Startpagina
Diensten
ICT vraagstukken
Uitbesteding en/of naar de cloud
Selectie en Implementatie
ICT opbrengsten
Beveiliging ICT
Continuïteit ICT
Klantgroepen
Ondernemers en bedrijven
Accountants
Risico Management
Cyber Risico management
Informatie Management
Proces management
Project Management
Assessments & Audits
AVG Privacy Impact Analyse
AVG Privacy Control Assessment
DigiD Beveiliging Assessment
ITGC Audit Essentials
ITGC Server security assessment
Over ons
IT Risk Control
Kennis en Samenwerking
Klanten
Brochures
Contact
Press enter to begin your search
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Welkom bij de IT Audit Essentials
Het doel van dit self-assessment IT Audit Essentials is inzicht te krijgen in:
- de rol en functie van automatisering in uw organisatie;
-de wijze waarop de processen en procedures rondom automatisering zijn georganiseerd.
Dit assessment gaat in op de volgende onderdelen:
-Typering van uw automatiseringsomgeving
-De inrichting van uw IT Landschap
Werkwijzen en procedures met betrekking tot:
-Wijzigingen
-Continuïteit
-Back-up en recovery
-Beveiliging
-Autorisaties
Verder zijn een aantal vragen inzake de Algemene verordening gegevensbescherming (AVG) opgenomen.
Aan het einde van het assessment wordt gevraagd een set met documentatie samen te stellen en te uploaden om de beeldvorming te completeren en uw antwoorden zo goed mogelijk te kunnen interpreteren.
Voordat u start met het online invullen adviseren wij u de handleiding te lezen (
klik hier
). Daarin staan alle vragen opgenomen en kunt u het invullen voorbereiden.
Om uw antwoorden te kunnen verwerken, is het noodzakelijk dat het invullen volledig is afgerond. Zolang het invullen niet is afgerond, houdt u toegang tot de vragenlijst en kunt u de antwoorden nog wijzigen.
Voor het invullen van deze vragenlijst heeft u een
valide referentiecode
nodig. Heeft u deze niet, neem dan contact op met uw accountant.
Naam organisatie
*
Uw naam
*
Voornaam
Achternaam
Uw functie
Telefoon
E-mailadres
*
E-mailadres invoeren
E-mailadres bevestigen
Naam van accountantskantoor
Referentie Nummer
*
Zodra u een valide referentiecode ingevoerd heeft, verschijnt de knop "volgende" en kunt u doorgaan met het invullen van dit assessment. Beschikt u niet over deze code? Neem dan contact op met uw accountant.
In dit onderdeel wordt gevraagd om aan de hand van een aantal gesloten keuzemogelijkheden de automatiseringsomgeving op een aantal onderdelen te typeren. Desgewenst kunt u aan het einde van dit onderdeel nog een nadere toelichting op de typering geven.
Hoe beoordeelt u de complexiteit van uw computeromgeving?
Denk hierbij bijvoorbeeld aan de complexiteit van de technische infrastructuur, diversiteit inrichting en configuraties servers, gegevensuitwisseling (interfaces) tussen diverse in-en externe systemen.
Eenvoudig
Normaal
Redelijk complex
Complex
Zeer complex
Hoe afhankelijk bent u van derden voor het onderhoud van systemen en het waarborgen van de beschikbaarheid?
Niet afhankelijk
Enigzins afhankelijk
Afhankelijk
Sterk afhankelijk
Helemaal afhankelijk
Hoe afhankelijk zijn de primaire bedrijfsprocessen van automatisering?
De mate van afhankelijkheid van de primaire processen van automatisering is onder andere van belang voor het vaststellen van de beschikbaarheidseisen.
Niet afhankelijk
Enigzins afhankelijk
Afhankelijk
Sterk afhankelijk
Primaire bedrijfsproces kan niet zonder automatisering
Hoe belangrijk is uw automatisering voor derden (klanten, samenwerkingspartners en/of leveranciers)?
Niet afhankelijk
Enigzins afhankelijk
Afhankelijk
Sterk afhankelijk
Primair proces van derden kan niet zonder onze automatisering
Hoe afhankelijk is de financiële informatievoorziening van de betrouwbare werking van uw automatiseringsomgeving?
Niet afhankelijk
Enigzins afhankelijk
Afhankelijk
Sterk afhankelijk
Helemaal afhankelijk
Op welke wijze komt de periodieke financiële informatievoorziening tot stand?
