periodiek geanalyseerd ten opzichte van de gestelde eisen en de verwachte werklast. 07 Periodiek worden de ICT-middelen gecontroleerd op naleving van het onderhouds- en vervangingsplan en worden de maatregelen van beschikbaarheid getest in overeenstemming met het testplan. 08 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 09 Wijzigingsvoorstellen worden beoordeeld op consequenties voor het beschikbaarheidsplan.
Key
Doel
Vastleggingen
X
A
Beschikbaarheidsplan.
A
Onderhoudscontracten
A
Onderhoudsrooster
X
A
Beschikbaarheidsregistratie
X
A
Testplannen
X
A
Beschikbaarheidsrapportage
X
A
Controleverslag.
A
Vastleggingen van analyses.
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen. Incidentmeldingen.
A
Correspondentie en voortgangsverslagen.
A
Beschikbaarheidsplan.
X
Onderhoud 10 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de beschikbaarheid van de ICT-middelen. 11 Aan te brengen veranderingen aan de beschikbaarheid worden op afhandeling 12
bewaakt. Periodiek wordt het beschikbaarheidsplan geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
X
51
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
8.5
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Percentage gerealiseerde beschikbaarheid ten opzichte van de afgesproken beschikbaarheid. (R) 02 Aantal afwijkingen in de beschikbaarheid dat niet vooraf door de serviceorganisatie is aangekondigd of gesignaleerd. (R) Prestatie-indicatoren te meten door de serviceorganisatie 03 Periodiciteit van de evaluatie van het beschikbaarheidsplan. (I) 04 Aantal beschikbaarheidsincidenten per impactcategorie per evaluatieperiode. (I) 05 Aantal bewakingsuren voor Availability Management per periode. (I)
52
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
9 Continuity Management (CTY) 9.1
Definitie
Continuity Management draagt zorg voor het herstellen van ICT-diensten na het optreden van een calamiteit, in overeenstemming met het afgesproken niveau van dienstverlening, en kenmerkt zich door het inzetten van vervangende ICT-middelen. 9.2
Toelichting en afbakening
Het doel van Continuity Management is om zeker te stellen dat de ICT-middelen en de ICT-diensten na en tijdens het optreden van een calamiteit zo snel mogelijk weer worden hersteld binnen de afspraken die hierover met de klanten zijn gemaakt. Continuity Management houdt zich niet bezig met het beschikbaar zijn van ICTdiensten onder normale bedrijfsomstandigheden: het beheersen van de normale beschikbaarheid behoort tot het proces Availability Management Continuity Management kenmerkt zich door: verplaatsing van de productie naar een andere locatie; beperkte beschikbaarheid van personeel; en inschakeling van ver vangende componenten. Availability Management kenmerkt zich door: continue meting van de beschikbaarheid; redundante, actieve componenten; en normale beschikbaarheid van productielocaties en personeel. Het proces Continuity Management start bij het treffen van maatregelen om te kunnen voldoen aan de continuïteitseisen die zijn afgesproken met klantorganisaties. Om er zeker van te zijn dat de gekozen maatregelen ook daadwerkelijk werken wordt de uitwijkbaarheid en herstelbaarheid periodiek getest.Het bepalen van de continuïteits eisen is de verantwoordelijkheid van de klantorganisatie (Business Continuity Management). Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Continuity Management de activiteiten te onderscheiden zoals in de navolgende figuur weergegeven.
53
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Normen voor de beheersing_B.doc
9.3. Beheersdoelstellingen 9.3 Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaargewaarborgd:
borgd:
A
De ICT-diensten dienen in het geval van een calamiteit tijdig herstelbaar te zijn.
A De ICT-diensten dienen in het geval van een calamiteit tijdig herstelbaar te zijn.
Toelichting:
Indien de ICT-diensten niet tijdig zijn hersteld na een calamiteit, bestaat het risico dat de ICT-diensten onvoldoende beschikbaar zijn, dat klantorganisatie haar Toelichting van het risico: bedrijfsdoelstellingen hierdoor niet behaalt, dat de serviceorganisatie hiervoor Indien de ICT-diensten niet tijdig zijn hersteld na een calamiteit, bestaat het risico dat aansprakelijk wordt gesteld en dat de serviceorganisatie hierdoor reputatie- en/of de ICT-diensten onvoldoende beschikbaar zijn, dat klantorganisatie haar bedrijfs financiële schade lijdt.
doelstellingen hierdoor niet behaalt, dat de serviceorganisatie hiervoor aansprakelijk
Bij het achteraf evalueren van deze beheersdoelstelling, dient niet alleen te worden wordt gesteld en dat de serviceorganisatie hierdoor reputatie- en/of financiële schade beoordeeld of de vereiste continuïteit is behaald; het gaat er ook om of de continuïteit lijdt.zijn gewaarborgd indien zich een calamiteit zou hebben voorgedaan waarvoor zou continuïteitsmaatregelen zijn afgesproken.
Bij het achteraf evalueren van deze beheersdoelstelling, dient niet alleen te worden beoordeeld of de vereiste continuïteit is behaald; het gaat er ook om of de continuïteit zou zijn gewaarborgd indien zich een calamiteit zou hebben voorgedaan waarvoor continuïteitsmaatregelen zijn afgesproken.
55
54
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
9.4
Beheersmaatregelen
Nr. Beheersmaatregel Continuïteitsplanning 01 Er is een actueel, gedocumenteerd en door het management geaccordeerd continuïteitsplan voor de ICT-diensten. Uitvoering 02 Testplannen zijn opgesteld voor het testen van (onderdelen van) het continuïteitsplan, gericht op de afgesproken dienstenniveaus. Bewaking 03 Periodiek wordt het continuïteitsplan getest in overeenstemming met de testplannen. 04 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 05 Wijzigingsvoorstellen worden beoordeeld op consequenties voor het continuïteitsplan. Onderhoud 06 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de continuïteitsmaatregelen. 07 Aan te brengen veranderingen aan de continuïteitsmaatregelen worden op afhandeling bewaakt. 08 Periodiek wordt het continuïteitsplan geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
9.5
Key
Doel
Vastleggingen
X
A
Continuïteitsplan.
X
A
Testplannen
X
A
Testresultaten
A
Vastleggingen van analyses.
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen.
A
Correspondentie en voortgangsverslagen.
A
Continuïteitsplan.
X
X
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Hersteltijd van de ICT-diensten per soort calamiteit. (I) Prestatie-indicatoren te meten door de serviceorganisatie 02 Periodiciteit van de evaluatie van het continuïteitsplan. (I) 03
Percentage van het continuïteitsplan dat succesvol is getest per evaluatieperiode. (R)
55
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
10 Configuration Management (CON) 10.1
Definitie
Configuration Management draagt zorg voor de vastlegging van gegevens over de ICT-middelen en ICT-diensten en voor het beschikbaar stellen van deze gegevens aan de andere ICT-beheerprocessen. 10.2
Toelichting en afbakening
Het doel van Configuration Management is het leveren van actuele en relevante informatie aan andere ICT-beheerprocessen over de ICT-middelen, hun onderlinge relaties en de relaties met de ICT-diensten. Met dit doel worden ICT-middelen (“configuration items”) geïdentificeerd, worden gegevens over de configuration items vastgelegd, bij voorkeur in een geautomatiseerde database (de “Configuration Management Data Base” of “CMDB”), en wordt de registratie periodiek vergeleken, en in overeenstemming gebracht, met de werkelijkheid. Configuration Management dient niet te worden verward met Asset Management. Onder het proces Asset Management worden in het bijzonder financiële gegevens over ICT-middelen vastgelegd, die minder of niet relevant zijn voor de ICT-beheerprocessen ten aanzien van de betrouwbaarheid en continuïteit van de dienstverlening. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Configuration Management de activiteiten te onderscheiden zoals in de navolgende figuur weergegeven.
56
Normen voor de beheersing_B.doc
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
10.3. Beheersdoelstellingen 10.3 Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaargewaarborgd:
borgd:
A
Configuration items, hun kenmerken en onderlinge samenhang dienen juist en A Configuration items,enhun kenmerken en onderlinge samenhang volledig te worden geïdentificeerd vastgelegd. Toelichting:dienen juist en volledig te worden geïdentificeerd en vastgelegd. Indien configuration items niet juist en volledig worden geïdentificeerd en vastgelegd, Toelichting van het risico: bestaat het risico dat de hiervan afhankelijke ICT-beheerprocessen niet van juiste en Indien configuration items niet juist en volledig worden geïdentificeerd en vastgelegd, volledige informatie worden voorzien over de configuration items, waardoor zowel de bestaat het risicointegriteit, dat de hiervan afhankelijkealsICT-beheerprocessen niet beschikbaarheid, vertrouwelijkheid controleerbaarheid van de van ICT-juiste en volledige informatie worden voorzien over de configuration items, waardoor zowel de diensten kan worden aangetast.
beschikbaarheid, integriteit, vertrouwelijkheid als controleerbaarheid van de ICT-
De relevantie van de ICT-middelen voor de ICT-diensten bepaalt de relevantie van de diensten kan worden aangetast. ICT-middelen in het kader van Configuration Management. De informatiebehoeften van De relevantie van de ICT-middelen voor de deaard ICT-diensten bepaalt relevantie van de afhankelijke ICT-beheerprocessen bepalen en diepgang van dedevastleggingen ICT-middelen in het kader van Configuration Management. De informatiebehoeften over configuration items.
van afhankelijke ICT-beheerprocessen bepalen de aard en diepgang van de vast leggingen over configuration items.
59
57
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
10.4
Beheersmaatregelen
Nr. Beheersmaatregel Key Registratieplanning 01 Een gestructureerde vastlegging is ontworpen X voor configuration items, hun kenmerken en onderlinge relaties (inclusief historische data) en gerelateerde documentatie. Uitvoering 02 Configuration items worden gekenmerkt in overeenstemming met naamgevingconventies.
Doel
Vastleggingen
A
CMDB-ontwerp. Technische documentatie
A
03
X
A
Werkinstructie en vastleggingen, naamgevingconventies Procedurebeschrijving en -vastleggingen
X
A
Procedurebeschrijving en -vastleggingen
A
Vastleggingen van analyses.
A
Procedurebeschrijving. Impactanalyse van wijzigingen.
A
Wijzigingsvoorstellen. Incidentmeldingen.
