De toegang naar Public Domain IT kennis, checklisten en best practices.

 Welkom op ITpedia

ITpedia checklist.

Checklist:     Exploitatie en auditing
Nr. A709Zorg voor beveiligingsvoorzieningen

Nr.IDVraagFout                             Goed
11210Is een reconstructieplan gemaakt dat bij storingen in werking treed?
21211Komt elk denkbare storing in het reconstructieplan voor?
33902Worden alleen die media en netwerken gedeeld wat voor de bedrijfsprocessen noodzakelijk is?
41199Worden de noodprocedures die naast de uitwijkprocedure bestaan regelmatig geoefend?
52244Is er een functionaris die specifiek met beveiliging belast is?
62394Is het management bereid om te investeren in de beveiliging van de systemen?
72262Is bekend hoelang de organisatie buiten haar geautomatiseerde systemen kan?
8323Is bij calamiteiten in uitwijkmogelijkheden voorzien?
92259Is bekend wat bij calamiteiten de reactietijd is voor uitwijksituaties?
101811Is door de systeemeigenaar aangegeven welke beveiligingen voor de gegevensverwerking minimaal nodig zijn?
112137Liggen de autorisaties van de gebruikers t.a.v. de programmatuur binnen het systeem vast?
122138Is voorkomen dat gegevens en bestanden zonder autorisatie verwijderd kunnen worden?
132251Is de hardware op een aparte spanningsgroep aangesloten?
142252Sluiten de toegangen tot de computerruimten zich automatisch na geopend te zijn geweest?
152587Is niet meer beveiligd dan strikt noodzakelijk is?
161196Kunnen de laatste mutaties na het uitvallen van de computer alsnog, b.v. dankzij "checkpointing" verwerkt worden?
172192Bevat het password zowel cijfers als letters?
182193Is het password eenvoudig genoeg om het te kunnen onthouden?
192194Blijft het password slechts een beperkte tijd geldig?
202195Wordt de gebruiker geblokkeerd na een beperkt aantal aanlog pogingen met een verkeerd password?
212196Is er een procedure voor gebruikers die hun password vergeten zijn?
222222Bevat het password tenminste 5 tekens?
232223Is het password niet uit de user-naam af te leiden?
242224Moet het password tenminste drie tekens verschillen met reeds eerder gebruikte passwords?
252227Worden de passwords versleuteld in het systeem opgeslagen?
262170Is een overzicht gemaakt van de meest gevoelige applicaties binnen de organisatie?
272171Is een overzicht gemaakt van de meest gevoelige apparatuur binnen de organisatie?
281256Is voor zover mogelijk kritische kennis verspreid over meerdere functionarissen?
292215Is een risico-analyse gemaakt van die situaties waarbij het management opdracht geeft om de procedures niet te volgen?
302608Is voorkomen dat gebruikers meer rechten binnen het netwerk krijgen dan noodzakelijk?
312393Is het systeembeheer een geintegreerd onderdeel van de beveiliging van de systemen?
322174Wordt de privacy van de medewerkers niet door de beveiligingsmaatregelen aangetast?
332229Worden gebruikers die na een bepaalde tijd niet meer van het systeem gebruik gemaakt hebben automatisch afgelogd?
342216Is bekend welk risico gelopen wordt indien een verkeerd bestand verwerkt wordt?
352756Worden te automatiseren personeelsbestanden aan het personeel getoond, zodat bekend is welke informatie wordt opgeslagen?
362189Is een verzekering afgesloten tegen schending van vertrouwen?
371175Is de fysieke toegang tot de computerruimte d.m.v. procedures geregeld?
381328Zijn er procedures gedefinieerd die in werking treden als de database geheel of gedeeltelijk uitvalt?
391330Zijn er procedures gedefinieerd die in werking treden als er na kantoortijd nog gebruikers zonder toestemming actief zijn?
402182Kan het wijzigen van de systeemklok alleen geautoriseerd plaatsvinden?
412210Wordt elke maand een aparte backup gemaakt die een jaar bewaard wordt?
422211Wordt bij telefonische toegang degene die aanlogt eerst automatisch door het systeem teruggebeld?
432315Worden inventaris- en voorraadlijsten op externe locaties bewaard, zodat men bij calamiteiten weet wat in het computercentrum aanwezig was?
441193Is voorkomen dat waardevolle mediadragers ontvreemd kunnen worden?
451257Is de toegangspadanalyse op de database voornamelijk d.m.v. statische maatregelen verzorgt?
461258Zijn de bevoegdheden van het automatiseringspersoneel tot het hoogst noodzakelijke beperkt?
471230Worden vertrouwelijke gegevens die via openbare netten verzonden worden eerst versleuteld?
481271Is daar waar nodig gebruik gemaakt van aarding van de werkplek?
491812Wordt de onbevoegde toegang op het systeem geconstateerd en gemeld?
502277Kunnen de bedieningshandelingen voor alle systemen op een punt plaatsvinden?
51322Is voldoende aandacht besteed aan de opzet van de backup en restore-procedures?
521170Zijn er maatregelen genomen zodat gegevensverzamelingen snel gereconstrueerd kunnen worden?
531236Is er een aparte beheerder aangesteld t.a.v. de beveiliging van privacy-gevoelige gegevens in het systeem?
542161Worden bestanden tussentijds gesaved, zodat de gevolgen bij spanningsuitval beperkt blijven?
552586Is de toegang tot de server in het netwerk apart beveiligd?
562591Is de opslag van bestanden en programmatuur binnen het netwerk zoveel mogelijk gecentraliseerd?
572172Zijn werkstations met bijzondere bevoegheden extra beveiligd?
582173Zijn computers die continu beschikbaar moeten zijn extra beveiligd?
592188Is t.b.v. kleine storingen standby (rand)apparatuur aanwezig?
602217Worden alle backup media "write protected" gearchiveerd?
611331Worden de tapenummers van de backup in een aparte administratie (niet online) bijgehouden?
622205Zijn de mogelijkheden om de gegevensverzamelingen buiten de programmatuur om te herstellen voldoende beveiligd?