Rechtstreeks uit primaire voorzieningen
Via een specifieke rapportage tool
Via overname en bewerkingen van gegevens (bijvoorbeeld in MS Excel)
Hoe vaak worden wijzigingen doorgevoerd in de automatiseringsomgeving?
De frequentie van het doorvoeren van wijzigingen kan iets zeggen over de stabiliteit van systemen en geeft het belang van een goed wijzigingenbeheer aan.
Bijna geen wijzigingen
Weinig wijzigingen
Regelmatig wijzigingen
Veel wijzigingen
Voortdurend wijzigingen
Hoe stabiel zijn uw huidige systemen?
Zeer stabiel, vrijwel nooit storingen
Stabiel, weinig tot geen storingen
Stabiel
Enigszins stabiel
Niet stabiel
In welke mate is het management bewust van het strategisch belang van IT en de bijbehorende risico's?
Het bewustzijn van het management kan zich op vele manieren uiten. Bijvoorbeeld door frequent overleg, actieve betrokkenheid bij beslissingen, pro-activiteit, etc.
Management kijkt niet naar automatisering om
Management is zich enigszins bewust van belang en risicos
Management is zich bewust van belang en risicos
Management is zich bewust van belang en risicos en handelt daar ook naar
Management is actief betrokken bij IT vanwege een sterk bewustzijn van het belang en mogelijke risicos
Hoe adequaat is de kennis en ervaring van IT-personeel?
Niet adequaat
Schiet tekort
Adequaat
Ruim voldoende
Zeer adequaat en professioneel
In welke mate voldoen de huidige systemen aan de wensen van de organisatie?
Huidige systemen voldoen niet aan de wensen
Huidige systemen zijn verouderd maar voldoen nog enigszins
Huidige systemen voldoen aan de wensen
Huidige systemen zijn ruim voldoende ten opzichte van de wensen
Huidige systemen zijn volledig aangesloten en geselecteerd op basis van de wensen uit de organisatie
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
AVG
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Als organisatie moet u voldoen aan een aantal voorwaarden. Voor meer informatie. Als u niet voldoet loopt u de kans op hoge boetes, kunt u aansprakelijk worden gesteld en/of loopt u de kans op imagoschade. Dit kan van invloed zijn op de financiële verantwoording. Om inzicht te krijgen of de AVG voor uw organisatie van belang is onderstaand een selectie van een aantal vragen. Meer informatie over de AVG vindt u bij de Autoriteit Persoonsgegevens (AP).
Verwerkt u persoonsgegevens?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Ja
Nee
Toelichting persoonsgegevens
Kent u de rechten van betrokkenen?
Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Ja
Nee
Toelichting rechten van betrokkenen
Heeft u de gegevensverwerking in kaart?
Documenteert u welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt? Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.
Ja
Nee
Toelichting gegevensverwerking in kaart
Heeft u een procedure voor het registreren en melden van datalekken?
De AVG stelt strenge eisen aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.
Ja
Nee
Toelichting registreren en melden datalekken
Heeft u uw gegevensverwerking uitbesteed aan een verwerker?
Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Ja
Nee
Toelichting uitbesteding gegevensverwerking
Heeft u toestemming van betrokkenen?
Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Ja
Nee
Toelichting toestemming betrokkenen
Cybersecurity
Cybercrime is big business. Malafide organisaties verdienen veel geld door organisaties te hacken. Vaak is het een kwestie van tijd voordat een organisatie te maken krijgt met cybercrime. En niet zelden ligt daar menselijk handelen aan ten grondslag. De vraag hoe organisaties zich tegen cybercrime kunnen wapenen is dan ook een terechte. Absolute veiligheid bestaat echter niet, maar bewustwording bij bestuurders en werknemers is nog steeds een belangrijk wapen in de strijd.
Cybersecurity Health Check
De check is een hulpmiddel dat u in staat stelt inzicht te krijgen in de staat van cyberbeveiliging van uw organisatie. Deze Health Check is vooral gericht op middelgrote bedrijven. Ook is het een leidraad voor controlerend accountants om met hun opdrachtgevers het gesprek over cybersecurity aan te gaan. De Health Check is op verzoek van de Cyber Security Raad ontwikkeld door specialisten van vier grote accountantsorganisaties. De Cybersecurity Health Check, is op initiatief van de Cyber Security Raad door specialisten van een aantal accountantskantoren opgesteld
Meer informatie.
Wilt u de vragen over cybersecurity invullen?