A
Correspondentie en voortgangsverslagen.
A
CMDB-ontwerp. Technische documentatie
Procedures zijn ingericht om nieuwe, gewijzigde en verwijderde configuration items te identificeren en te registreren. Bewaking 04 Periodiek wordt geverifieerd of de vastlegging van configuration items overeenkomt met de werkelijkheid en worden verschillen geanalyseerd. 05 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 06 Wijzigingsvoorstellen worden beoordeeld op consequenties voor de registratie van configuration items. Onderhoud 07 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de vastlegging van configuration items. 08 Aan te brengen veranderingen aan de vastlegging van configuration items worden op afhandeling bewaakt. 09 Periodiek wordt de structuur van de configuratie-informatie geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
58
X
X
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
10.5
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Periodiciteit van de evaluatie van de structuur van de configuratie-informatie. (I) 02 Periodiciteit van controle op de juistheid en volledigheid van de configuratie-informatie. (I) 03 Aantal incidenten per impactcategorie per evaluatieperiode toe te schrijven aan afwijkingen in de configuratie-informatie. (R)
59
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Normen voor de beheersing_B.doc
11 Change Management (CHA)
11.Change Management (CHA) 11.1. Definitie 11.1 Definitie
Change Management draagt zorg voor het doorvoeren van wijzigingen in de ICTmiddelen en ICT-diensten. Change Management draagt zorg voor het doorvoeren van wijzigingen in de ICT-
middelen en ICT-diensten. 11.2. Toelichting en afbakening 11.2 Toelichting en afbakening Het doel van Change Management is om wijzigingen in de ICT-middelen en ICTdiensten te kunnen realiseren, zodanig dat de kans op verstoring van de dienstverlening Het doel van Change en Management wijzigingen in deblijvend ICT-middelen en de ICTwordt geminimaliseerd zodanig dat isdeom ICT-dienstverlening voldoet aan eisen vante belanghebbenden. Onder de belanghebbenden kunnen worden de diensten kunnen realiseren, zodanig dat de kans op verstoring van degerekend: dienstverlening klantorganisaties, de eigenaren van ICT-middelen; en de beheerders van devoldoet ICT- aan de wordt geminimaliseerd en zodanig dat de ICT-dienstverlening blijvend middelen ICT-diensten. eisen vanen belanghebbenden. Onder de belanghebbenden kunnen worden gerekend de klantorganisaties, de eigenaren van ICT-middelen en de beheerders van de ICT-
Wijzigingen kunnen voortkomen uit diverse behoeften, zoals nieuwe eisen gesteld door middelen en ICT-diensten. klantorganisaties, nieuwe eisen gesteld door eigenaren van de ICT-middelen en oplossingen voor problemen. Change Management draagt hierdoor in de regel bij aan Wijzigingenenkunnen voortkomen diverse behoeften,mits zoals nieuwe eisen gesteld verbetering instandhouding van deuit ICT-dienstverlening, wijzigingen niet leiden tot verstoring van de ICT-dienstverlening. door klantorganisaties, nieuwe eisen gesteld door eigenaren van de ICT-middelen en
oplossingen voor problemen. Change Management draagt hierdoor in de regel bij aan
Naast de generieke beheersmaatregelen, gelden voor ieder ICT-beheerproces, zijnniet in verbetering en instandhouding van dedieICT-dienstverlening, mits wijzigingen het proces Change Management de activiteiten te onderscheiden zoals in de leiden tot verstoring van de ICT-dienstverlening. onderstaande figuur weergegeven.
60
62
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Change Management de activiteiten te onderscheiden zoals in de voorgaande figuur weergegeven. 11.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten. Toelichting van het risico: Indien wijzigingen niet zijn geautoriseerd na evaluatie van de risico’s, bestaat het risico dat de wijzigingen ongewenste (neven)effecten hebben op ICT-diensten, die soms niet volledig kunnen worden overzien door de initiator van de wijziging. Het is daarom van belang om deze effecten gestructureerd in kaart te brengen en de impact af te stemmen met alle belanghebbenden, zoals de eigenaar van de ICT-dienst, beheerders van ICT-middelen en de betrokkenen van andere ICT-beheerprocessen. B
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Toelichting van het risico: Indien wijzigingen niet tijdig en volledig worden doorgevoerd, bestaat het risico dat noodzakelijke verbeteringen of de instandhouding van de ICT-diensten in het gedrang komen. Het is van belang dat wijzigingsaanvragen tijdig in behandeling worden genomen en, evenals de resulterende wijzigingen, tijdig worden afgehandeld. Daarnaast is het van belang dat, voorafgaand aan een wijziging, alle aspecten worden geïdentificeerd die eveneens een wijziging dienen te ondergaan of worden beïnvloed als gevolg van de wijziging. C
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Toelichting van het risico: Indien de doeltreffendheid van wijzigingen niet wordt geëvalueerd, bestaat het risico dat de wijzigingen niet, of slechts gedeeltelijk, bijdragen aan verbetering van de ICTdiensten of zelfs verstorend zijn voor de ICT-diensten. Indien wijzigingen niet het beoogde effect blijken te hebben, is het van belang om terug te kunnen keren naar de oorspronkelijke situatie (ook wel: back-out of terugvalscenario).
61
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
11.4
Beheersmaatregelen
Nr. Beheersmaatregel Acceptatie 01 Voorgestelde wijzigingen worden systematisch geclassificeerd op impact. 02 Voorgestelde wijzigingen worden geautoriseerd met inachtneming van de impactanalyse. 03 Standaardtypen van wijzigingen, die een verkorte procedure mogen doorlopen, worden vooraf geclassificeerd, geautoriseerd en gedocumenteerd. Planning 04 Voorgestelde wijzigingen worden geprioriteerd en gepland in overleg met alle belanghebbenden. 05 Op urgente wijzigingen, die niet volledig volgens de reguliere procedure kunnen worden afgehandeld, is een bijzondere procedure van toepassing die vereist dat overgeslagen controlestappen achteraf worden doorlopen. Uitvoering 06 Wijzigingen worden getoetst aan vooraf opgestelde criteria van doeltreffendheid en autorisatie, waarna de toetsingsresultaten worden geaccordeerd door belanghebbenden. 07 Voorafgaand aan een wijziging wordt een back-out procedure opgesteld. 08 Bekende fouten van te implementeren wijzigingen worden geregistreerd.
De toetsing op doeltreffendheid van wijzigingen is functioneel gescheiden van de uitvoering van wijzigingen. Bewaking 10 Er wordt voortgangsbewaking uitgeoefend op de afhandeling van (voorgestelde)
Key
Doel
Vastleggingen
X
A
X
A
Wijzigingsregistratie met impactanalyse. Notulen wijzigingsoverleg. Wijzigingsregistratie. Lijst van standaardtypen. Notulen met besluiten over standaardtypen.
AB
X
ABC
X
62
wijzigingen. Het prioriteren en de voortgangsbewaking van wijzigingen zijn functioneel gescheiden van de uitvoering van wijzigingen.
Acceptatiecriteria. Testplan. Testresultaten.
C
Wijzigingsregistratie- en/ of documentatie. Documentatie van standaarden en procedures. Wijzigingsregistratie. Probleemregistratie. Beschrijving van taken en verantwoordelijkheden.
AC
X
Notulen wijzigingsoverleg. Correspondentie. Procedurebeschrijving.
AC
C
09
11
B
B
B
Beschrijving van taken en verantwoordelijkheden. Correspondentie. Beschrijving van taken en verantwoordelijkheden.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Beheersmaatregel Afsluiting 12 Een wijziging wordt pas afgesloten na controle op afronding van alle activiteiten en registraties voor de wijziging.
11.5
Key
Doel
Vastleggingen
X
B
Documentatie van standaarden en procedures. Wijzigingsregistratie.
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Het aantal of het percentage van wijzigingen dat per periode wordt gesignaleerd zonder registratie en autorisatie. (R) 02 Het aantal of het percentage incidenten per impactcategorie dat uit wijzigingen voortkomt. (R) 03 Het aantal of het percentage wijzigingen dat binnen de geplande doorlooptijd en budget is uitgevoerd. (R) 04 Het gerealiseerde budget of het aantal bestede uren aan wijzigingen per periode. (I)
63
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
12 Incident Management (INC) 12.1
Definitie
Incident Management draagt zorg voor het afhandelen van verstoringen in de ICTdienstverlening en voor het tijdig herstellen van het afgesproken niveau van dienst verlening. 12.2
Toelichting en afbakening
Het doel van Incident Management is om verstoringen van de ICT-dienstverlening tijdig te herstellen tot een afgesproken niveau van dienstverlening. Bij het herstel is de inzet van tijdelijke reparaties (work-arounds) geoorloofd. Ook kan een wijzigings verzoek worden ingediend via het proces Change Management. Het afhandelen van gebruikersverzoeken om ondersteuning, levering van informatie, advies of documentatie (ook wel aangeduid als “Service Request”) valt niet onder het proces Incident Management en is verder niet expliciet uitgewerkt. Afhandeling van deze categorie gebruikersverzoeken, die vallen onder het proces Service Desk, verloopt Normen voor de beheersing_B.doc overigens wel op een zelfde wijze als de afhandeling van incidenten.
12.3. Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: 64 A
Incidenten dienen tijdig en volledig te worden afgehandeld. Toelichting:
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Soms worden aan de afhandeling van bepaalde categorieën van incidenten, zoals beveiligingsincidenten, specifieke eisen gesteld. Dit normenstelsel houdt rekening met dergelijke categorieën van incidenten. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Incident Management de activiteiten te onderscheiden zoals in de voorgaande figuur weergegeven. 12.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A
Incidenten dienen tijdig en volledig te worden afgehandeld.
Toelichting van het risico: Indien incidenten niet tijdig en volledig worden afgehandeld, bestaat het risico dat het afgesproken dienstenniveau niet wordt gerealiseerd. Tijdig en volledig afhandelen van incidenten is van belang voor het minimaliseren van de impact van verstoringen op de ICT-diensten. De norm voor tijdigheid wordt bepaald door de impact en urgentie van het incident in relatie tot het afgesproken dienstenniveau. B
Incidenten dienen doeltreffend te worden afgehandeld.
