De toegang naar Public Domain IT kennis, checklisten en best practices.

 Welkom op ITpedia

ITpedia checklist.

Checklist:     Informatie beveiliging audit
Nr. G006Operationeel beheer van ICT

Nr.IDVraagFout                             Goed
14170Zijn schriftelijke procedures opgesteld voor de bediening van alle computersystemen?
24171Worden bedieningsprocedures als officiële documenten behandeld?
34172Mogen wijzigingen in bedieningsprocedures alleen worden aangebracht na goedkeuring door een geautoriseerde manager?
44173Zijn er procedures met betrekking tot de controle op wijzigingen in ICT-voorzieningen en systemen?
54174Zijn de verantwoordelijkheden en procedures voor het wijzigen van apparatuur, software en procedures vastgelegd?
64175Wordt een audit-logboek bijgehouden waarin alle belangrijke informatie van een wijziging wordt vastgelegd?
74176Is het wijzigingsbeheer van verschillende soorten software zoals voor toepassingen en besturing, geïntegreerd?
84177Wordt functiescheiding toegepast om ongeautoriseerde wijzigingen of opzettelijk misbruik van gegevens en dienst te verkleinen?
94178Zijn de voorzieningen voor het ontwikkelen en testen van systemen en het opleiden van gebruikers gescheiden van operationele systemen?
104179Zijn er procedures aanwezig voor het overdragen van programmatuur van het ontwikkel- (of test-)stadium naar het productiestadium?
114180Zijn de risico`s van het uitbesteden van het beheer van middelen vooraf bepaald?
124181Zijn in het geval van het uitbesteden van het beheer van middelen passende beveiligingsmaatregelen met de contractant overeen gekomen?
134182Zijn in het geval van het uitbesteden van het beheer van middelen passende beveiligingsmaatregelen in het contract opgenomen?
144183Zijn in het contract maatregelen opgenomen die de organisatie in staat stellen de overeengekomen beveiligingsmaatregelen te controleren?
154184Wordt de dienstverlening regelmatig beoordeeld op beveiligingsaspecten?
164185Worden bij wijzigingen in de dienstverlening de eisen ten aanzien van informatiebeveiliging daarin opnieuw betrokken?
174186Worden computer- en netwerkcapaciteitseisen in de gaten gehouden teneinde storingen ten gevolge van een gebrek aan capaciteit te voorkomen?
184187Wordt een prognose gemaakt van toekomstige capaciteitseisen?
194188Wordt in de prognose rekening gehouden met nieuwe systeemeisen?
204189Wordt in de prognose rekening gehouden met de huidige en verwachte trends in het gebruik van computers en netwerken?
214190Worden acceptatiecriteria gedefinieerd, besproken, gedocumenteerd en getest alvorens nieuwe systemen te accepteren?
224191Zijn er maatregelen ingevoerd voor de preventie / detectie van kwaadaardige programmatuur en zijn er adequate procedures om het bewustzijn van gebruikers te vergroten?
234192Worden regelmatig reservekopieën gemaakt van essentiële gegevens en programmatuur?
244193Worden reservekopieën regelmatig getest om ervan verzekerd te zijn dat ze betrouwbaar zijn en in geval van nood kunnen worden gebruikt?
254194Wordt bij de opzet van de procedures en de maatregelen voor het maken van reservekopieën rekening gehouden met de wettelijke eisen aan de bewaartermijn van gegevens?
264195Zijn adequate maatregelen getroffen voor de beveiliging van gegevens in netwerken en de bescherming van de aangesloten diensten tegen ongeautoriseerde toegang?
274196Worden activiteiten met betrekking tot computer- en netwerkbeheer nauwkeurig gecoördineerd?
284197Beschikt de organisatie over een duidelijke beschrijving van de beveiligingskenmerken van alle gebruikte netwerkdiensten?
294198Zijn er procedures voor het beheer van verwijderbare media zoals banden, schijven, diskettes en (medische) dossiers?
304199Zijn alle procedures en autorisatieniveaus voor mediabeheer duidelijk gedocumenteerd?
314200Worden media op een veilige en beveiligde manier afgevoerd wanneer zij niet langer nodig zijn?
324201Wordt het afvoeren van gevoelige gegevens zoveel mogelijk geregistreerd, zodat hierop in de toekomst een controle kan worden uitgevoerd?
334202Zijn procedures opgesteld voor de behandeling en opslag van media om de opgeslagen gegevens te beschermen tegen ongeoorloofde openbaarmaking of misbruik?
344203Zijn de procedures in overeenstemming met de gestelde classificatie en de bijbehorende beveiligingseisen?
354204Is systeemdocumentatie beveiligd tegen ongeautoriseerde toegang, beschadiging en verlies?
364205Is er een beleid vastgesteld, waarin is opgenomen welke gegevens in aanmerking komen voor uitwisseling, zowel intern als extern?
374206Is er een beleid vastgesteld, waarin is opgenomen welke voorwaarden er gelden voor het uitwisselen van gegevens die daarvoor in aanmerking komen?
384207Zijn in overeenkomsten met andere partijen beveiligingsmaatregelen met betrekking tot het uitwisselen van gegevens opgenomen?
394208Zijn in bedoelde overeenkomsten beveiligingsmaatregelen opgenomen met betrekking tot rapportage en toezicht op verzending, afhandeling en ontvangst van gegevens?
404209Zijn er maatregelen genomen ter beveiliging van media tijdens transport tegen beschadiging, verlies, ongeautoriseerde toegang, misbruik en manipulatie?
414210Zijn er maatregelen getroffen om gegevens tijdens gegevens uitwisseling te beveiligen tegen beschadiging, verlies, ongeautoriseerde toegang, misbruik en manipulatie?
424211Is een duidelijk beleid geformuleerd ten aanzien van het gebruik van elektronische communicatie?
434212Zijn gegevens die in online transacties zijn betrokken, beschermd tegen onvolledige overdracht en verkeerd terecht komen?
444213Zijn gegevens die in online transacties zijn betrokken, beschermd tegen ongeautoriseerde wijziging, ongeautoriseerde openbaarmaking en multiplicatie?
454214Zijn richtlijnen en procedures opgesteld en geïmplementeerd voor de beheersing van de risico`s die elektronische kantoorsystemen met zich meebrengen?
464215Is aandacht besteed aan de bescherming van de integriteit van programmatuur die beschikbaar wordt gesteld via een publiek toegankelijk systeem?
474216Is aandacht besteed aan de bescherming van de integriteit van gegevens en andere informatie die beschikbaar worden gesteld via een publiek toegankelijk systeem?
484217Is gegarandeerd dat gegevens alleen via elektronische publicatiesystemen worden verkregen in overeenstemming met de wetgeving op het gebied van privacybescherming?
494218Wordt een goedkeuringsprocedure gevolgd voordat informatie op publiek toegankelijke systemen wordt gezet?
PrintenCijfer: 0,0