Ja
Nee
Instructies
Hierna volgen de vragen van de check. De check is geen uitputtende lijst, maar bedoeld als een goede start om de belangrijkste cyberrisco’s in beeld te brengen en te mitigeren.
Geef bij iedere vraag aan of dit voldoende is geïmplementeerd binnen uw organisatie en ga daarbij uit van de huidige stand.
Identificatie
Is de verantwoordelijkheid voor cybersecurity binnen de directie belegd en wordt cybersecurity periodiek binnen de directie besproken?
Ja
Nee
Toelichting verantwoordelijkheid voor cybersecurity
Is binnen uw organisatie inzichtelijk wat uw belangrijkste kroonjuwelen zijn (webshop, operationele en financiële data, persoonsgegevens klanten) en wat het effect van een cyberaanval op deze kroonjuwelen kan zijn?
Ja
Nee
Toelichting belangrijkste kroonjuwelen
Zijn de belangrijkste cyberrisico’s en -dreigingen in kaart gebracht en worden deze periodiek geëvalueerd vanuit een strategisch, financieel, operationeel, reputatie en compliance (bv. AVG) perspectief inclusief derde partijen?
Ja
Nee
Toelichting in kaart brengen belangrijkste cyberrisico’s en -dreigingen
Bescherming
Scholen uw medewerkers zich tenminste jaarlijks bij, om op de hoogte te blijven van recente ontwikkelingen en ‘do’s & don’ts’ op securitygebied voor hun functie (zowel IT als non-IT)?
Ja
Nee
Toelichting bijscholing
Is bij zowel u als een eventuele derde partij het patch management (bijwerken, testen en installeren van software) op orde?
Ja
Nee
Toelichting patch management
Is bij zowel u als een eventuele derde partij het toegangsbeheer (incl. intrekken toegang van gebruikers na functiewisseling of - beëindiging) op orde?
Ja
Nee
Toelichting toegangsbeheer
Is bij zowel u als een eventuele derde partij het maken van back-ups op orde?
Ja
Nee
Toelichting het maken van back-ups
Worden deze periodiek uitgevoerd en wordt de effectiviteit ervan regelmatig getest? Zo nee, wat doet u wel aan eventuele periodieke controles?
Ja
Nee
Toelichting uitvoering periodiek testen
Heeft uw organisatie effectieve maatregelen in gebruik voor netwerksegmentatie, endpoint security, en (D)DoS-mitigatie. Zijn systemen voldoende robuust en wordt gebruik gemaakt van 2FA (bv: wachtwoord en code via SMS) voor authenticatie op gevoelige systemen?
Ja
Nee
Toelichting effectieve maatregelen
Detectie
Maakt uw organisatie gebruik van logging (log files), al dan niet centraal geaggregeerd? Wordt deze ook actief geanalyseerd, zodat monitoring van incidenten plaatsvindt?
Ja
Nee
Toelichting gebruik van logging
Is uw organisatie in staat om de dreiging van ransomware (WannaCry, Petya) te detecteren, bijvoorbeeld door het inzetten van monitoring software op computer-, server- en/of netwerkniveau?
Ja
Nee
Toelichting dreiging van ransomware
Is uw organisatie in staat om de dreiging van virussen en trojans (Remote Access Tools) te detecteren, bijvoorbeeld door het inzetten van monitoring software op computer-, server- en/of netwerkniveau?
Ja
Nee
Toelichting dreiging van virussen en trojans
Is uw organisatie in staat om de dreiging van diefstal van informatie (bedrijfsgeheimen) te detecteren, bijvoorbeeld door het inzetten van monitoring software op computer-, server- en/of netwerkniveau?
Ja
Nee
Toelichting dreiging van diefstal van informatie
Is uw organisatie in staat om de dreiging van ongeautoriseerde toegang tot servers en/of informatie te detecteren, bijvoorbeeld door het inzetten van monitoring software op computer-, server- en/of netwerkniveau?
Ja
Nee
Toelichting dreiging van ongeautoriseerde toegang tot servers
Toetst uw organisatie de effectiviteit van de getroffen beveiligingsmaatregelen door het uitvoeren van een kwetsbaarhedenscan?
Het automatisch scannen van aan internet gekoppelde systemen en applicaties op de aanwezigheid van publiekelijk bekende kwetsbaarheden en configuratiefouten.
Ja
Nee
Toelichting uitvoeren kwetsbaarhedenscan
Toetst uw organisatie de effectiviteit van de getroffen beveiligingsmaatregelen door het uitvoeren van penetratietesten?