Toelichting van het risico: Indien de doeltreffendheid van de incidentoplossing niet wordt geëvalueerd, bestaat het risico dat de oplossing niet, slechts gedeeltelijk, of slechts tijdelijk werkt. Hierdoor bestaat het risico dat het afgesproken dienstenniveau niet wordt gerealiseerd. 12.4
Beheersmaatregelen
Nr. Beheersmaatregel Acceptatie 01 Voor alle typen incidenten is een formeel en bereikbaar loket ingesteld.
Key
Doel
Vastleggingen
X
A
Organogram. Procedurebeschrijving. Voorlichtingsmateriaal.
A
Documentatie van standaarden en procedures. Incidentregistratie. Beleidsdocument.
Planning 02 Incidenten worden systematisch geregistreerd, X geclassificeerd op impact en urgentie, en geprioriteerd in overeenstemming met de afspraken over het dienstenniveau.
65
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Beheersmaatregel Key Uitvoering 03 Capaciteit is gereserveerd ter afhandeling van X incidenten. 04 Oplosgroepen beschikken over informatie over bekende fouten en beschikbare standaardoplossingen. 05 Op basis van risicoanalyse is vastgesteld voor welk type incidenten er aparte oplosgroepen fungeren, waarin onder meer deelname van specialistische functionarissen is geborgd. 06 Bij (een vermoeden van) het overtreden van beveiligingsregels worden gegevens die betekenis hebben bij de bewijsvoering veiliggesteld. Bewaking 07 Voortgangsbewaking wordt uitgeoefend op X de afhandeling van incidenten; incidenten die afspraken over tijdslimieten dreigen te overschrijden worden geëscaleerd.
Doel
Vastleggingen
AB
Bezettingsoverzicht.
AB
B
Documentatie van bekende fouten en workarounds. Beleidsdocument.
B
Incidentregistratie.
A
08
A
Documentatie van standaarden en procedures. Incidentregistratie. Correspondentie. Beschrijving van taken en verantwoordelijkheden.
Prioriteren en voortgangsbewaking van incidenten zijn functioneel gescheiden van de oplosgroepen. Afsluiting 09 Een incident wordt afgesloten nadat is X vastgesteld dat alle vereiste gegevens zijn ingevuld en nadat de melder heeft bevestigd dat het incident is opgelost.
12.5
B
Documentatie van standaarden en procedures. Incidentregistratie.
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie 01 Mate van bereikbaarheid van loketten voor aanmelding van incidenten. (R) Prestatie-indicatoren te meten door de serviceorganisatie 02 Percentage van binnen de normtijd opgeloste incidenten per impactcategorie. (R) 03 Percentage van heropende incidenten. (R) 04
66
Het budget of het aantal uren gereserveerd voor Incident Management per periode. (I)
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
13 Problem Management (PRO)
Normen voor de beheersing_B.doc
13.1 Definitie 13.Problem Management (PRO) Management draagt zorg voor het wegnemen of voorkomen van structurele 13.1.Problem Definitie fouten in de ICT-dienstverlening. Problem Management draagt zorg voor het wegnemen of voorkomen van structurele fouten ICT-dienstverlening. 13.2 in deToelichting en afbakening
13.2.HetToelichting en afbakening doel van Problem Management is om de structurele fouten in de ICT-dienst verlening te minimaliseren en daarmee aantal en de in impact Het doel van Problem Management is om dehet structurele fouten van devan ICT-potentiële incidenten te verminderen. Het proces van Problem Management tracht dit doel te dienstverlening te minimaliseren en daarmee het aantal en de impact van potentiële bereiken door het proactief en reactief identificeren van oorzaken van (potentiële) incidenten te verminderen. Het proces van Problem Management tracht dit doel te incidenten enhet problemen enreactief door het beheersenvan van bekende tot ze zijn bereiken door proactief en identificeren oorzaken vanfouten (potentiële) opgelost. Voor het oplossen van het gevonden oorzaken en bekende zal opgelost. Problem incidenten en problemen en door beheersen van bekende fouten fouten tot ze zijn Voor het oplossen gevonden oorzaken en bekende Problem Management Management een van wijzigingsverzoek indienen via het fouten proces zal Change Management.
een wijzigingsverzoek indienen via het proces Change Management. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in in het proces Problem Management de activiteiten te onderscheiden zoals in de het proces Problem Management de activiteiten te onderscheiden zoals in de onderstaande figuur weergegeven. onderstaande figuur weergegeven.
67
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
13.3
Beheersdoelstellingen
Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaarborgd: A Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld. Toelichting van het risico: Indien problemen niet tijdig en volledig worden gesignaleerd en afgehandeld, bestaat het risico dat het afgesproken dienstenniveau niet wordt gerealiseerd. Tijdig en volledig signaleren en afhandelen van problemen is van belang voor het minimaliseren van de impact van verstoringen op de ICT-diensten. De tijdigheid van oplossen wordt beïnvloed door de kwaliteit van de incidentenregistratie, de deskundig heid van de oplosgroepen en van de mate van samenwerking tussen de oplosgroepen. Daarnaast zal het oplossen van het probleem afhangen van de prioriteit van het probleem, de beschikbare middelen en van het voorhanden zijn van een oplossing. B
Problemen dienen doeltreffend te worden afgehandeld.
Toelichting van het risico: Indien de doeltreffendheid van de probleemoplossing niet wordt geëvalueerd, bestaat het risico dat de oplossing niet, slechts gedeeltelijk, of slechts tijdelijk werkt. Hierdoor bestaat het risico dat het afgesproken dienstenniveau niet wordt gerealiseerd. 13.4
Beheersmaatregelen
Nr. Beheersmaatregel Key Signalering Incidenten worden systematisch geanalyseerd X 01 ter signalering van problemen (reactief).
Doel
Vastleggingen
A
02
A
Documentatie van standaarden en procedures. Probleemregistraties. Beleidsdocument. Documentatie van standaarden en procedures. Probleemregistraties.
Externe bronnen (leveranciers, gebruikersgroepen, conferenties) worden systematisch geraadpleegd ter signalering van problemen (proactief). Planning 03 Problemen worden geprioriteerd en toegewezen aan oplosgroepen in overeenstemming met het beleid.
68
X
A
Documentatie van standaarden en procedures. Probleemregistraties. Beleidsdocument.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. Beheersmaatregel Key Uitvoering 04 Capaciteit is gereserveerd ter afhandeling van X problemen. Bewaking 05 Voortgangsbewaking wordt uitgeoefend op X de diagnose en oplossing van problemen.
Doel
Vastleggingen
AB
Bezettingsoverzicht.
A
06
A
Documentatie van standaarden en procedures. Probleemregistraties. Correspondentie. Taken en verantwoordelijkheden.
Prioriteren en voortgangsbewaking van problemen zijn functioneel gescheiden van de oplosgroepen. Afsluiting 07 Een probleem wordt pas afgesloten nadat is X gecontroleerd of een probleem doeltreffend is opgelost.
13.5
B
Documentatie van standaarden en procedures.
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Percentage van binnen de planning opgeloste problemen. (R) 02 Percentage van heropende/terugkerende problemen. (R) 03 Het budget of het aantal uren gereserveerd voor Problem Management per periode in verhouding tot het aantal incidenten. (I)
69
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
14 Operations Management (OPS) 14.1
Definitie
Operations Management draagt zorg voor het operationeel houden en bewaken van de ICT-middelen, waaronder opslagmedia voor data, en voor het planmatig uitvoeren van incidentele en periodieke productieopdrachten. 14.2
Toelichting en afbakening
De doelen van Operations Management zijn: • Productieopdrachten uitvoeren ten behoeve van belanghebbenden; • Het bewaken van de ICT-middelen en productieverwerking; • Het registreren en beheren van verwijderbare opslagmedia. Productieopdrachten kunnen worden onderverdeeld in incidentele en periodieke / structurele productieopdrachten. Het beheerproces voor de uitvoering van incidentele productieopdrachten heeft het karakter van een transactieverwerkingsproces, waarbij opdrachten dienen te worden geautoriseerd en geaccepteerd. Het beheerproces voor de verwerking van periodieke productieopdrachten heeft, na de initiële acceptatie van de opdracht, meer het karakter van een bewakingsproces. Bij de bewaking van de ICT-middelen en productieverwerking worden signalen uit de ICT-middelen afgehandeld en worden de ICT-middelen bediend, zodat ze operationeel blijven. Tevens kunnen hierbij incidenten worden gesignaleerd die via het proces Incident Management worden afgehandeld. Deze bewaking dient niet te worden verward met de bewakingsactiviteiten van Capacity, Availability en Continuity Management, die meer een tactisch karakter hebben en een lagere intensiteit. Het registreren en beheren van de verwijderbare opslagmedia heeft grotendeels dezelfde kenmerken als het Configuration Management proces. Het doel is een betrouwbare registratie te onderhouden van de verwijderbare opslagmedia, zodat de bedrijfs- en ICT-processen hier gebruik van kunnen maken voor dataopslag. Naast de generieke beheersmaatregelen, die gelden voor ieder ICT-beheerproces, zijn in het proces Operations Management de activiteiten te onderscheiden zoals in de navolgende figuur weergegeven.