Gekoppelde artikelen:
Adviezen, Juridisch: Rechtmatig operationeel handelen in ICT
Methoden, Analyses: Beheerkosten en -baten in de greep

Succesfactoren in een Business Case

Een Business Case moet inzicht geven over de haalbaarheid van een project. Dit kan winstgevendheid zijn, realisatie binnen de begroting of een andere doelstelling. Het gaat er om dat de haalbaarheid aantoonbaar kan worden vastgesteld. Het opstellen van Kritische Succesfactoren kan daar in belangrijke mate bij helpen.  De kritische succesfactoren die ten grondslag liggen van je… lees verder »

RAID (Redundant Array of Independent Disks)

RAID (Redundant Array of Independent Disks, oorspronkelijk Redundant Array Inexpensive Disks) is een manier van het opslaan van dezelfde gegevens op verschillende plaatsen op meerdere harde schijven. Op deze manier worden de gegevens beschermt tegen de gevolgen van een crash van een harddisk. Niet alle RAID-niveaus bieden echter redundante opslag van gegevens. Dit is deel… lees verder »

Ketenbeheertools langs de meetlat

Ketenbeheer is een complexe activiteit, waarbij elke organisatie haar eigen doelstellingen, eisenpakket en business case heeft. Het is dan ook niet eenvoudig de juiste tool voor ketenbeheer te selecteren. Bart de Best heeft een checklist opgesteld voor de verschillende functies van deze methodiek, waarbinnen hij vier tools voor ketenbeheer positioneert. Hij komt tot de conclusie… lees verder »

10 tips voor de juiste KPI

KPI staat voor Key Performance Indicator. Het is een indicator waarmee je de prestaties van de dienstverlening kunt uitdrukken. In de IT worden ze vaak gebruikt om vast te stellen of alle afspraken uit de SLA wel worden nagekomen. De prestaties moeten eerst gemeten worden om te kunnen rapporteren. Waar moet je rekening mee houden?… lees verder »

Organisatiegerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. In dit artikel staan de Organisatiegerichte KPI´s weergegeven Deze Organisatie KPI´s meten over het algemeen of een bepaald proces binnen de organisatie verloopt zoals het zou moeten lopen. Zowel de… lees verder »

