Op strategisch niveau gaat het om de vraag of voldoende leiderschap, structuren en processen binnen de organisatie aanwezig zijn om de doelstellingen te bereiken en de bedrijfsstrategie te ondersteunen. Met betrekking tot ICT gaat het dan om de volgende aspecten:
- Het in lijn zijn van de ICT-strategie met de strategieën en doelstellingen van de organisatie;
- De ondersteuning van de strategieën en doelstellingen van de organisatie door de ICT-governancestructuur.
Met betrekking tot de ICT-governancestructuur zijn de volgende onderwerpen van belang:
- Organisatiestructuur:
De ondersteuning van de strategieën en doelstellingen van de organisatie door de ICT-organisatiestructuur en het personeelsmanagement (personeelsbeheer). - Beleid:
De ondersteuning van de ICT-strategie en het voldoen aan regelgevende en wettelijke vereisten door het ICT-beleid (en de bijbehorende normen en procedures en de processen voor hun ontwikkeling, goedkeuring, vrijgave / publicatie, implementatie en onderhoud). - Verantwoordingsmechanismen:
De tijdige en volledige informatie van de monitoring en rapportage van ICT key performance indicators (KPI’s) aan het management. - Monitoring praktijken:
Voldoende inzicht hebben in naleving van het beleid, de normen en procedures door middel van IT-management en monitoring van beheersmaatregelen (bijvoorbeeld Continue monitoring en kwaliteitsborging).
Wij kunnen u ondersteunen bij het verkrijgen van zekerheid omtrent deze onderwerpen.
Op tactisch niveau is de centrale vraag of de methoden, technieken en hulpmiddelen voor het aankopen, ontwikkelen, testen en implementeren van informatiesystemen de strategieën en doelstellingen van de organisatie ondersteunen. Hierbij zijn de volgende onderwerpen van belang:
- De business case voor de voorgenomen investeringen in informatiesystemen;
- De interne en/of externe IT-leveranciers en de processen die waarborgen dat aan de serviceniveaus en beheersdoelstellingen van de organisatie wordt voldaan;
- Het projectmanagement en de beheersmaatregelen die waarborgen dat de bedrijfsvereisten op een effectieve en efficiënte manier worden bereikt terwijl de risico’s voor de organisatie adequaat worden beheerd;
- Het kwalitatief en kwantitatief vorderen van een project in overeenstemming met de projectplannen;
- De werking van beheersmaatregelen binnen de informatiesystemen tijdens de ontwikkelings- en testfasen;
- De “readiness” van informatiesystemen voor implementatie en migratie naar productie;
- Het functioneren van systemen na inproductiename.
Wij kunnen u ondersteunen bij het verkrijgen van zekerheid omtrent deze onderwerpen.
Op operationeel niveau is de zekerheid van belang dat de verwachtingen van het IT-serviceniveau worden afgeleid uit de bedrijfsdoelstellingen van de onderneming en dat deze verwachtingen door de IT-organisatie worden waargemaakt. Hierbij zijn de volgende onderwerpen van belang:
- Het raamwerk en de werkwijzen van IT-servicemanagement (intern of door derden) om te bepalen of de serviceniveaus die door de organisatie worden verwacht, worden nageleefd en of de strategische doelstellingen worden bereikt;
- Het blijvend voldoen van informatiesystemen aan de doelstellingen van de organisatie;
- IT-beheeractiviteiten (operations, configuratiebeheer, capaciteits- en prestatiebeheer);
- IT-onderhoud (patches, upgrades);
- Databasebeheer;
- Gegevensbeheer;
- Probleem- en incidentbeheer;
- Wijzigings- en releasebeheer;
- Computergebruik van de eindgebruiker (end-user-computing);
- IT-continuïteit (back-ups / herstel, disaster recovery.
Wij kunnen u ondersteunen bij het verkrijgen van zekerheid omtrent deze onderwerpen.
Informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van vertrouwelijke gegevens is gewaarborgd door middel van ontwerp, implementatie en monitoring van controles. Hierbij zijn onder andere de volgende onderwerpen van belang:
- Het informatiebeveiligings- en privacybeleid;
- Fysieke beveiliging;
- Logische toegangsbeveiliging;
- Dataclassificatie;
- Veilig personeel;
- Encryptie;
- Netwerkbeveiliging;
- Beveiligingsincidenten;
- Naleving van wet- en regelgeving.
Wij kunnen u ondersteunen bij het verkrijgen van zekerheid omtrent deze en andere informatiebeveiligingsonderwerpen.