Beveiligingstesten van aan internet gekoppelde systemen en applicaties en/of de kantoorautomatisering.
Ja
Nee
Toelichting uitvoeren penetratietesten
Toetst uw organisatie de effectiviteit van de getroffen beveiligingsmaatregelen door het uitvoeren van red-teaming?
Op basis van scenario’s tracht een hacker ongeautoriseerde toegang te verkrijgen tot uw informatie.
Ja
Nee
Toelichting uitvoeren red-teaming
Reactie
Heeft uw organisatie een communicatieplan opgesteld om belanghebbenden (zoals de juridische afdeling, de pers, leveranciers, afnemers, personeel, overheid, Autoriteit Persoonsgegevens, etc.) tijdig en adequaat te informeren over een cyberincident?
Ja
Nee
Toelichting communicatieplan
Heeft uw organisatie een crisisplan opgesteld om de impact van cyberincidenten te beperken en het incident zelf uiteindelijk te verhelpen en is helder wie welke rol daarin heeft?
Ja
Nee
Toelichting crisisplan
Oefent uw organisatie periodiek (bijvoorbeeld een keer per jaar) het reageren op een gesimuleerd cyberincident en bespreekt u de uitkomsten daarvan in het bestuur voor het verbeteren van het communicatie- en crisisplan?
Ja
Nee
Toelichting periodieke oefening
Herstel
Heeft uw organisatie een herstelplan opgesteld, dat u in staat stelt op tijd de bedrijfsvoering te hervatten (voordat de schade te groot is)?
Ja
Nee
Toelichting herstelplan
Zijn uw back-upvoorzieningen zodanig ingericht dat u snel en efficiënt getroffen systemen kunt herstellen naar normale operatie en test u dit regelmatig?
Ja
Nee
Toelichting back-upvoorzieningen
Heeft uw organisatie processen en middelen om te leren van opgetreden cyberincidenten om deze in de toekomst te voorkomen, sneller te detecteren of beter op te reageren?
Ja
Nee
Toelichting cyberincidenten voorkomen
IT landschap
In dit onderdeel wordt gevraagd inzicht te geven in het IT landschap van uw organisatie. Dit betreft onder andere de functiegebieden en pakketten die daarbij worden gebruikt, aard en type servers, OS, DBMS, soort en aantal werkplekken en vragen over cloud en thuiswerken. Op basis van de antwoorden kunnen wij een beter beeld te vormen van de aard en omvang van uw IT landschap.
Functiegebieden en pakketten
In dit onderdeel wordt gevraagd om inzicht te krijgen in de functiegebieden waarin automatisering wordt toegepast en welke pakketten uw organisatie daarbij gebruikt.
Gebruikt u een financieel pakket?
Ja
Nee
Toelichting/ versie financieel pakket
Gebruikt u een pakket voor logistiek?
Ja
Nee
Toelichting/ versie logistiek pakket
Gebruikt u een pakket voor inkoop?
Ja
Nee
Toelichting/ versie inkoop pakket
Gebruikt u een pakket voor verkoop?
Ja
Nee
Toelichting/ versie verkoop pakket
Gebruikt u een pakket voor de productie?
Ja
Nee
Toelichting/ versie productie pakket
Gebruikt u een voorraad pakket?
Ja
Nee
Toelichting/ versie voorraad pakket
Gebruikt u een service pakket?
Ja
Nee
Toelichting/ versie service pakket
Gebruikt u een pakket voor personeelszaken?
Ja
Nee
Toelichting/ versie personeelszaken pakket
Gebruikt u een salaris pakket?
Ja
Nee
Toelichting/ versie salaris pakket
Gebruikt u een CRM pakket?
Ja
Nee
Toelichting/ versie CRM pakket
Gebruikt u een CMS pakket?
Ja
Nee
Toelichting/ versie CMS pakket
Gebruikt u een pakket voor kantoorautomatisering?
Ja
Nee
Toelichting/ versie pakket kantoorautomatisering
Gebruikt u een pakket voor web verkoop?
Ja
Nee
Toelichting/ versie web verkoop pakket
Gebruikt u een managementinformatie/BI pakket?
Ja
Nee
Toelichting/ versie managementinformatie/BI pakket
Gebruikt u nog andere automatiseringspakketten?
Ja
Nee
Toelichting/ versie andere automatiseringspakketten
De volgende vragen zijn bedoeld om een idee te krijgen hoe uw IT Landschap is ingericht. Hierbij is bewust gekozen voor open vragen. Dit voorkomt het moeten invullen van ellenlange checklijsten.