70
Normen voor de beheersing_B.doc
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
14.3.14.3 Beheersdoelstellingen Beheersdoelstellingen Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden Met een redelijke mate van zekerheid dienen de volgende doelstellingen te worden gewaargewaarborgd: borgd: A
B
Productieopdrachten dienen te worden geautoriseerd. A Productieopdrachten dienen te worden geautoriseerd. Toelichting: Indien productieopdrachten Toelichting van het risico: niet zijn geautoriseerd, bestaat het risico dat de integriteit en vertrouwelijkheid van productiegegevens worden aangetast. daarom vanintegriteit belang Indien productieopdrachten niet zijn geautoriseerd, bestaatHet het isrisico dat de dat productieopdrachten worden geautoriseerd door of namens de klantorganisatie het en vertrouwelijkheid van productiegegevens worden aangetast. Het is daaromofvan betreffende management van de ICT-diensten. belang dat productieopdrachten worden geautoriseerd door of namens de klant Productieopdrachten dienen juist, volledig van en tijdig te worden verwerkt. organisatie of het betreffende management de ICT-diensten. Toelichting: B Productieopdrachten dienen juist, volledig en tijdig te worden Indien productieopdrachten niet juist, volledig en tijdig worden verwerkt, bestaat het verwerkt. risico dat niet aan het overeengekomen dienstenniveau wordt voldaan en dat de integriteit en vertrouwelijkheid van productiegegevens worden aangetast. Toelichting van het risico: Juiste, en tijdige verwerking van productieopdrachten is van belang bestaat voor dehet Indienvolledige productieopdrachten niet juist, volledig en tijdig worden verwerkt, belanghebbenden van de productieopdrachten, waaronder de klantorganisaties en de risico dat niet aan het overeengekomen dienstenniveau wordt voldaan en dat de eigenaren van de ICT-diensten. In de uitvoering van productieopdrachten is vaak sprake integriteit en vertrouwelijkheid van productiegegevens worden aangetast. van veel onderlinge afhankelijkheden, die in draaiboeken kunnen worden vastgelegd en vanwege hun complexiteit beheerst kunnen worden met automatisch werkende Juiste, volledige en tijdige verwerking van productieopdrachten is van belang voor de schedulingsoftware. belanghebbenden van de productieopdrachten, waaronder de klantorganisaties en de eigenaren van de ICT-diensten. In de uitvoering van productieopdrachten is vaak 74
71
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
sprake van veel onderlinge afhankelijkheden, die in draaiboeken kunnen worden vastgelegd en vanwege hun complexiteit beheerst kunnen worden met automatisch werkende schedulingsoftware. C Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd. Toelichting van het risico: Indien verwijderbare opslagmedia niet juist en volledig worden geïdentificeerd en vastgelegd, bestaat het risico dat fouten worden gemaakt met het beheer van opslagmedia en dat productiegegevens verloren gaan of niet volgens de afspraken worden veiliggesteld. 14.4
Beheersmaatregelen
Nr. Beheersmaatregel Key Acceptatie 01 Productiecriteria zijn opgesteld voor de acceptatie van productieopdrachten. 02 Productieopdrachten (en wijzigingen daarop) X worden geautoriseerd door de klantorganisatie of door de eigenaar van de betreffende systemen en gegevens met inachtneming van de acceptatiecriteria. Planning 03 Op urgente productieopdrachten, die niet volledig volgens de reguliere procedure kunnen worden afgehandeld, is een bijzondere procedure van toepassing. 04 Productieopdrachten worden geprioriteerd X en gepland in overleg met alle belanghebbenden. 05 Bij het samenstellen van productieruns wordt vastgesteld dat rekening is gehouden met onderlinge afhankelijkheden van de verwerking.
Doel
Vastleggingen
A
Productiecriteria.
A
Notulen van overleg. Correspondentie.
AB
Procedurebeschrijving.
B
Notulen van overleg. Correspondentie.
B
06
C
Technisch ontwerp documentatie. Productiedraaiboek. Output planningpakket. Output scheduler. Registratie van tapes, cassettes, losse schijven etc.
Een gestructureerde vastlegging is ontworpen X voor verwijderbare opslagmedia en hun kenmerken. Uitvoering 07 De uitvoering van productieopdrachten en bediening van de ICT-middelen verloopt volgens gedocumenteerde standaardwerkwijzen.
72
B
Productiedocumentatie. Herstartinstructies. Output scheduler.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Nr. 08
Beheersmaatregel Signaalberichten over het verloop van productieopdrachten zijn gedefinieerd en geïmplementeerd. 09 Procedures zijn ingericht om nieuwe, gewijzigde en verwijderde opslagmedia te identificeren en te registreren. 10 Verwijderbare opslagmedia worden gekenmerkt in overeenstemming met naamgevingconventies. Bewaking 11 De productieverwerking en werking van de ICT-middelen worden bewaakt.
Key
Doel B
Vastleggingen Signaalberichten.
X
C
Procedurebeschrijving en -vastleggingen
C
Werkinstructie en vastleggingen. Naamgevingconventies
X
B
Periodiek worden de verwijderbare X opslagmedia geïnventariseerd en met de registratie afgestemd. 13 Incidenten worden periodiek geanalyseerd ten opzichte van de gestelde eisen en ter signalering van trends. 14 Wijzigingsvoorstellen worden beoordeeld op X consequenties voor de productieplanning en registratie van opslagmedia. Onderhoud 15 Naar aanleiding van de bewaking worden acties ondernomen voor bijstelling van de productieplanning en van de vastlegging van opslagmedia. 16 Aan te brengen veranderingen aan de productieplanning en aan de vastlegging van opslagmedia worden op afhandeling bewaakt. Periodiek worden de productieplanning en X 17 het beheer van opslagmedia geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd. Afsluiting 18 Een incidentele productieopdracht wordt pas afgesloten na controle op afronding van alle activiteiten en registraties voor de productieopdracht.
C
Procedurebeschrijving. Productiedraaiboek. Registraties. Procedurebeschrijving. Inventarisatieverslag mediaregistratie. Vastleggingen van analyses.
12
BC
BC
Procedurebeschrijving. Impactanalyse van wijzigingen.
BC
Wijzigingsvoorstellen. Incidentmeldingen.
BC
Correspondentie en voortgangsverslagen.
BC
Productieplanning. Technische documentatie
B
Procedurebeschrijving. Registraties.
73
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
14.5
Prestatie-indicatoren
Prestatie-indicatoren waarmee het dienstenniveau kan worden afgesproken tussen de klant- en serviceorganisatie, zijn onder andere: Nr. Prestatie-indicator Prestatie-indicatoren te meten door de klantorganisatie Prestatie-indicatoren te meten door de serviceorganisatie 01 Het aantal of het percentage productieopdrachten dat juist en volledig (tijdig) is uitgevoerd. (R) 02 Aantal incidenten per impactcategorie per evaluatieperiode toe te schrijven aan afwijkingen in operationele procedures. (R) 03 Periodiciteit van evaluatie van het beheer van verwijderbare opslagmedia. (I) 04 Periodiciteit van controle op de juistheid en volledigheid van de registratie van verwijderbare opslagmedia. (I) 05 Aantal incidenten per impactcategorie per evaluatieperiode toe te schrijven aan afwijkingen in de registratie van verwijderbare opslagmedia. (R)
74
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
I
Bijlagen
Bijlage A: Begrippen • Baseline. Een verzameling van technische beheersmaatregelen of instellingen voor de inrichting van een ICT-middel, zonder rekening te houden met de eisen van een specifieke ICT-dienst. Een baseline fungeert als uitgangspunt voor de beveiligingsstandaarden van specifieke ICT-diensten. • Beheersbaarheid. De mate waarin het object kan worden aangestuurd en/of bijgestuurd, zodat het object bij voortduring aan de daaraan te stellen eisen kan voldoen. • Bekende fout (known-error). Een probleem waarvan de basisoorzaak bekend is en waarvoor een tijdelijke work-around of een permanent alternatief bekend is. Een known error bestaat totdat het probleem permanent is opgelost. • Beschikbaarheid. De mate waarin het object beschikbaar is en de informatie verwerking ongestoord voortgang kan hebben. • Beveiligingsontwerp. Een verzameling van zowel procedurele als technische beheersmaatregelen gericht op de afdekking van risico’s van vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid voor een (groep van) ICTdienst(en). • Beveiligingsstandaard. Een verzameling van technische beheersmaatregelen of instellingen voor de inrichting van een ICT-middel gericht op een specifieke ICT-dienst. • Beveiligingsplan. Een (verbeter)plan van te implementeren beheersmaatregelen van het beveiligingsontwerp. • Calamiteit. Een calamiteit wordt gedefinieerd als een ongeplande situatie waarbij verwacht wordt dat de duur van het niet-beschikbaar zijn van één of meer ICTdiensten afgesproken drempelwaarden zal overschrijden en de herstelde ICTdiensten enkel en alleen op een andere ICT-middel en/of op een andere locatie kan worden voortgezet waarbij de daarvoor benodigde acties niet tot de dagelijke routine behoren. • Configuration item (CI). ICT-middel dat van belang is voor een te leveren ICTdienst. • Configuration management database (CMDB). Een gestructureerde verzameling van gegevens (database) van relevante details van configuration items en gegevens over hun onderlinge relaties. • Controleerbaarheid. De mate waarin het mogelijk is kennis te krijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming is uitgevoerd met de eisen ten aanzien van de overige kwaliteitsaspecten. • Dienstenniveau (service level). Een concrete waarde van een prestatie-indicator.
75
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
• ICT-beheerproces. Een ICT-beheerproces is een bedrijfsproces van een service organisatie dat zich richt op het beheer van een ICT-dienst. • ICT-dienst. De functie die (een groep van) ICT-middelen vervullen voor de klantorganisatie. Een ICT-dienst dient niet te worden verward met een ICTbeheerproces. Een serviceorganisatie kan zowel een ICT-dienst als een ICTbeheerproces als dienst leveren aan een klantorganisatie. • ICT-middel. Een (fysiek of logisch) technisch middel (zoals hardware, software, applicatie of faciliteit) waarmee een ICT-dienst, geheel of gedeeltelijk en direct of indirect, wordt gerealiseerd. • Incident. Onder incident wordt verstaan elke gebeurtenis, die niet tot de standaard operatie van een ICT-service behoort en die een interruptie in of een vermindering van de kwaliteit van die service kan veroorzaken. Onder incident worden niet verstaan: elk verzoek van de gebruiker om ondersteuning, levering van informatie, advies of documentatie (ook wel aangeduid als “Service Request”). • Integriteit. De mate waarin het object (informatie, ICT-dienst of ICT-middel) in overeenstemming is met de afgebeelde werkelijkheid. • Key-control. Beheersmaatregel die in iedere organisatie, groot of klein, aanwezig mag worden geacht. Het ontbreken van de maatregel is ongebruikelijk en dient daarom te worden onderbouwd. Key-controls hoeven niet in iedere situatie afdoende te zijn om de risico’s volledig af te dekken. Elke organisatie dient te evalueren of overige maatregelen nodig zijn in de eigen situatie. • Klantorganisatie. De organisatie die voor het beheer van ICT-diensten gebruik maakt van een serviceorganisatie (en die daarom optreedt als opdrachtgever van de serviceorganisatie). • Normale bedrijfsomstandigheden. Bedrijfsomstandigheden waarbij de ICTdiensten beschikbaar zijn, dan wel waarbij het niet-beschikbaar zijn is afgesproken of een afgesproken drempelwaarde niet overschrijdt. • Operational level agreement. Een interne overeenkomst tussen onderdelen van de serviceorganisatie over de levering van ICT-diensten. • Prestatie-indicator. Een maatstaf die een indicatie geeft van de prestatie van het proces. • Probleem. Een onbekende, achterliggende oorzaak van één of meer incidenten. • Service Level Agreement. Een overeenkomst tussen de serviceorganisatie en een klantorganisatie waarin afspraken worden vastgelegd over de te leveren ICTdiensten. Het Service Level Agreement dient, gedurende de looptijd, als norm voor het meten en sturen van de ICT-dienst. • Serviceorganisatie. De organisatie die ICT-diensten beheert ten behoeve van klantorganisaties. • Subserviceorganisatie. De organisatie die ICT-diensten beheert ten behoeve van een serviceorganisatie. • Third Party Mededeling (TPM). Een mededeling of rapportage door een onafhankelijke auditor ten behoeve van de klantorganisatie(s) over beheersaspecten van een serviceorganisatie. Een “SAS 70” is een specifieke vorm van een TPM. • Vertrouwelijkheid. De mate waarin uitsluitend geautoriseerde gebruikers of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van ICT-processen (ook wel aangeduid met de term exclusiviteit). 76
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
• Wijziging. Elke toevoeging, verandering of verwijdering in een ICT-dienst of ICT-middel. • Work-around. Een methode om een incident of probleem te voorkomen, enerzijds door een tijdelijke oplossing (fix) of anderzijds door de klant niet meer afhankelijk te maken van de service waarbij het probleem is geconstateerd.
