Rapport NOREA en PvIB: Algemene beheersing van IT-diensten
Bij de presentatie van het eerste studierapport in 2007 is vastgesteld dat een goede procesuitvoering alleen niet voldoende is voor een adequate beveiliging, maar dat de instellingen van de componenten van de technische ICT-infrastructuur ook moeten worden beoordeeld. De werkgroep heeft deze uitdaging opgepakt. Dit bleek echter minder eenvoudig dan oorspronkelijk ingeschat.
De complexiteit van de hedendaagse infrastructuren is zodanig groot, dat het beoordelen van een aantal systeemparameters al lang niet meer voldoende is. De beveiliger, systeembeheerder en auditor moeten inzicht weten te krijgen in de totale architectuur en de samenhang van de componenten die samen de infrastructuur vormen. Een audit van alle componenten in hun onderlinge samenhang is zeer complex en omvangrijk en daarmee tijdrovend. Er moeten dus keuzes worden gemaakt.
De werkgroep heeft een methodiek uitgewerkt om op basis van risicobenadering te bepalen wat de kritische componenten zijn voor een bepaalde organisatie en welke eisen vanuit beveiligingsoptiek aan deze componenten moeten worden gesteld. Deze methodiek geeft handvatten aan auditors, architecten en informatiebeveiligers om gericht tot goede keuzes te komen in de context van de organisatie.