Veel ICT-organisaties zijn ingericht op basis van Information Technology Infrastructure Library (ITIL). Dat betekent dat er procesmatig wordt gewerkt. Binnen de verschillende processen kunnen problemen ontstaan zoals bijvoorbeeld incidenten die niet of in te lange doorlooptijd worden opgelost, wijzigingen die niet geautomatiseerd (kunnen) worden doorgevoerd, afspraken die zijn vastgelegd in SLA’s maar niet worden nagekomen etc.
Naast problemen of knelpunten in het proces kunnen er ook problemen ontstaan op het moment dat de verschillende processen niet goed op elkaar aansluiten. Avensus heeft ruime ervaring met ITIL (ISO 20.000) en kan voor je alle processen en de samenhang onderzoeken.
Avensus biedt experts die op korte termijn, professioneel, duidelijke en betaalbare audits kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditors (NOREA). Bij een IT-audit beoordelen wij een deel van, of zelfs de complete automatisering binnen jouw organisatie en de organisatie van je automatisering.
Onderstaand een overzicht van alle ITIL (versie 3) processen en hun samenhang.
Avensus heeft alle ITIL-processen verwerkt in overzichtelijke controlelijsten. Op basis van deze lijsten kunnen wij de aanwezige documentatie beoordelen. We kunnen hierbij vaststellen, per ITIL-proces, in hoeverre de aanwezige documentatie volledig en juist is. Daarnaast beoordelen wij tevens de koppelvlakken tussen de processen omdat hier bij ITIL vaak knelpunten ontstaan in zowel de beschrijving als in de praktijk. Op basis van de controle van de theorie met de documentatie stellen wij verbetervoorstellen op die wij zullen prioriteren in belang en impact.
Naast het beoordelen van de documentatie (opzet) kunnen wij ook een oordeel geven over de implementatie in de praktijk (bestaan) en de effectiviteit (werking). Hiervoor gebruiken wij als input de aanwezige documentatie en de literatuur. Tevens zullen we bij een aantal kernspelers per ITIL-proces een interview afnemen. Ook hierbij worden de koppelingen tussen de processen meegenomen in het onderzoek. Door middel van de interviews wordt inzicht verkregen in de volwassenheid van de organisatie en kunnen we dat zichtbaar maken middels de volwassenheidsfases van ITIL (gebaseerd op CMM). Na het uitvoeren van de audit zal een oordeel per proces worden gegeven over de opzet, bestaan en werking en zullen aanbevelingen worden gegeven die wij zullen prioriteren in belang en impact.
Planningsfase
In de planningsfase zal het normenkader worden afgestemd met de opdrachtgever. Na afstemming met de opdrachtgever zal het overeengekomen normenkader als uitgangspunt worden gehanteerd tijdens de audit. Tevens zal in de planningsfase een afstemming plaatsvinden over de exacte periode waarbinnen de uitvoering plaats gaat vinden, met welke personen afspraken dienen te worden gemaakt en welke aanvullende auditmethodieken eventueel gebruikt gaan worden (testen, parametriseringsonderzoek, interviews binnen de klantorganisatie, etc.).
Uitvoeringsfase
In de uitvoeringsfase zullen de onderdelen van het normenkader, zoals deze in de planningsfase zijn overeengekomen, worden onderzocht. Deze audit zal worden uitgevoerd door middel van interviews met medewerkers van jouw organisatie, door het beoordelen van de beschikbare documentatie en vervolgens door het uitvoeren van controles en andere – in de planningsfase overeen gekomen – methodieken. Avensus zal audits vaak met meerdere auditors uitvoeren, zodat de audit (daar waar mogelijk) parallel kan worden doorlopen. Tevens is hiermee geborgd dat de juiste kennis en kunde aanwezig.
Afrondingsfase
Tijdens de afrondingsfase worden de werkzaamheden gedocumenteerd en vindt een terugkoppeling plaats van de bevindingen in de vorm van een concept rapportage. Deze rapportage zal worden afgestemd met de opdrachtgever voordat deze definitief wordt gemaakt. Naast de bevindingen en de conclusie per ITIL-proces zullen verbetermaatregelen worden geformuleerd. Tevens zal in de afrondingsfase het normenkader worden opgeleverd zodat je in het vervolg (indien gewenst) de audit zelf kan uitvoeren.
Avensus maakt tijdens de audit gebruik maken van onderstaande scoringsmethodiek.
De rapportage bestaat uit een auditrapport dat in eerste instantie in concept met jou wordt besproken. Pas daarna zal het rapport in definitieve vorm worden aangeboden. De bevindingen zullen worden opgenomen in het rapport conform het normenkader, aangevuld met de bevindingen, conclusies (risico’s) en eventueel aanbeveling(en).
Naast het rapport zullen we eveneens een managementsamenvatting opstellen waarin op hoofdlijnen de belangrijkste vragen worden beantwoord. Avensus maakt gebruik van een spinnenweb om het management op een eenvoudige wijze inzicht te geven in de stand van zaken afgezet tegen het ambitieniveau. Hieronder tref je een voorbeeld aan.
Onze geregistreerde IT-auditors komen graag met jou in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!
De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.
Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.
De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.
Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.
Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.
De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.