632212Is een risico-analyse gemaakt van die situaties waarbij een PC op het centrale systeem wordt aangesloten?
642213Is een risico-analyse gemaakt van die situaties waarin een modem continu bereikbaar is?
652214Is een risico-analyse gemaakt van situaties waarbij bestanden geschoond worden?
662169Is de toegang tot de ruimte waar de communicatielijnen het gebouw binnen komen fysiek beveiligd?
672209Is voorkomen dat snoeren per ongeluk los kunnen raken?
682311Wordt voor de inbel-communicatie gebruikt gemaakt van andere protocollen dan standaard ASCII, om illegale toegang te voorkomen?
692313Blijft de melding "Incorrect Password" achterwege zodat "inbrekers" niet weten of ze een juist password gevonden hebben?
702314Krijgt de gebruiker bij het aanloggen medegedeeld wanneer hij de laatste keer heeft aangelogd, zodat hij weet dat anderen dit niet gedaan hebben?
712187Worden grote computerzalen d.m.v. een gesloten cameracircuit bewaakt?
722200Bevat de uitwijkkoffer altijd alle laatste tapes?
732203Worden vertrouwelijke berichten voor verzending versleuteld?
742243Is van alle opstart bestanden per PC een backup gemaakt?
752263Zijn er eisen gesteld aan de orde en netheid van de werkplekken?
762273Zijn er maatregelen genomen tegen het ongeoorloofd kopieren van uitdraaien?
773046Wordt een gebruiker die niet zijn periodieke backup gemaakt heeft geblokkeerd totdat de backup wel is gemaakt?
781162Is voorkomen dat operators ongecontroleerd in de gegevensverwerking kunnen ingrijpen?
791641Worden de autorisaties van de gebruikers buiten het informatiesysteem middels een apart systeem beheerd?
802206Wordt bij externe toegang op het systeem gemeld om welk systeem het gaat?
812207Wordt bij externe toegang op het systeem gemeld dat het systeem beveiligd is?
822208Wordt bij telefonische toegang op het systeem gemeld dat ongeautoriseerde toegang op het systeem strafbaar is?
831201Worden alle gegevensverzamelingen gearchiveerd?
841203Wordt alle documentatie gearchiveerd?
851204Is het ongeautoriseerd kopieeren van output voorkomen?
861205Is het ongeautoriseerd gebruik van werkstations voorkomen?
871206Is het ongeautoriseerd gebruik van programmatuur voorkomen?
881207Is het ongeautoriseerd gebruik van computertijd voorkomen?
892584Heeft de netwerkbeheerder ook buiten werktijd toegang tot de werkplek en de werkstations?
901169Is de fysieke beveiliging van de programmasources geregeld?
911649Zijn de bewaartermijnen van de verschillende gegevensverzamelingen vastgesteld?
922139Worden uitdraaien van de programma-broncode apart bewaard?
931155Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van slechte huisvesting?
941156Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van achterstallig onderhoud?
951157Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van brand?
961158Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van wateroverlast?
971159Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van onderbrekingen in de energievoorziening?
981160Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van een verkeerde luchtvochtigheid?
991194Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van spanningsfluktuaties?
1001195Is voorkomen dat er storingen in de apparatuur kunnen optreden als gevolg van het uitvallen van de klimaatregeling?
1012149Staan beeldschermen waarop vertrouwelijke informatie getoond wordt niet bij ramen of deuren opgesteld?
1022162Is bekend wat er gebeurd als meerdere systemen tegelijkertijd uitvallen?
1032180Is per informatiesysteem vastgesteld hoelang het gemist kan worden?
1042900Kent de organisatie een parafenlijst waarop van de betrokken medewerkers de autorisaties zijn aangegeven?
1052913Is er slechts een beperkte toegang tot de productiedocumentatie?
1061865Is voorkomen dat gebruikers leesbevoegdheden van gegevens aan elkaar kunnen overdragen?
1072449Is bekend hoelang de gegevens in de gevensverzamelingen opgeslagen moeten blijven?
1082529Zijn de gegevens over de data-elementen in het DBMS ook in de backup-procedures opgenomen?
1092860Worden de databases afzonderlijk voor de toegang beveiligd?
1102235Is de organisatie bereid om de beveiligingsmaatregelen te accepteren?
1112145Zijn de verantwoordelijkheden en taken in geval van calamiteiten aan de bevoegde managers toegewezen?
1122146Is er een speciaal uitwijkplan in geval er randapparatuur voor langere duur uitvalt?
1131294Is bekend binnen hoeveel tijd het systeem weer operationeel is bij het inlezen van een backup?
1141295Is de kans dat uitvoer op foutief papier wordt afgedrukt geminimaliseerd?
1152136Is aandacht besteed aan het risico van verduistering?
1162255Hebben de medewerkers instructies hoe ze moeten handelen bij calamiteiten?
1171743Is in het rapport met de standaards t.a.v. gezondheidsaspecten rekening gehouden?
1182237Is voor alle mogelijke storingen in het rapport aangegeven wat de gevolgen voor de eigen organisatie zijn?
1192238Is in het rapport aangegeven welke applicaties in welke mate beschermd moeten worden?
1202268Is een extreme beveiliging als alternatief voor uitwijk overwogen?
1212269Is uitwijk binnen de organisatie als alternatief voor externe uitwijk overwogen?
1222270Is onderlinge uitwijk van organisaties als alternatief voor externe uitwijk overwogen?
1232271Is leegstaande computerruimte als alternatief voor externe uitwijk overwogen?
1242272Is het huren van computertijd als alternatief voor externe uitwijk overwogen?
125476Zijn er vaste afspraken t.a.v. het geven van demonstraties en rondleidingen door het computercentrum?
PrintenCijfer: 0,0