Aanzet voor ICT administratie

Kostenloze download van formulieren. ITpedia stelt een aantal formulieren ter beschikking waarmee een eerste opzet van een ICT administratie kan worden gemaakt. Tijdens de nieuwbouw van een informatiesysteem kan de ICT administratie er bij inschieten. Het is voor het latere beheer van groot belang dat de applicatie goed gedocumenteerd is. Dankzij een goede opzet is het… lees verder »

Medewerkergerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. Goede en gemotiveerde medewerkers zorgen over het algemeen voor betere prestaties. Voor deze aspecten zijn een aantal KPI´s verzameld. In dit artikel staan de Medewerkergerichte KPI´s weergegeven: Medewerkertevredenheid Medewerkertevredenheid… lees verder »

Wat is het verschil tussen een SAN en een NAS en wat heb je nodig?

SAN Versus NAS: Wat is het verschil? Laten we eerst definiëren wat het zijn. SAN (Storage Area Networks) en NAS (Network Attached Storage) zijn allebei oplossingen voor netwerkopslag, en lijken op het eerste gezicht vergelijkbaar. In veel gevallen zijn zo ook bruikbaar in vergelijkbare omgevingen. Beide gebruiken gewoonlijk RAID en bieden beide een aantal beheer-… lees verder »

De synergie van integraal ketenbeheer

In eerdere afleveringen van het vierluik over ketenbeheer kwamen beheerprocessen aan de orde. Martin Carbo behandelt in dit laatste artikel de bedrijfsprocessen, door het doormeten van deze processen bij KPN te belichten. Hierbij legt hij een relatie met de beheerprocessen, waarmee ketenbeheer pas echt ‘integraal ketenbeheer’  wordt. De voordelen blijken talrijk te zijn. Vierluik integraal… lees verder »

Ketenbeheer – principes, do’s en don’ts

De prestatie-indicator die bij veel bedrijven op nummer één staat, is beschikbaarheid. Het meetbaar maken van deze PI wordt vaak als lastig ervaren. Met de integratie van informatiesystemen tot ketens neemt deze problematiek nog verder toe. In het vorige artikel gaf Bart de Best invulling aan de ICT-aspecten van ketenbeheer. In dit artikel beschrijft hij… lees verder »

Anti Fraude Strategie in een IT organisatie

Het plegen van fraude om zichzelf te verrijken is iets van alle eeuwen. Ook in omgevingen waar veel IT wordt gebruikt komt fraude voor. Ontwikkelaars worden zich steeds bewuster van de fraude gevoeligheid van systemen terwijl IT auditors met een fraude bril op de complete IT opzet doorlichten. Er is veel aangelegen om fraude te… lees verder »

Meetbare prestaties in de keten

De prestatie-indicator die bij veel bedrijven op nummer één staat, is beschikbaarheid. Het meetbaar maken van deze PI wordt vaak als lastig ervaren. Weinig SLA’s geven dan ook een betrouwbaar beeld van de kwaliteit van de geleverde service. Daar waar wel afspraken zijn, komen de rapportages van ICT vaak niet overeen met de perceptie van… lees verder »

Klantgerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. In dit artikel staan de klantgerichte KPI´s weergegeven. Het is belangrijk dat de klanten tevreden zijn over de dienstverlening. De dienstverleningen staan beschreven in de Service Catalogus. Bij dienstverleningen… lees verder »

Bedrijfsprocessen in de schijnwerpers

Integraal ketenbeheer biedt handvat voor besturing Ketenbeheer (beheer van bedrijfsprocessen en informatiesystemen) is continu onderhevig aan interne en externe invloeden, die het proces kunnen verstoren. Als gevolg hiervan weet het management niet meer waarop het moet sturen. De sleutel tot succes ligt dan in het woord integraal. Als eerste artikel uit een vierluik behandelt deze… lees verder »

SISp 4.6 Activiteiten en bemensing Proeftuin softwarepakket

Selectie van standaard software

De proeftuinfase kent de meeste activiteiten van alle SISp fases. Het is een intensieve fase die ook veel oplevert. SISp 4 kent de volgende activiteiten Bepalen scenario Contract Infrastructuur Omgeving Testen Communicatieplan Communicatie uitvoering Evaluatie en beslissing Licentie- en onderhoudscontracten 1. Bepalen scenario Deze activiteit richt zich op het bepalen van het juiste scenario voor de proeftuin…. lees verder »

Sidebar