77
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Bijlage B: Literatuur • ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements. • Basisnormen Beveiliging en Beheer ICT-infrastructuur Versie 1.0, Platform Informatiebeveiliging, 2003. • CobiT 4.1, IT Governance Institute, ISBN 1-933284-72-2, 2007. • ISO/IEC 20000:2005, Information technology service management - Part 1: Specification for information technology service management. • ISO/IEC 20000:2005. Information technology service management - Part 2: Code of Practice for information technology service management. • NIST Special Publication 800-53, Revision 1. Recommended Security Controls for Federal Information Systems, 2006. • Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden, NOREA, 2002.
78
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Bijlage C: Referenties naar andere normenstelsels Algemeen Er wordt in de navolgende pagina’s een relatie gelegd tussen de beheersdoelstellingen van het onderhavige normenstelsel en een vreemd stelsel. Voor de vormgeving van deze relaties is steeds gekozen voor een matrix, omdat daarmee in één keer kan worden weergegeven waar wel en waar geen relaties onderkend zijn. De beheersdoelstellingen van dit normenstelsel worden in de kolomkoppen weer gegeven; de referenties naar het vreemde stelsel wordt steeds door middel van rij koppen weergegeven. Belangrijk Met een relatie hebben wij willen aangeven, dat bij de vergelijking tussen de twee stelsels vergelijkbare activiteiten geconstateerd zijn. Het gaat nadrukkelijk niet om identieke activiteiten: zo richt de Code voor Informatiebeveiliging (CvIB), ISO 17799:2005 zich bijvoorbeeld op informatie beveiligingsincidenten. Die vormen per definitie slechts een deelverzameling van de totale groep incidenten. Dat neemt ons inziens niet weg, dat er bij het proces Incident Managment wel degelijk relaties kunnen worden aangegeven tussen het onderhavige normenstelsel en de CvIB. De volgende referentietabellen zijn openomen: Cobit 4.0, pagina 80 ISO/IEC 17799:2005, pagina 90 ISO/IEC 20000-2, pagina 98.
79
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
CobiT 4.0
Code & naam
PO04 - Define the IT Processes, Organisation and Relationships PO06 PO05 - Manage Communicate Management Aims the IT Investment and Direction PO07 - Manage IT Human Resources
Plan and Organise
PO03 - Determine PO02 - Define Technological the Information Architecture Direction
PO01 - Define a Strategic IT Plan
Description
80
Code
Control Objective Naam
PO01.01
IT Value Management
1
PO01.02
Business-IT Alignment
2
PO01.03
Assessment of Current Performance
0
PO01.04
IT Strategic Plan
2
PO01.05
IT Tactical Plans
1
PO01.06
IT Portfolio Management
1
PO02.01
Enterprise Information Architecture Model
0
PO02.02
Enterprise Data Dictionary and Data Syntax Rules
0
PO02.03
Data Classification Scheme
2
PO02.04
Integrity Management
1
PO03.01
Technological Direction Planning
1
PO03.02
Technological Infrastructure Plan
1
PO03.03
Monitoring of Future Trends and Regulations
1
PO03.04
Technology Standards
2
PO03.05
IT Architecture Board
1
PO04.01
IT Process Framework
1
PO04.02
IT Strategy Committee
0
PO04.03
IT Steering Committee
1
PO04.04
Organisational Placement of the IT Function
1
PO04.05
IT Organisational Structure
1
PO04.06
Roles and Responsibilities
1
PO04.07
Responsibility for IT Quality Assurance
1
PO04.08
Responsibility for Risk, Security and Compliance
1
PO04.09
Data and System Ownership
0
PO04.10
Supervision
2
PO04.11
Segregation of Duties
1
PO04.12
IT Staffing
1
PO04.13
Key IT Personnel
1
PO04.14
Contracted Staff Policies and Procedures
1
PO04.15
Relationships
2
PO05.01
Financial Management Framework
0
PO05.02
Prioritisation Within IT Budget
1
PO05.03
IT Budgeting Process
0
PO05.04
Cost Management
0
PO05.05
Benefit Management
1
PO06.01
IT Policy and Control Environment
1
PO06.02
Enterprise IT Risk and Internal Control Framework
1
PO06.03
IT Policies Management
1
PO06.04
Policy Rollout
1
PO06.05
Communication of IT Objectives and Direction
3
PO07.01
Personnel Recruitment and Retention
1
PO07.02
Personnel Competencies
1
PO07.03
Staffing of Roles
2
PO07.04
Personnel Training
3
PO07.05
Dependence Upon Individuals
0
PO07.06
Personnel Clearance Procedures
1
PO07.07
Employee Job Performance Evaluation
1
PO07.08
Job Change and Termination
3
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 PO01.01
81
Code
PO01.02
PO01.03
PO01.04
PO01.05
PO01.06
PO02.01
PO02.02
PO02.03
PO02.04
PO03.01
PO03.02
PO03.03
PO03.04
PO03.05
PO04.01
PO04.02
PO04.03 PO04.04
PO04.05
PO04.06
PO04.07
PO04.08
PO04.10 PO04.09
PO04.11
PO04.12
PO04.13
PO04.14
PO04.15
PO05.01
PO05.02
PO05.03
PO05.04
PO06.01
PO05.05
PO06.02
PO06.03
PO06.04
PO07.01
PO06.05
PO07.02
PO07.03
PO07.04
PO07.05
PO07.06
PO07.07
PO07.08
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
1
CobiT 4.0
Code & naam
PO09 - Assess and Manage IT Risks AI02 - Acquire and Maintain Application Software AI03 - Acquire AI04 - Enable and Maintain Operation and Technology Use Infrastructure
Acquire and Implement
AI01 - Identify Automated Solutions
PO10 - Manage Projects
Plan and Organise
PO08 - Manage Quality
Description
82
Code
Control Objective Naam
PO08.01
Quality Management System
1
PO08.02
IT Standards and Quality Practices
0
PO08.03
Development and Acquisition Standards
0
PO08.04
Customer Focus
0
PO08.05
Continuous Improvement
1
PO08.06
Quality Measurement, Monitoring and Review
2
PO09.01
IT and Business Risk Management Alignment
2
PO09.02
Establishment of Risk Context
1
PO09.03
Event Identification
1
PO09.04
Risk Assessment
1
PO09.05
Risk Response
1
PO09.06
Maintenance and Monitoring of a Risk Action Plan
4
PO10.01
Programme Management Framework
0
PO10.02
Project Management Framework
0
PO10.03
Project Management Approach
0
PO10.04
Stakeholder Commitment
0
PO10.05
Project Scope Statement
0
PO10.06
Project Phase Initiation
0
PO10.07
Integrated Project Plan
1
PO10.08
Project Resources
0
PO10.09
Project Risk Management
1
PO10.10
Project Quality Plan
0
PO10.11
Project Change Control
3
PO10.12
Project Planning of Assurance Methods
0
PO10.13
Project Performance Measurement, Reporting and Monitoring
0
PO10.14
Project Closure
0
AI01.01
Definition and Maintenance of Business Functional and Technical Requirements
2
AI01.02
Risk Analysis Report
1
AI01.03
Feasibility Study and Formulation of Alternative Courses of Action
0
AI01.04
Requirements and Feasibility Decision and Approval
0
AI02.01
High-level Design
0
AI02.02
Detailed Design
1
AI02.03
Application Control and Auditability
0
AI02.04
Application Security and Availability
1
AI02.05
Configuration and Implementation of Acquired Application Software
0
AI02.06
Major Upgrades to Existing Systems
0
AI02.07
Development of Application Software
0
AI02.08
Software Quality Assurance
0
AI02.09
Applications Requirements Management
0
AI02.10
Application Software Maintenance
0
AI03.01
Technological Infrastructure Acquisition Plan
1
AI03.02
Infrastructure Resource Protection and Availability
1
AI03.03
Infrastructure Maintenance
0
AI03.04
Feasibility Test Environment
0
AI04.01
Planning for Operational Solutions
0
AI04.02
Knowledge Transfer to Business Management
0
AI04.03
Knowledge Transfer to End Users
0
AI04.04
Knowledge Transfer to Operations and Support Staff
2
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 PO08.01
83
Code
PO08.02
PO08.03 PO08.04
PO08.05
PO09.01
PO08.06
PO09.02
PO09.03 PO09.04
PO09.05
PO10.01
PO09.06
PO10.02
PO10.03
PO10.04
PO10.05
PO10.06
PO10.07
PO10.08
PO10.09
PO10.10
PO10.11
PO10.12
PO10.13
PO10.14
AI01.01
AI01.02
AI01.03
AI01.04
AI02.01
AI02.02
AI02.03
AI02.04
AI02.05
AI02.06
AI02.07
AI02.08
AI02.09
AI02.10
AI03.01
AI03.02
AI03.03
AI03.04
AI04.01
AI04.02
AI04.03
AI04.04
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
CobiT 4.0
Code & naam
AI06 - Manage Changes AI07 - Install and Accredit Solutions and Changes DS03 - Manage DS02 - Manage DS01 - Define and Performance and Third-party Manage Service Levels Services Capacity DS04 - Ensure Continuous Service
Deliver and Support
Acquire and Implement
AI05 - Procure IT Resources
Description
84
Code
Control Objective Naam
AI05.01
Procurement Control
0
AI05.02
Supplier Contract Management
0
AI05.03
Supplier Selection
0
AI05.04
Software Acquisition
0
AI05.05
Acquisition of Development Resources
0
AI05.06
Acquisition of Infrastructure, Facilities and Related Services
0
AI06.01
Change Standards and Procedures
3
AI06.02
