Algemene beheersing van IT-diensten: een risk based benadering

15 maart 2015
In dit artikel:

Door NOREA, de beroepsorganisatie van IT-auditors, en het Platform voor Informatiebeveiliging (PvIB) is het studierapport ’Algemene beheersing van IT-diensten’ gepresenteerd.

Studierapport Algemene Beheersing van IT-dienstenDit studierapport is het vervolg op een eerdere  gezamenlijke NOREA/PvIB-publicatie: “Normen voor de beheersing van uitbestede ICT-beheerprocessen” . Deze publicatie kan dan ook worden gezien als een update.

Bij de presentatie van het eerste studierapport in 2007 is vastgesteld dat een goede procesuitvoering alleen niet voldoende is voor een adequate beveiliging, maar dat de instellingen van de componenten van de technische ICT-infrastructuur ook moeten worden beoordeeld. De werkgroep heeft deze uitdaging opgepakt. Dit bleek echter minder eenvoudig dan oorspronkelijk ingeschat.

De complexiteit van de hedendaagse infrastructuren is zodanig groot, dat het beoordelen van een aantal systeemparameters al lang niet meer voldoende is. De beveiliger, systeembeheerder en auditor moeten inzicht weten te krijgen in de totale architectuur en de samenhang van de componenten die samen de infrastructuur vormen. Een audit van alle componenten in hun onderlinge samenhang is zeer complex en omvangrijk en daarmee tijdrovend. Er moeten dus keuzes worden gemaakt.

De werkgroep heeft een methodiek uitgewerkt om op basis van risicobenadering te bepalen wat de kritische componenten zijn voor een bepaalde organisatie en welke eisen vanuit beveiligingsoptiek aan deze componenten moeten worden gesteld. Deze methodiek geeft handvatten aan auditors, architecten en informatiebeveiligers om gericht tot goede keuzes te komen in de context van de organisatie.

De volledige tekst van de publicatie is hier te raadplegen en/of downloaden (pdf).

Niet gecategoriseerd