Doordat het open vragen zijn is het wel van belang om uw situatie zo concreet mogelijk te beschrijven. Beschikt u al over beschrijvingen of andere documentatie waaruit het antwoord op de vraag blijkt. Dan kunt u volstaan met een korte opmerking en verwijzen naar de betreffende documenten. Deze moet u dan uiteraard wel, aan het einde van dit assessment, als bijlage toevoegen.
Om u bij de beantwoording van de vragen te kunnen voorzien van voorbeelden en u te ondersteunen zijn verwijzingen naar Wikipedia opgenomen.
Servers en Operatingsystemen
Kunt u aangeven van welke type servers u gebruik maakt en welke Operating Systemen en versies deze servers gebruiken?
Nadere toelichting en voorbeelden voor type servers
Nadere toelichting en voorbeelden voor Operating Systemen
Databasemanagement systemen
Kunt u aangeven welke Databasemanagement Systemen worden gebruikt en waarvoor deze worden gebruikt?
Nadere toelichting en voorbeelden over databasemanagementsystemen
Bescherming tegen virussen, inbraken en DDOS e.d.
Kunt u aangeven welke maatregelen zijn getroffen voor het beveiligen van uw informatievoorziening? Dit kunnen zowel maatregelen in de software, hardware zijn als fysieke en/of procedurele maartregelen zijn.
Nadere toelichting en voorbeelden over informatiebeveiliging
Werkplekken
Het doel van deze vraag is een beeld te krijgen van het aantal en soort werkplekken die uw organisatie gebruikt. Het is daarbij ook van belang om het aantal werkplekken te vermelden.
Wordt er gebruik gemaakt van PC Fat clients?
Ja
Nee
Aantal gebruikers PC Fat clients
Van welke operating systemen word er gebruik gemaakt bij PC Fat clients?
Opmerkingen m.b.t. PC Fat clients
Wordt er gebruik gemaakt van PC Thin clients?
Ja
Nee
Aantal gebruikers PC Thin clients
Van welke operating systemen word er gebruik gemaakt bij PC Thin clients?
Opmerkingen m.b.t. PC Thin clients
Wordt er gebruik gemaakt van laptops?
Ja
Nee
Aantal gebruikers laptops
Van welke operating systemen word er gebruik gemaakt bij de laptops?
Opmerkingen m.b.t. laptops
Wordt er gebruik gemaakt van tablets?
Ja
Nee
Aantal gebruikers tablets
Van welke operating systemen word er gebruik gemaakt bij de tablets?
Opmerkingen m.b.t. tablets
Wordt er gebruik gemaakt van smartphones?
Ja
Nee
Aantal gebruikers smartphones
Van welke operating systemen word er gebruik gemaakt bij de smartphones?
Opmerkingen m.b.t. smartphones
Wordt er gebruik gemaakt van overige apparatuur
Ja
Nee
Aantal gebruikers overige apparatuur
Van welke operating systemen word er gebruik gemaakt bij overige apparatuur?
Opmerkingen m.b.t. overige apparatuur
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
Cloud en/of ASP
Het doel van deze vraag is een beeld te krijgen over de mogelijke uitbesteding van IT, bijvoorbeeld in de Cloud en/of ASP.
Maakt u gebruik van systemen/applicaties die extern worden gehost, bijvoorbeeld op basis van ASP/Cloud?
Ja
Nee
Toelichting externe systemen/applicaties
De afspraken met de provider(s) zijn schriftelijk vastgelegd, bijvoorbeeld in een SLA.
Ja
Nee
Toelichting afspraken met provider(s)
Voor deze systemen zijn waarborgen getroffen om de continue beschikbaarheid te kunnen waarborgen.
Ja
Nee
Toelichting waarborgen systemen
Bij de de keuze van de provider is rekening gehouden met de geografische locatie van de dataopslag i.v.m. privacywetgeving.
Ja
Nee
Toelichting keuze provider
Voor het datacenter, waar de systemen/applicaties zijn ondergebracht, is een SAS70/ISAE 3402 verklaring afgegeven.
Ja
Nee
Toelichting afgegeven verklaring
Met de provider zijn afspraken gemaakt over het overdragen van de data als de overeenkomst wordt beëindigd.
Ja
Nee
Toelichting afspraken bij beëindigen overeenkomst
Webshop
Het doel van deze vraag is een beeld te krijgen over enkele beheersmaatregelen indien u gebruik maakt van een webshop.
