SIVA – Inhoud & auditelementen (1)


Twee weken geleden schreven we een blog over het eerste SIVA hulpmiddel: Structuur. Structuur helpt je bij het overzicht bewaren over het onderzoeksobject door het op te delen in lagen. Vandaag zoomen we verder in op het onderzoeksobject en neem ik je mee in het tweede hulpmiddel: Inhoud. Er is veel te zeggen over de onderwerp dus zijn het twee blogs geworden. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.

Auditelementen identificeren

Het SIVA raamwerk is bedoeld als een conceptueel raamwerk met het uiteindelijke doel om referentiekaders op te kunnen stellen. Lees er meer over in deze eerste blog uit de SIVA blogreeks. Door auditelementen specifieker te benoemen kunnen ze dienst gaan doen als concepten binnen dit raamwerk, ook wel auditprincipes genoemd.

Je gaat neutrale auditelementen identificeren en om dit te doen gebruik je een benadering aan de hand van invalshoeken. Deze (vier) invalshoeken vormen een belangrijk onderdeel van je aanpak en daar gaan we in de volgende alinea’s verder op in.

DFGS – wat?

DFGS staat voor de verschillende invalshoeken, namelijk de Doel, Functie, Gedrag en Structuur invalshoek.

De Doel-invalshoek

Het “waarom”, de te realiseren doelen, randvoorwaarden en middelen die ervoor gaan zorgen dat je de doelen kunt behalen. Hier wordt het doel van een product of van een organisatie beschreven en kom je dichter bij de bedoeling of de reden van het betstaan van je onderzoeksobject.

De Functie-invalshoek

Het ‘’wat’’, auditelementen die gerelateerd zijn aan functies op zowel organisatorisch als technisch gebied die ervoor zorgen dat de doelen bereikt kunnen worden. Denk hierbij aan acties die definiëren wat er bijvoorbeeld moet worden gedaan door een systeem.

De Gedrag-invalshoek

Het “hoe”, je geeft hier weer hoe de realisatie van acties verloopt. Denk hierbij vooral aan operationalisatie van de functies die zijn geïdentificeerd en het toewijzen van taken en verantwoordelijkheden. Hoe moeten de resultaten bereikt gaan worden?

De Structuur-invalshoek

Wederom het ‘’hoe”, maar dan gericht op de samenhang. Je geeft hier het verband tussen de diverse onderdelen weer. Denk aan o.a. de structuur van de organisatie en de architectuur van het systeem.

Groene-weide

De benadering die je doorloopt met de DFGS-methodiek wordt ook wel de ‘’groene-weide’’ aanpak genoemd. Dit komt van de analogie dat je in een nieuwe situatie terecht komt, je identificeert relevante auditelementen en hebt daarbij een scala aan mogelijkheden. De DFGS aanpak schetst de weg van een doel naar een functie en daarvandaan naar gedrag en structuur.

Auditelementen & DFGS

Er is nu dus een aantal neutrale auditelementen opgebouwd om te gebruiken binnen het SIVA-raamwerk. Deze auditelementen hebben een model met concepten opgeleverd, namelijk:

  1. Het Doel-model dat de auditelementen missie, doelstelling, visie, organisatie, strategieplan, wet en beleid, stakeholders, middelen en risicomanagement bevat;
  2. Het Functie-model dat de auditelementen omvat die te maken hebben met de organisatorische functie en technische functies evenals o.a. evenwichtsfuncties en beschermfuncties;
  3. Het Gedrag-model, dit model bevat o.a. de resources, actoren, objecten en de (niet-) functionele vereisten;
  4. Tot slot ook nog het Structuur-model dat de organisatiestructuur, de structuur van de IT-organisatie, business architectuur en de business-IT alignment bevat.

Ben je benieuwd hoe de samenhang tussen neutrale auditelementen en praktijkelementen nu in de praktijk is? Om dat te verduidelijken hebben we onderstaand schema uit het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ opgenomen in deze blog.

Neutrale auditelementenAuditelementen in de praktijk
DoelstellingVeilig netwerk
BeleidNetwerkbeleid
Functie (barrier)Zonering, filterfunctie
ActorNetwerkontwerper
ObjectNetwerk
Eigenschappen/featuresConfiguraties/configuratieparameters
Niet-functionele vereistenBeveiligingsinstellingen
ArchitectuurNetwerkarchitectuur

Door met name naar de auditelementen in de praktijk te kijken krijgt het DFGS-model contextueel een beter gezicht en wordt het praktischer van aard. Hieronder gaan we uitgebreid in op de auditelementen per invalshoek.

Auditelementen binnen het Doel-model

Binnen het Doel-model vind je de richtinggevende stuurinstrumenten die ervoor zorgen dat een organisatie haar activieiten (processen) adequaat kan beheersen.

  1. Organisatie – Een groep mensen of actoren die er als collectief aan bijdragen dat doelstellingen worden bereikt.
  2. Wetten en beleid – Deze verschaffen randvoorwaarden en beperkingen waaraan geconformeerd moet worden en hebben met name een ondersteunende rol bij het realiseren van doelen.
  3. Stragisch plan-  Een plan geeft richting en inzicht om te bekijken hoe stakeholders acteren binnen de mogelijkheden die beschikbaar zijn.
  4. Doelstellingen – De intenties van de organisatie
  5. Stakeholders – Alle actoren aan wie verantwoordelijkheden zijn gegeven om een doel te bereiken. Goed om na te gaan wie een rol spelen en welke invloed dit heeft op je auditelement.
  6. Middelen –  De kritische factoren van je organisatie
  7. Assessment – De periodieke analyses om te meten hoe het ervoor staat.

Tot zover

Tot zover voor vandaag! Ik hoop dat ik je met deze blog iets meer inzicht heb verschaft in de wereld van het audit referentiekader en de diverse invalshoeken waarmee je naar auditelementen kunt kijken. Volgende keer meer over de Inhoud (jaja, met hoofdletter 😉 Dan gaan we verder met de Functie-, Gedrag- en Structuur-invalshoek. Mét een mooi overzichtsplaatje. Beloofd.

Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in