Impact Assessment, Prioritisation and Authorisation
3
AI06.03
Emergency Changes
3
AI06.04
Change Status Tracking and Reporting
5
AI06.05
Change Closure and Documentation
3
AI07.01
Training
1
AI07.02
Test Plan
0
AI07.03
Implementation Plan
0
AI07.04
Test Environment
0
AI07.05
System and Data Conversion
0
AI07.06
Testing of Changes
2
AI07.07
Final Acceptance Test
2
AI07.08
Promotion to Production
1
AI07.09
Software Release
1
AI07.10
System Distribution
1
AI07.11
Recording and Tracking of Changes
1
AI07.12
Post-implementation Review
0
DS01.01
Service Level Management Framework
2
DS01.02
Definition of Services
1
DS01.03
Service Level Agreements
5
DS01.04
Operating Level Agreements
1
DS01.05
Monitoring and Reporting of Service Level Achievements
2
DS01.06
Review of Service Level Agreements and Contracts
1
DS02.01
Identification of All Supplier Relationships
1
DS02.02
Supplier Relationship Management
1
DS02.03
Supplier Risk Management
2
DS02.04
Supplier Performance Monitoring
1
DS03.01
Performance and Capacity Planning
3
DS03.02
Current Capacity and Performance
2
DS03.03
Future Capacity and Performance
1
DS03.04
IT Resources Availability
2
DS03.05
Monitoring and Reporting
5
DS04.01
IT Continuity Framework
2
DS04.02
IT Continuity Plans
1
DS04.03
Critical IT Resources
1
DS04.04
Maintenance of the IT Continuity Plan
4
DS04.05
Testing of the IT Continuity Plan
1
DS04.06
IT Continuity Plan Training
1
DS04.07
Distribution of the IT Continuity Plan
2
DS04.08
IT Services Recovery and Resumption
0
DS04.09
Offsite Backup Storage
3
DS04.10
Post-resumption Review
0
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 AI05.01
85
Code
AI05.02
AI05.03 AI05.04
AI05.05
AI06.01
AI05.06
AI06.02
AI06.03 AI06.04
AI07.01
AI06.05
AI07.02
AI07.03 AI07.04
AI07.05
AI07.06
AI07.07
AI07.08
AI07.10
AI07.09
AI07.11
AI07.12
DS01.01
DS01.02
DS01.03
DS01.04
DS01.05
DS01.06
DS02.01
DS02.02
DS02.03
DS02.04
DS03.01
DS03.02
DS03.03
DS03.04
DS03.05
DS04.01
DS04.02
DS04.03
DS04.04
DS04.05
DS04.06
DS04.07
DS04.08
DS04.10
DS04.09
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
CobiT 4.0
Code & naam
DS09 DS08 - Manage DS12 - Manage the DS10 - Manage Manage the Service Desk and DS11 - Manage Data Physical ConfiguProblems Incidents Environment ration DS13 - Manage Operations
Deliver and Support
DS07 DS06 - Identify Educate and Allocate and Train Costs Users
DS05 - Ensure Systems Security
Description
86
Code
Control Objective Naam
DS05.01
Management of IT Security
1
DS05.02
IT Security Plan
1
DS05.03
Identity Management
1
DS05.04
User Account Management
1
DS05.05
Security Testing, Surveillance and Monitoring
4
DS05.06
Security Incident Definition
3
DS05.07
Protection of Security Technology
2
DS05.08
Cryptographic Key Management
1
DS05.09
Malicious Software Prevention, Detection and Correction
2
DS05.10
Network Security
3
DS05.11
Exchange of Sensitive Data
1
DS06.01
Definition of Services
0
DS06.02
IT Accounting
0
DS06.03
Cost Modelling and Charging
0
DS06.04
Cost Model Maintenance
0
DS07.01
Identification of Education and Training Needs
0
DS07.02
Delivery of Training and Education
0
DS07.03
Evaluation of Training Received
0
DS08.01
Service Desk
3
DS08.02
Registration of Customer Queries
10
DS08.03
Incident Escalation
3
DS08.04
Incident Closure
3
DS08.05
Trend Analysis
3
DS09.01
Configuration Repository and Baseline
4
DS09.02
Identification and Maintenance of Configuration Items
7
DS09.03
Configuration Integrity Review
2
DS10.01
Identification and Classification of Problems
4
DS10.02
Problem Tracking and Resolution
7
DS10.03
Problem Closure
3
DS10.04
Integration of Change, Configuration and Problem Management
8
DS11.01
Business Requirements for Data Management
0
DS11.02
Storage and Retention Arrangements
1
DS11.03
Media Library Management System
1
DS11.04
Disposal
1
DS11.05
Backup and Restoration
2
DS11.06
Security Requirements for Data Management
3
DS12.01
Site Selection and Layout
0
DS12.02
Physical Security Measures
2
DS12.03
Physical Access
1
DS12.04
Protection Against Environmental Factors
0
DS12.05
Physical Facilities Management
0
DS13.01
Operations Procedures and Instructions
2
DS13.02
Job Scheduling
1
DS13.03
IT Infrastructure Monitoring
4
DS13.04
Sensitive Documents and Output Devices
0
DS13.05
Preventive Maintenance for Hardware
1
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 DS05.01
87
Code
DS05.02
DS05.03 DS05.04
DS05.05
DS05.06
DS05.07
DS05.08
DS05.10
DS05.09
DS05.11
DS06.01
DS06.02
DS06.03
DS07.01
DS06.04
DS07.02
DS07.03
DS08.01
DS08.03
DS08.02
DS08.04
DS09.01
DS08.05
DS09.02
DS09.03
DS10.01
DS10.02
DS10.03
DS10.04
DS11.01
DS11.02
DS11.03
DS11.04
DS11.05
DS11.06
DS12.01
DS12.02
DS12.03
DS12.04
DS12.05
DS13.01
DS13.02
DS13.03
DS13.04
DS13.05
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
8
15
16
17
9
4
Code ME01.01
Monitoring Approach
2
ME01.02
Definition and Collection of Monitoring Data
2
ME01.03
Monitoring Method
2
ME01.04
Performance Assessment
0
ME01.05
Board and Executive Reporting
2
ME01.06
Remedial Actions
3
ME02.01
Monitoring of Internal Control Framework
4
ME02.02
Supervisory Review
7
ME02.03
Control Exceptions
3
ME02.04
Control Self-assessment
1
ME02.05
Assurance of Internal Control
2
ME02.06
Internal Control at Third Parties
2
ME02.07
Remedial Actions
4
ME03.01
Identification of Laws and Regulations Having Potential Impact on IT
1
ME03.02
Optimisation of Response to Regulatory Requirements
0
ME03.03
Evaluation of Compliance With Regulatory Requirements
1
ME03.04
Positive Assurance of Compliance
1
ME03.05
Integrated Reporting
1
ME04.01
Establishment of an IT Governance Framework
2
ME04.02
Strategic Alignment
0
ME04.03
Value Delivery
0
ME04.04
Resource Management
1
ME04.05
Risk Management
1
ME04.06
Performance Measurement
2
ME04.07
Independent Assurance
0
PC.01
Process Owner
1
PC.02
Repeatability
1
PC.03
Goals and Objectives
1
PC.04
Roles and Responsibilities
1
PC.05
Process Performance
1
PC.06
Policy, Plans and Procedures
1
AC.01
Data Preparation Procedures
0
AC.02
Source Document Authorisation Procedures
0
AC.03
Source Document Data Collection
0
AC.04
Source Document Error Handling
0
AC.05
Source Document Retention
0
AC.06
Data Input Authorisation Procedures
0
AC.07
Accuracy, Completeness and Authorisation Checks
0
AC.08
Data Input Error Handling
0
AC.09
Data Processing Integrity
0
AC.10
Data Processing Validation and Editing
0
AC.11
Data Processing Error Handling
0
AC.12
Output Handling and Retention
0
AC.13
Output Distribution
0
AC.14
Output Balancing and Reconciliation
0
AC.15
Output Review and Error Handling
0
AC.16
Security Provision for Output Reports
0
AC.17
Authenticity and Integrity
0
AC.18
Protection of Sensitive Information During Transmission and Transport
0
ME03 - Ensure Regulatory Compliance
ME02 - Monitor and Evaluate Internal Control
Code & naam
PC AC -
Application Controls
Framework Process Controls
ME04 - Provide IT Governance
Monitor and Evaluate
Description
ME01 - Monitor and Evaluate IT Performance
CobiT 4.0
88
Control Objective Naam
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 ME01.01
10
3
3
9
6
6
9
4
7
7
6
7
7
7
7
2
4
89
7
Code
ME01.02
ME01.03
ME01.04
ME01.05
ME01.06
ME02.01
ME02.02
ME02.03
ME02.04
ME02.05
ME02.06
ME02.07
ME03.01
ME03.02
ME03.03
ME03.04
ME03.05
ME04.01
ME04.02
ME04.03 ME04.04
ME04.05
ME04.06
PC.01 ME04.07
PC.02
PC.03
PC.04
PC.05
AC.01
PC.06
AC.02
AC.03
AC.04
AC.05
AC.06
AC.07
AC.08
AC.10
AC.09
AC.11
AC.12
AC.13
AC.14
AC.15
AC.16
AC.17
AC.18
0
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
Paragraafaanduiding 04.01 - Beoordelen van beveiligingsrisico’s
04.01.0
geen tekst
1
04.02 - Behandelen van beveiligingsrisico’s
04.02.0
geen tekst
1
05.01 - Informatie beveiligingsbeleid
05.01.01
Beleidsdocument voor informatiebeveiliging
6
05.01.02
Beoordeling van het informatiebeveiligingsbeleid
7
06.01.01
Betrokkenheid van de directie bij informatiebeveiliging
2
06.01.02
Coördinatie van informatiebeveiliging
0
06.01.03
Toewijzing van verantwoordelijkheden voor informatiebeveiliging
2
06.01.04
Goedkeuringsproces voor IT-voorzieningen
1
06.01.05
Geheimhoudingsovereenkomst
0
06.01.06
Contact met overheidsinstanties
2
06.01.07
Contact met speciale belangengroepen
2
06.01.08
Onafhankelijke beoordeling van informatiebeveiliging
2
06.02.01
Identificatie van risico’s die betrekking hebben op externe partijen
2
06.02.02
Beveiliging behandelen in de omgang met klanten
2
06.02.03
Beveiliging behandelen in overeenkomsten met een derde partij
2
07.01.01