Biedt u derden, bijvoorbeeld klanten en/of leveranciers) toegang tot (delen van) uw systemen, bijvoorbeeld via een Webshop/Webportal?
Ja
Nee
Toelichting op toegang
Beantwoord onderstaande stellingen en licht de antwoorden eventueel toe.
Voor toegang tot de webshop/portal wordt gebruik gemaakt van authenticatiemiddelen.
Ja
Nee
Toelichting authenticatiemiddelen
De verbinding is beveiligd. (https/VPN)
Ja
Nee
Toelichting verbinding
De activiteiten van de gebruikers van de Webshop/Webportal worden regelmatig gecontroleerd, bijvoorbeeld op basis van logging.
Ja
Nee
Toelichting activiteiten gebruikers
Op afstand werken
Het doel van deze vraag is een beeld te krijgen over mobiel en thuiswerken.
Biedt u medewerkers mogelijkheden om vanaf andere locaties in te loggen op de bedrijfssystemen, bijvoorbeeld thuiswerken?
Ja
Nee
Toelichting
Beantwoord onderstaande vragen en licht de antwoorden eventueel toe.
Word er van uit huis- en/of mobiel- gewerkt?
Ja
Nee
Toelichting thuis/ mobiel werken
Zijn er voor thuis- en mobiel werken een beleid, richtlijnen en procedures opgesteld?
Ja
Nee
Toelichting opgesteld beleid, richtlijnen en procedures
Zijn er voldoende maatregelen getroffen zodat thuiswerken op een veilige manier kan plaatsvinden?
Ja
Nee
Toelichting getroffen maatregelen thuiswerken
Zijn de mobiele apparaten voorzien van mechanismen om ongeautoriseerde toegang te voorkomen?
Ja
Nee
Toelichting voorkomen ongeautoriseerde toegang
Word de data op mobiele devices versleuteld opgeslagen?
Ja
Nee
Toelichting data mobiele devices
Zijn er in geval van verlies of diefstal maatregelen getroffen om de schade en gevolgen (bijv. dataverlies) te beperken?
Ja
Nee
Toelichting beperken gevolgen
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
Functies binnen de automatiseringsorganisatie
Het doel van deze vraag is inzicht te krijgen in de scheiding van functies in de automatiseringsorganisatie en een aantal daarmee samenhangende maatregelen.
Functioneert de automatiseringsafdeling onafhankelijk van de andere bedrijfsfuncties?
Ja
Nee
Toelichting functionering automatiseringsafdeling
Is het technisch beheer van systemen en applicaties gescheiden van het functioneel beheer?
Ja
Nee
Toelichting technisch beheer
Is er een helpdesk voor het registreren en oplossen van incidenten?
Ja
Nee
Toelichting helpdesk
Zijn er processen ingericht voor configuratiemanagement?
Ja
Nee
Toelichting processen configuratiemanagement
Is goedkeuren van wijzigingen in systemen/applicaties gescheiden van technisch en functioneel beheer?
Ja
Nee
Toelichting goedkeuren wijzigingen systemen
Is beheer van applicaties en systemen gescheiden van ontwikkeling van software?
Ja
Nee
Toelichting beheer applicaties/systemen
Zijn de automatiseringsafdeling en gebruikers functioneel gescheiden?
Ja
Nee
Toelichting automatiseringsafdeling
Zijn financiële gegevensbestanden voor automatiseringspersoneel beveiligd tegen toegang?
Ja
Nee
Toelichting beveiliging financiële gegevensbestanden
Word de integriteit van data regelmatig gecontroleerd, bijvoorbeeld door verbandscontroles?
Ja
Nee
Toelichting integriteit data
Overzicht taken en functionarissen
Geef aan door welke functionaris (functie/groep) onderstaande taken worden uitgevoerd.
Door welke functionaris word technisch systeembeheer uitgevoerd?
Toelichting technisch systeembeheer
Door welke functionaris word technisch applicatiebeheer uitgevoerd?
Toelichting technisch applicatiebeheer
Door welke functionaris word netwerkbeheer uitgevoerd?
Toelichting netwerkbeheer
Door welke functionaris word functioneel applicatiebeheer uitgevoerd?
Toelichting functioneel applicatiebeheer
Door welke functionaris word databasemanagementbeheer uitgevoerd?
Toelichting databasemanagementbeheer
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
Wijziging proces
Beantwoord onderstaande vragen over de wijzigingsprocedures. Geef waar nuttig een toelichting om de werkwijze te verduidelijken.
