Rapport NOREA en PvIB: Algemene beheersing van IT-diensten

10 maart 2015

NOREA, de beroepsorganisatie van IT-auditors, en het Platform voor Informatiebeveiliging (PvIB) hebben vandaag het studierapport ’Algemene beheersing van IT-diensten’ gepresenteerd. Dit studierapport is het vervolg op een eerdere gezamenlijke NOREA/PvIB-publicatie: 'Normen voor de beheersing van uitbestede ICT-beheerprocessen'. Deze publicatie kan dan ook worden gezien als een update.

Bij de presentatie van het eerste studierapport in 2007 is vastgesteld dat een goede procesuitvoering alleen niet voldoende is voor een adequate beveiliging, maar dat de instellingen van de componenten van de technische ICT-infrastructuur ook moeten worden beoordeeld. De werkgroep heeft deze uitdaging opgepakt. Dit bleek echter minder eenvoudig dan oorspronkelijk ingeschat.

De complexiteit van de hedendaagse infrastructuren is zodanig groot, dat het beoordelen van een aantal systeemparameters al lang niet meer voldoende is. De beveiliger, systeembeheerder en auditor moeten inzicht weten te krijgen in de totale architectuur en de samenhang van de componenten die samen de infrastructuur vormen. Een audit van alle componenten in hun onderlinge samenhang is zeer complex en omvangrijk en daarmee tijdrovend. Er moeten dus keuzes worden gemaakt.
De werkgroep heeft een methodiek uitgewerkt om op basis van risicobenadering te bepalen wat de kritische componenten zijn voor een bepaalde organisatie en welke eisen vanuit beveiligingsoptiek aan deze componenten moeten worden gesteld. Deze methodiek geeft handvatten aan auditors, architecten en informatiebeveiligers om gericht tot goede keuzes te komen in de context van de organisatie.