Gekoppelde artikelen:
Analyses, Oplossingen, Achtergronden: De cloud, een mistige propositie

Ketenbeheertools langs de meetlat

Ketenbeheer is een complexe activiteit, waarbij elke organisatie haar eigen doelstellingen, eisenpakket en business case heeft. Het is dan ook niet eenvoudig de juiste tool voor ketenbeheer te selecteren. Bart de Best heeft een checklist opgesteld voor de verschillende functies van deze methodiek, waarbinnen hij vier tools voor ketenbeheer positioneert. Hij komt tot de conclusie… lees verder »

10 tips voor de juiste KPI

KPI staat voor Key Performance Indicator. Het is een indicator waarmee je de prestaties van de dienstverlening kunt uitdrukken. In de IT worden ze vaak gebruikt om vast te stellen of alle afspraken uit de SLA wel worden nagekomen. De prestaties moeten eerst gemeten worden om te kunnen rapporteren. Waar moet je rekening mee houden?… lees verder »

Organisatiegerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. In dit artikel staan de Organisatiegerichte KPI´s weergegeven Deze Organisatie KPI´s meten over het algemeen of een bepaald proces binnen de organisatie verloopt zoals het zou moeten lopen. Zowel de… lees verder »

Aanzet voor ICT administratie

Kostenloze download van formulieren. ITpedia stelt een aantal formulieren ter beschikking waarmee een eerste opzet van een ICT administratie kan worden gemaakt. Tijdens de nieuwbouw van een informatiesysteem kan de ICT administratie er bij inschieten. Het is voor het latere beheer van groot belang dat de applicatie goed gedocumenteerd is. Dankzij een goede opzet is het… lees verder »

Medewerkergerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. Goede en gemotiveerde medewerkers zorgen over het algemeen voor betere prestaties. Voor deze aspecten zijn een aantal KPI´s verzameld. In dit artikel staan de Medewerkergerichte KPI´s weergegeven: Medewerkertevredenheid Medewerkertevredenheid… lees verder »

Wat is het verschil tussen een SAN en een NAS en wat heb je nodig?