Worden wijzigingen in programmatuur uitgevoerd op basis van geautoriseerde procedures?
Ja
Nee
Toelichting wijzigingen in programmatuur
Verloopt het ontwerpen, testen en goedkeuren van systemen via geautoriseerde procedures?
Ja
Nee
Toelichting geautoriseerde procedures
Zijn de procedures voor het ontwikkelen, testen, accepteren en overdragen van software gedocumenteerd?
Ja
Nee
Toelichting gedocumenteerde software
Worden testprocedures buiten de operationele omgeving uitgevoerd?
Ja
Nee
Toelichting testprocedures
Is de programmatuur (inclusief parameters) beveiligd tegen aanpassingen door gebruikers?
Ja
Nee
Toelichting programmatuur
Zijn wijzigingen in systeeminrichting, parameters, stamtabellen e.d., inzichtelijk via een 'audit trail'?
Ja
Nee
Toelichting inzichtelijkheid wijzigingen
Taken wijzigingsproces
Geef aan door welke functionaris (functie/groep) onderstaande taken m.b.t. wijzigingen worden uitgevoerd. Geef waar nuttig een toelichting om de werkwijze te verduidelijken.
Door welke functionaris word het opstellen van wijzigingsverzoeken uitgevoerd?
Toelichting opstellen van wijzigingsverzoeken
Door welke functionaris word het goedkeuren van wijzigingsverzoeken uitgevoerd?
Toelichting goedkeuren van wijzigingsverzoeken
Door welke functionaris word het ontwikkelen/aanpassen van applicaties uitgevoerd?
Toelichting ontwikkelen/aanpassen
Door welke functionaris word het testen van wijzigingen uitgevoerd?
Toelichting testen van wijzigingen
Door welke functionaris worden wijzigingen goedgekeurd?
Toelichting goedkeuren van wijzigingen
Door welke functionaris worden implementatie wijzigingen uitgevoerd?
Toelichting implementatie wijzigingen
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
Continuïteit
Beantwoord onderstaande stellingen m.b.t. continuïteit en licht de antwoorden eventueel toe.
Door het management zijn de eisen van beschikbaarheid vastgesteld.
Ja
Nee
Toelichting eisen beschikbaarheid
Een continuïteitsplan is beschikbaar.
Ja
Nee
Toelichting beschikbaarheid continuïteitsplan
Het continuïteitsplan voldoet aan de eisen van het management.
Ja
Nee
Toelichting voldoen continuïteitsplan
Het continuïteitsplan wordt periodiek getest.
Ja
Nee
Toelichting periodiek testen continuïteitsplan
Periodiek worden back-ups gemaakt.
Ja
Nee
Toelichting maken back-ups
De back-up cyclus is afgestemd op de eisen van het management.
Ja
Nee
Toelichting afgestemde back-ups
In de back-up cyclus is voorzien in de back-up van OS, applicaties en data.
Ja
Nee
Toelichting back-up cyclus
Back-ups worden op een externe locatie opgeslagen.
Ja
Nee
Toelichting back-up opslag
De geschiktheid van datadragers wordt periodiek gecontroleerd.
Ja
Nee
Toelichting datadragers
Kritische IT-middelen en personen zijn vastgesteld.
Ja
Nee
Toelichting kritische IT-middelen
De volgorde waarin systemen moeten worden hersteld, staat vast.
Ja
Nee
Toelichting herstel systemen
Herstelprocedures zijn formeel vastgesteld.
Ja
Nee
Toelichting formeel vaststellen herstelprocedures
Herstelprocedures worden regelmatig getest en geëvalueerd.
Ja
Nee
Toelichting testen herstelprocedures
Alle betrokken personen zijn geïnformeerd en getraind.
Ja
Nee
Toelichting betrokken personen
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
Beveiliging
Beantwoord onderstaande stellingen m.b.t. beveiliging en licht de antwoorden eventueel toe.
De directie heeft formele richtlijnen vastgesteld.
Ja
Nee
Toelichting formele richtlijnen
De naleving van de richtlijnen wordt periodiek getoetst.
Ja
Nee
Toelichting naleving richtlijnen
Overtredingen worden gerapporteerd aan de directie.
Ja
Nee
Toelichting overtredingen
Systemen zijn beveiligd tegen onbevoegde toegang van buitenaf.
Ja
Nee
Toelichting beveiligde systemen
De netwerken en systemen zijn beveiligd tegen virussen, malware, spyware, trojan horses, DOS-aanvallen, etc.