Inventarisatie van bedrijfsmiddelen
2
07.01.02
Eigendom van bedrijfsmiddelen
1
07.01.03
Aanvaardbaar gebruik van bedrijfsmiddelen
2
07.02.01
Richtlijnen voor classificatie
2
07.02.02
Labeling en verwerking van informatie
1
08.01.01
Rollen en verantwoordelijkheden
0
08.01.02
Screening
0
08.01.03
Arbeidsvoorwaarden
0
08.02.01
Directieverantwoordelijkheid
0
08.02.02
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
1
08.02.03
Disciplinaire maatregelen
0
08.03.01
Beëindiging van verantwoordelijkheden
0
08.03.02
Retournering van bedrijfsmiddelen
1
08.03.03
Blokkering van toegangsrechten
1
09.01.01
Fysieke beveiliging van de omgeving
1
09.01.02
Fysieke toegangsbeveiliging
1
09.01.03
Beveiliging van kantoren, ruimten en faciliteiten
0
09.01.04
Bescherming tegen bedreigingen van buitenaf
1
09.01.05
Werken in beveiligde ruimten
0
09.01.06
Openbare toegang en gebieden voor laden en lossen
0
09.02.01
Plaatsing en bescherming van apparatuur
1
09.02.02
Nutsvoorzieningen
2
09.02.03
Beveiliging van kabels
1
09.02.04
Onderhoud van apparatuur
2
09.02.05
Beveiliging van apparatuur buiten het terrein
1
09.02.06
Veilig verwijderen of hergebruiken van apparatuur
1
09.02.07
Verwijdering van bedrijfseigendommen
0
Fysieke beveiliging en beveiliging van de omgeving
Beveiliging van personeel
Beheer van bedrijfs middelen
Organisatie van informatiebeveiliging
Hoofdstuk naam Risico Beveili beoordeling en risicobe gingsbeleid handeling
ISO/IEC 17799:2005
06.01 - Interne organisatie
06.02 - Externe partijen 07.01 Verantwoordelijkheid voor bedrijfsmiddelen 07.02 - Classificatie van informatie 08.01 - Voorafgaand aan het dienstverband 08.02 - Tijdens het dienstverband 08.03 - Beeindiging of wijziging van het dienstverband 09.01 - Beveiligde ruimten
09.02 - Beveiliging van apparatuur
90
Subpara graafcode
Subparagraafkop
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
91
Subpara graafcode 04.01.0
04.02.0
05.01.01
05.01.02
06.01.01
06.01.02
06.01.03
06.01.04
06.01.05
06.01.06
06.01.07
06.01.08
06.02.01
06.02.02
06.02.03
07.01.01
07.01.02
07.01.03
07.02.01
07.02.02
08.01.01
08.01.02
08.01.03
08.02.01
08.02.02
08.02.03
08.03.01
08.03.02
08.03.03
09.01.01
09.01.02
09.01.03
09.01.04
09.01.05
09.01.06
09.02.01
09.02.02
09.02.03
09.02.04
09.02.05
09.02.06
09.02.07
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
ISO/IEC 17799:2005
Hoofdstuk naam
Paragraafaanduiding 10.01 Bedieningsprocedures en verantwoordelijk heden 10.02 - Beheer van de dienstverlening door een derde partij
Beheer van communicatie- en bedieningsprocessen
10.03 - Systeem planning en acceptatie 10.04 - Bescherming tegen virussen en ‘mobile code’
Subparagraafkop
10.01.01
Gedocumenteerde bedieningsprocedures
2
10.01.02
Wijzigingsbeheer
3
10.01.03
Functiescheiding
0
10.01.04
Scheiding van faciliteiten voor ontwikkeling, testen en productie
0
10.02.01
Dienstverlening
2
10.02.02
Controle en beoordeling van dienstverlening door een derde partij
1
10.02.03
Beheer van wijzigingen in dienstverlening door een derde partij
1
10.03.01
Capaciteitsbeheer
1
10.03.02
Systeemacceptatie
1
10.04.01
Maatregelen tegen virussen
1
10.04.02
Maatregelen tegen ‘mobile code’
0
10.05 - BACK-UP
10.05.01
Reservekopieën maken (back-ups)
1
10.06 - Beheer van netwerkbeveiliging
10.06.01
Maatregelen voor netwerken
4
10.06.02
Beveiliging van netwerkdiensten
1
10.07.01
Beheer van verwijderbare media
1
10.07.02
Verwijdering van media
1
10.07.03
Procedures voor de behandeling van informatie
1
10.07.04
Beveiliging van systeemdocumentatie
0
10.08.01
Beleid en procedures voor informatie-uitwisseling
1
10.08.02
Uitwisselingsovereenkomsten
0
10.08.03
Fysieke media die worden getransporteerd
1
10.08.04
Elektronisch berichtenuitwisseling
1
10.08.05
Systemen voor bedrijfsinformatie
0
10.09.01
E-commerce
0
10.09.02
Onlinetransacties
0
10.09.03
Openbaar beschikbare informatie
0
10.10.01
Aanmaken audit-logbestanden
3
10.10.02
Controle van systeemgebruik
4
10.10.03
Bescherming van informatie in logbestanden
1
10.10.04
Logbestanden van administrators en operators
3
10.10.05
Registratie van storingen
0
10.10.06
Synchronisatie van systeemklokken
0
11.01.01
Toegangsbeleid
2
10.07 - Behandeling van media
10.08 - Uitwisseling van informatie
10.09 - Diensten voor e-commerce 10.10 - Controle
11.01 - Bedrijfseisen ten aanzien van toegangsbeheersing Toegangsbeveiliging
Subpara graafcode
11.02 - Beheer van toegangsrechten en gebruikers
11.03 - Verantwoorde lijkheden van gebruikers
92
11.02.01
Registratie van gebruikers
1
11.02.02
Beheer van speciale bevoegdheden
1
11.02.03
Beheer van gebruikerswachtwoorden
1
11.02.04
Beoordeling van toegangsrechten van gebruikers
1
11.03.01
Gebruik van wachtwoorden
1
11.03.02
Onbeheerde gebruikersapparatuur
0
11.03.03
‘Clear desk’- en ‘clear screen’-beleid
1
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
93
Subpara graafcode 10.01.01
10.01.02
10.01.03
10.01.04
10.02.01
10.02.02
10.02.03
10.03.01
10.03.02
10.04.01
10.04.02
10.05.01
10.06.01
10.06.02
10.07.01
10.07.02
10.07.03
10.07.04
10.08.01
10.08.02
10.08.03
10.08.04
10.08.05
10.09.01
10.09.02
10.09.03
10.10.01
10.10.02
10.10.03
10.10.04
10.10.05
10.10.06
11.01.01
11.02.01
11.02.02
11.02.03
11.02.04
11.03.01
11.03.02
11.03.03
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
ISO/IEC 17799:2005
Hoofdstuk naam
Paragraafaanduiding 11.04 Toegangsbeheersing voor netwerken
11.05 Toegangsbeveiliging voor besturingssystemen
Subparagraafkop
11.04.01
Beleid ten aanzien van het gebruik van netwerkdiensten
2
11.04.02
Authenticatie van gebruikers bij externe verbindingen
0
11.04.03
Identificatie van netwerkapparatuur
0
11.04.04
Bescherming op afstand van poorten voor diagnose en configuratie
0
11.04.05
Scheiding van netwerken
0
11.04.06
Beheersmaatregelen voor netwerkverbindingen
0
11.04.07
Beheersmaatregelen voor netwerkroutering
0
11.05.01
Beveiligde inlogprocedures
1
11.05.02
Gebruikersindentificatie en -authenticatie
1
11.05.03
Systemen voor wachtwoordbeheer
1
11.05.04
Gebruik van systeemhulpmiddelen
1
11.05.05
Time-out van sessies
1
11.05.06
Beperking van verbindingstijd
1
11.06 - Toegangs beheersing voor toepassingen en informatie
11.06.01
Beperken van toegang tot informatie
1
11.06.02
Isoleren van gevoelige systemen
1
11.07 - Draagbare computers en telewerken
11.07.01
Draagbare computers en communicatievoorzieningen
0
11.07.02
Telewerken
1
12.01.01
Analyse en specificatie van beveiligingseisen
0
12.01 - Beveiligings eisen voor informatie systemen Verwerving, ontwikkeling en onderhoud van informatiesystemen
Subpara graafcode
12.02 - Correcte verwerking in toepassingen
12.03 - Crypto grafische beheers maatregelen 12.04 - Beveiliging van systeembestanden 12.05 - Beveiliging bij ontwikkelings- en ondersteunings processen
12.06 - Beheer van technische kwetsbaarheden
94
12.02.01
Validatie van invoergegevens
0
12.02.02
Beheersing van interne gegevensverwerking
0
12.02.03
Integriteit van berichten
0
12.02.04
Validatie van uitvoergegevens
0
12.03.01
Beleid voor het gebruik van cryptografische beheersmaatregelen
0
12.03.02
Sleutelbeheer
0
12.04.01
Beheersing van operationele programmatuur
0
12.04.02
Bescherming van testdata
0
12.04.03
Toegangsbeheersing voor broncode van programmatuur
0
12.05.01
Procedures voor wijzigingsbeheer
0
12.05.02
Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem
0
12.05.03
Restricties op wijzigingen in programmatuurpakketten
0
12.05.04
Uitlekken van informatie
0
12.05.05
Uitbestede ontwikkeling van programmatuur
0
12.06.01
Beheersing van technische kwetsbaarheden
1
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
95
Subpara graafcode 11.04.01
11.04.02
11.04.03
11.04.04
11.04.05
11.04.06
11.04.07
11.05.01
11.05.02
11.05.03
11.05.04
11.05.05
11.05.06
11.06.01
11.06.02
11.07.01
11.07.02
12.01.01
12.02.01
12.02.02
12.02.03
12.02.04
12.03.01
12.03.02
12.04.01
12.04.02
12.04.03
12.05.01
12.05.02
12.05.03
12.05.04
12.05.05
12.06.01
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
7
6
5
7
2
6
ISO/IEC 17799:2005
Bedrijfscontinuiteits beheer
Beheer van informatiebeveiligingsincidenten
Hoofdstuk naam
Paragraafaanduiding 13.01 - Rapportage van informatie beveiligings gebeurtenissen en zwakke plekken 13.02 - Beheer van informatiebeveiligings incidenten en verbeteringen
14.01 - Informatie beveiligingsaspecten van bedrijfscontinuiteit beheer
Naleving
15.01 - Naleving van wettelijke voorschriften
Subpara graafcode
Subparagraafkop
13.01.01
Rapportage van informatiebeveiligingsgebeurtenissen
3