SAN Versus NAS: Wat is het verschil? Laten we eerst definiëren wat het zijn. SAN (Storage Area Networks) en NAS (Network Attached Storage) zijn allebei oplossingen voor netwerkopslag, en lijken op het eerste gezicht vergelijkbaar. In veel gevallen zijn zo ook bruikbaar in vergelijkbare omgevingen. Beide gebruiken gewoonlijk RAID en bieden beide een aantal beheer-… lees verder »

De synergie van integraal ketenbeheer

In eerdere afleveringen van het vierluik over ketenbeheer kwamen beheerprocessen aan de orde. Martin Carbo behandelt in dit laatste artikel de bedrijfsprocessen, door het doormeten van deze processen bij KPN te belichten. Hierbij legt hij een relatie met de beheerprocessen, waarmee ketenbeheer pas echt ‘integraal ketenbeheer’  wordt. De voordelen blijken talrijk te zijn. Vierluik integraal… lees verder »

Ketenbeheer – principes, do’s en don’ts

De prestatie-indicator die bij veel bedrijven op nummer één staat, is beschikbaarheid. Het meetbaar maken van deze PI wordt vaak als lastig ervaren. Met de integratie van informatiesystemen tot ketens neemt deze problematiek nog verder toe. In het vorige artikel gaf Bart de Best invulling aan de ICT-aspecten van ketenbeheer. In dit artikel beschrijft hij… lees verder »

Anti Fraude Strategie in een IT organisatie

Het plegen van fraude om zichzelf te verrijken is iets van alle eeuwen. Ook in omgevingen waar veel IT wordt gebruikt komt fraude voor. Ontwikkelaars worden zich steeds bewuster van de fraude gevoeligheid van systemen terwijl IT auditors met een fraude bril op de complete IT opzet doorlichten. Er is veel aangelegen om fraude te… lees verder »

Meetbare prestaties in de keten

De prestatie-indicator die bij veel bedrijven op nummer één staat, is beschikbaarheid. Het meetbaar maken van deze PI wordt vaak als lastig ervaren. Weinig SLA’s geven dan ook een betrouwbaar beeld van de kwaliteit van de geleverde service. Daar waar wel afspraken zijn, komen de rapportages van ICT vaak niet overeen met de perceptie van… lees verder »

Klantgerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. In dit artikel staan de klantgerichte KPI´s weergegeven. Het is belangrijk dat de klanten tevreden zijn over de dienstverlening. De dienstverleningen staan beschreven in de Service Catalogus. Bij dienstverleningen… lees verder »

Bedrijfsprocessen in de schijnwerpers

Integraal ketenbeheer biedt handvat voor besturing Ketenbeheer (beheer van bedrijfsprocessen en informatiesystemen) is continu onderhevig aan interne en externe invloeden, die het proces kunnen verstoren. Als gevolg hiervan weet het management niet meer waarop het moet sturen. De sleutel tot succes ligt dan in het woord integraal. Als eerste artikel uit een vierluik behandelt deze… lees verder »

SISp 4.6 Activiteiten en bemensing Proeftuin softwarepakket

Selectie van standaard software

De proeftuinfase kent de meeste activiteiten van alle SISp fases. Het is een intensieve fase die ook veel oplevert. SISp 4 kent de volgende activiteiten Bepalen scenario Contract Infrastructuur Omgeving Testen Communicatieplan Communicatie uitvoering Evaluatie en beslissing Licentie- en onderhoudscontracten 1. Bepalen scenario Deze activiteit richt zich op het bepalen van het juiste scenario voor de proeftuin…. lees verder »

Financiële KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. Dit artikel gaat dieper in op de financiële KPI´s. Hier wordt mee begonnen omdat dit voor een organisatie uiteindelijk het belangrijkst is. De prestaties uit de andere drie perspectieven… lees verder »

Geef handen en voeten aan performancemanagement

In dit artikel bespreekt Bart de Best wat verstaan wordt onder performance management en waarom hiervoor een meetinstrument nodig is. Hiertoe worden de componenten van een meetinstrument beschreven en wordt vastgesteld hoe op basis hiervan meetgegevens verkregen kunnen worden en welke gegevens de essentie vormen. Het artikel wordt afgesloten met het bespreken van de inrichting… lees verder »

Sidebar