Ja
Nee
Toelichting beveiliging netwerken en systemen
Voor de beveiliging van hulpmiddelen, die worden gebruikt voor de beveiliging, zijn procedures opgesteld.
Ja
Nee
Toelichting beveiliging van hulpmiddelen
Op de uitwisseling van gevoelige informatie zijn procedures van toepassing.
Ja
Nee
Toelichting procedures uitwisseling
Voor de controle op systeemlogs zijn procedures aanwezig.
Ja
Nee
Toelichting systeemlogs
Bij de locatie van de serverruimte is rekening gehouden met het belang van de ruimte.
Ja
Nee
Toelichting locatie serverruimte
De fysieke toegang tot de serverruimte wordt beheerst.
Ja
Nee
Toelichting fysieke toegang serverruimte
De serverruimte is afdoende beschermd tegen fysieke dreigingen, waaronder brand en wateroverlast.
Ja
Nee
Toelichting fysieke dreigingen
De serverruimte is voorzien van noodstroomvoorzieningen.
Ja
Nee
Toelichting noodstroomvoorziening
Als u aanvullende opmerkingen heeft of zaken wilt verduidelijken op dit onderdeel dan kunt u deze onderstaand aangeven.
Autorisatie
Beantwoord onderstaande stellingen m.b.t. autorisatie en licht de antwoorden eventueel toe.
Gebruikers krijgen uitsluitend de bevoegdheden die voor de functie noodzakelijk zijn.
Ja
Nee
Toelichting bevoegdheden
Voor het aanvragen en wijzigen van autorisaties zijn formele procedures aanwezig.
Ja
Nee
Toelichting autorisaties
De toegang tot bestanden, programma's e.d. is beveiligd, bijvoorbeeld door passwords en/of toegangsmiddelen.
Ja
Nee
Toelichting beveiliging toegang
De systemen dwingen af dat passwords periodiek moeten worden gewijzigd.
Ja
Nee
Toelichting passwords
Periodiek worden autorisatie instellingen getoetst.
Ja
Nee
Toelichting autorisatie instellingen
Periodiek wordt een controle uitgevoerd op de toegangslog.
Ja
Nee
Toelichting toegangslog
Autorisatie 'super-users'
De laatste vraag gaat over welke functionarissen administrator rechten hebben en voor welke systemen/applicaties.
Welke functionarissen hebben 'super-user' rechten en voor welk systeem gelden deze?
Systeem/Applicatie
Naam/Functie Super user (Admin)
Toelichting
Aanlevering documentatie
Om de beeldvorming te completeren en uw antwoorden zo goed mogelijk te kunnen interpreteren is het van belang te beschikken over aanvullende documentatie. Om deze reden verzoeken wij u, voor zover beschikbaar, een set documenten samen te stellen die naar uw mening van belang kunnen zijn. Enkele voorbeelden van mogelijke documenten zijn:
Organisatieschema
Procesbeschrijvingen
Procedurebeschrijvingen
Overzicht IT landschap
Digitale verzending
Wij verzoeken u de verzamelde documenten in te pakken in een zogenaamd archiefbestand (zip, rar, etc) en via onderstaande link aan te leveren.
Als bestandsnaam van het archiefbestand s.v.p de naam van uw bedrijf gebruiken.
Toegestane bestandstypen: rar, zip.
Bedankt voor het invullen van de vragenlijst!
Heeft u nog opmerkingen of suggesties?
Als u nog niet alles heeft ingevuld is nu nog mogelijk antwoorden te wijzigen. De volgende stap is het verzenden van de vragenlijst, hierna is het helaas niet meer mogelijk antwoorden aan te passen.
Startpagina
Diensten
ICT vraagstukken
Uitbesteding en/of naar de cloud
Selectie en Implementatie
ICT opbrengsten
Beveiliging ICT
Continuïteit ICT
Klantgroepen
Ondernemers en bedrijven
Accountants
Risico Management
Cyber Risico management
Informatie Management
Proces management
Project Management
Assessments & Audits
AVG Privacy Impact Analyse
AVG Privacy Control Assessment
DigiD Beveiliging Assessment
ITGC Audit Essentials
ITGC Server security assessment
Over ons
IT Risk Control
Kennis en Samenwerking
Klanten
Brochures
Contact
We gebruiken cookies om er zeker van te zijn dat je onze website zo goed mogelijk beleeft. Als je deze website blijft gebruiken gaan we ervan uit dat je dat goed vindt.
Ok
Privacy policy