13.01.02
Rapportage van zwakke plekken in de beveiliging
4
13.02.01
Verantwoordelijkheden en procedures
4
13.02.02
Leren van informatiebeveiligingsincidenten
2
13.02.03
Verzamelen van bewijsmateriaal
2
14.01.01
Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer
1
14.01.02
Bedrijfscontinuïteit en risicobeoordeling
1
14.01.03
Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging
1
14.01.04
Kader voor de bedrijfscontinuïteitsplanning
3
14.01.05
Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen
4
15.01.01
Identificatie van toepasselijke wetgeving
1
15.01.02
Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)
0
15.01.03
Bescherming van bedrijfsdocumenten
0
15.01.04
Bescherming van gegevens en geheimhouding van persoonsgegevens
0
15.01.05
Voorkomen van misbruik van IT-voorzieningen
1
15.01.06
Voorschriften voor het gebruik van cryptografische beheersmaatregelen
0
15.02 - Naleving van beveiligingsbeleid en normen en technische naleving
15.02.01
Naleving van beveiligingsbeleid en -normen
3
15.02.02
Controle op technische naleving
2
15.03 - Overwegingen bij audits van informatiesystemen
15.03.01
Beheersmaatregelen voor audits van informatiesystemen
0
15.03.02
Bescherming van hulpmiddelen voor audits van informatiesystemen
0
96
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12
8
6
24
2
6
7
1
1
3
3
8
8
0
0
4
4
97
11
Subpara graafcode 13.01.01
13.01.02
13.02.01
13.02.02
13.02.03
14.01.01
14.01.02
14.01.03
14.01.04
14.01.05
15.01.01
15.01.02
15.01.03
15.01.04
15.01.05
15.01.06
15.02.01
15.02.02
15.03.01
15.03.02
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
Paragraaf nummer 03.01
Management responsibility
03.01.0
-
1
03.02
Documentation requirements
03.02.0
-
2
03.03
Competence, awareness en training
03.03.0
-
1
04.01
Plan service management (Plan)
04.01.0
-
1
04.02
Implement service management and provide the services (Do)
04.02.0
-
1
04.03
Monitoring, measuring and reviewing (Check)
04.03.0
-
2
04.04
Continual improvement (Act)
04.04.1
Policy
1
04.04
Continual improvement (Act)
04.04.2
Planning for service improvements
1
05.00
-
05.00.0
-
1
Relationship processes
Service delivery processes
Planning en implementing Planning en implementing new or service management changed services
Hoofdstuk naam The manage ment system
ISO/IEC 20000-2
Paragraafnaam
Subpara graafcode
Subparagraafkop
06.01
Service Level Management
06.01.1
Service catalogue
1
06.01
Service Level Management
06.01.2
Service level agreements (SLAs)
1
06.01
Service Level Management
06.01.3
Service level management (SLM) process
1
06.01
Service Level Management
06.01.4
Supporting service agreements
1
06.02
Service reporting
06.02.1
Policy
1
06.02
Service reporting
06.02.2
Purpose and quality checks on service reports
1
06.02
Service reporting
06.02.3
Service reports
1
06.03
Service continuity and availibility management
06.03.1
General
2
06.03
Service continuity and availibility management
06.03.2
Availability monitoring amd activities
1
06.03
Service continuity and availibility management
06.03.3
Service continuity strategy
1
06.03
Service continuity and availibility management
06.03.4
Service continuity planning and testing
1
06.04
Budgetting and accounting for ITservices
06.04.1
Policy
0
06.04
Budgetting and accounting for ITservices
06.04.2
Budgeting
0
06.05
Capacity management
06.05.0
-
1
06.06
Information security management
06.06.1
Identifying and classifying information assets
1
06.06
Information security management
06.06.2
Security risk assessment
1
06.06
Information security management
06.06.3
Controls
1
06.06
Information security management
0604.3
Accounting
0
07.01
General
07.01.0
-
0
07.02
Business relation management
07.02.1
Service reviews
1
07.02
Business relation management
07.02.2
Service complaints
1
07.02
Business relation management
07.02.3
Customer satisfaction measurement
1
07.03
Supplier management
07.03.1
Introduction
1
07.03
Supplier management
07.03.2
Contract management
1
07.03
Supplier management
07.03.3
Service definition
1
07.03
Supplier management
07.03.4
Managing multiple suppliers
1
07.03
Supplier management
07.03.5
Contractual disputes management
1
07.03
Supplier management
07.03.6
Contract end
1
98
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
99
Subpara graafcode 03.01.0
03.02.0
03.03.0
04.01.0
04.02.0
04.03.0
04.04.1
04.04.2 05.00.0
06.01.1
06.01.2
06.01.3
06.01.4
06.02.1
06.02.2
06.02.3
06.03.1
06.03.2
06.03.3
06.03.4
06.04.1
06.04.2
06.06.1
06.05.0
06.06.2
06.06.3
07.01.0
0604.3
07.02.1
07.02.2
07.02.3
07.03.1
07.03.2
07.03.3
07.03.4
07.03.5
07.03.6
Beheerdoelstelling
Het proces dient te worden gegarandeerd.
Het proces dient controleerbaar te zijn.
Het proces dient aan de actuele vereisten te voldoen.
Belanghebbenden dienen juist en volledig over het proces te worden geïnformeerd.
De geleverde ICT-diensten dienen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
De ontvangen ICT-diensten dienen aan de vereiste beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Combi
GEN A
GEN B
GEN C
GEN D
SLM A
SUP A
Totaal
1
2
3
4
5
6
6
1
3
1
10
6
ISO/IEC 20000-2
Release processes
Control processes
Resolution processes
Hoofdstuk naam
Paragraaf nummer
Paragraafnaam
Subpara graafcode
Subparagraafkop
08.01
Background
08.01.1
Setting priorities
1
08.01
Background
08.01.2
Workarounds
1
08.02
Incident management
08.02.1
General
1
08.02
Incident management
08.02.2
Major incidents
1
08.03
Problem management
08.03.1
Scope of problem management
1
08.03
Problem management
08.03.2
Iniitiation of problem management
1
08.03
Problem management
08.03.3
Known errors
1
08.03
Problem management
08.03.4
Problem resolution
1
08.03
Problem management
08.03.5
Communication
1
08.03
Problem management
08.03.6
Tracking and escalation
1
08.03
Problem management
08.03.7
Incident and problem closure
2
08.03
Problem management
08.03.8
Problem reviews
1
08.03
Problem management
08.03.9
Problem prevention
1
09.01
Configuration management
09.01.1
Configuration management planning and implementation
1
09.01
Configuration management
09.01.2
Configuration identification
1
09.01
Configuration management
09.01.3
Configuration control
1
09.01
Configuration management
09.01.4
Configuration status accounting and reporting
1
09.01
Configuration management
09.01.5
Configuration verification and audit
1
09.02
Change management
09.02.1
Planning and implementation
3
09.02
Change management
09.02.2
Closing and reviewing the change request
3
09.02
Change management
09.02.3
Emergency changes
2
09.02
Change management
09.02.4
Change management reporting, analysis and actions
3
10.01
Release management process
10.01.1
General
0
10.01
Release management process
10.01.2
Release policy
0
10.01
Release management process
10.01.3
Release and roll-out planning
0
10.01
Release management process
10.01.4
Developing and acquiring software
0
10.01
Release management process
10.01.5
Design, build and configure release
0
10.01
Release management process
10.01.6
Release verification and acceptance
1
10.01
Release management process
10.01.7
Roll-out, distribution and installation
1
10.01
Release management process
10.01.8
Post release and roll-out
1
100
Alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers.
De ICT-dienst dient de overeengekomen werklast te kunnen verwerken.
De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te hebben voldaan. De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de ICT-diensten.
Wijzigingen dienen tijdig en volledig te worden doorgevoerd.
Wijzigingen dienen te worden beoordeeld op doeltreffendheid.
Incidenten dienen tijdig en volledig te worden afgehandeld.
Incidenten dienen doeltreffend te worden afgehandeld.
Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld.
Problemen dienen doeltreffend te worden afgehandeld.
Productieopdrachten dienen te worden geautoriseerd
Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt.
Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd.
Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
SEC A INF A INF B ACC A CAP A AVA A CTY A CON A CHA A CHA B CHA C INC A INC B PRO A PRO B OPS A OPS B OPS C
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
2
2
1
1
1
2
3
5
4
4
3
4
1
5
4
0
0
101
0
Subpara graafcode 08.01.1
08.01.2
08.02.1
08.02.2
08.03.1
08.03.2
08.03.3
08.03.4
08.03.5
08.03.6
08.03.7
08.03.8
08.03.9
09.01.1
09.01.2
09.01.3
09.01.4
09.01.5
09.02.1
09.02.2
09.02.3
09.02.4
10.01.1
10.01.2
10.01.3
10.01.4
10.01.5
10.01.6
10.01.7
10.01.8