Skip to main content

SIVA – Inhoud & auditelementen (1)


Twee weken geleden schreven we een blog over het eerste SIVA hulpmiddel: Structuur. Structuur helpt je bij het overzicht bewaren over het onderzoeksobject door het op te delen in lagen. Vandaag zoomen we verder in op het onderzoeksobject en neem ik je mee in het tweede hulpmiddel: Inhoud. Er is veel te zeggen over de onderwerp dus zijn het twee blogs geworden. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.

Auditelementen identificeren

Het SIVA raamwerk is bedoeld als een conceptueel raamwerk met het uiteindelijke doel om referentiekaders op te kunnen stellen. Lees er meer over in deze eerste blog uit de SIVA blogreeks. Door auditelementen specifieker te benoemen kunnen ze dienst gaan doen als concepten binnen dit raamwerk, ook wel auditprincipes genoemd.

Je gaat neutrale auditelementen identificeren en om dit te doen gebruik je een benadering aan de hand van invalshoeken. Deze (vier) invalshoeken vormen een belangrijk onderdeel van je aanpak en daar gaan we in de volgende alinea’s verder op in.

DFGS – wat?

DFGS staat voor de verschillende invalshoeken, namelijk de Doel, Functie, Gedrag en Structuur invalshoek.

De Doel-invalshoek

Het “waarom”, de te realiseren doelen, randvoorwaarden en middelen die ervoor gaan zorgen dat je de doelen kunt behalen. Hier wordt het doel van een product of van een organisatie beschreven en kom je dichter bij de bedoeling of de reden van het betstaan van je onderzoeksobject.

De Functie-invalshoek

Het ‘’wat’’, auditelementen die gerelateerd zijn aan functies op zowel organisatorisch als technisch gebied die ervoor zorgen dat de doelen bereikt kunnen worden. Denk hierbij aan acties die definiëren wat er bijvoorbeeld moet worden gedaan door een systeem.

De Gedrag-invalshoek

Het “hoe”, je geeft hier weer hoe de realisatie van acties verloopt. Denk hierbij vooral aan operationalisatie van de functies die zijn geïdentificeerd en het toewijzen van taken en verantwoordelijkheden. Hoe moeten de resultaten bereikt gaan worden?

De Structuur-invalshoek

Wederom het ‘’hoe”, maar dan gericht op de samenhang. Je geeft hier het verband tussen de diverse onderdelen weer. Denk aan o.a. de structuur van de organisatie en de architectuur van het systeem.

Groene-weide

De benadering die je doorloopt met de DFGS-methodiek wordt ook wel de ‘’groene-weide’’ aanpak genoemd. Dit komt van de analogie dat je in een nieuwe situatie terecht komt, je identificeert relevante auditelementen en hebt daarbij een scala aan mogelijkheden. De DFGS aanpak schetst de weg van een doel naar een functie en daarvandaan naar gedrag en structuur.

Auditelementen & DFGS

Er is nu dus een aantal neutrale auditelementen opgebouwd om te gebruiken binnen het SIVA-raamwerk. Deze auditelementen hebben een model met concepten opgeleverd, namelijk:

  1. Het Doel-model dat de auditelementen missie, doelstelling, visie, organisatie, strategieplan, wet en beleid, stakeholders, middelen en risicomanagement bevat;
  2. Het Functie-model dat de auditelementen omvat die te maken hebben met de organisatorische functie en technische functies evenals o.a. evenwichtsfuncties en beschermfuncties;
  3. Het Gedrag-model, dit model bevat o.a. de resources, actoren, objecten en de (niet-) functionele vereisten;
  4. Tot slot ook nog het Structuur-model dat de organisatiestructuur, de structuur van de IT-organisatie, business architectuur en de business-IT alignment bevat.

Ben je benieuwd hoe de samenhang tussen neutrale auditelementen en praktijkelementen nu in de praktijk is? Om dat te verduidelijken hebben we onderstaand schema uit het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ opgenomen in deze blog.

Neutrale auditelementenAuditelementen in de praktijk
DoelstellingVeilig netwerk
BeleidNetwerkbeleid
Functie (barrier)Zonering, filterfunctie
ActorNetwerkontwerper
ObjectNetwerk
Eigenschappen/featuresConfiguraties/configuratieparameters
Niet-functionele vereistenBeveiligingsinstellingen
ArchitectuurNetwerkarchitectuur

Door met name naar de auditelementen in de praktijk te kijken krijgt het DFGS-model contextueel een beter gezicht en wordt het praktischer van aard. Hieronder gaan we uitgebreid in op de auditelementen per invalshoek.

Auditelementen binnen het Doel-model

Binnen het Doel-model vind je de richtinggevende stuurinstrumenten die ervoor zorgen dat een organisatie haar activieiten (processen) adequaat kan beheersen.

  1. Organisatie – Een groep mensen of actoren die er als collectief aan bijdragen dat doelstellingen worden bereikt.
  2. Wetten en beleid – Deze verschaffen randvoorwaarden en beperkingen waaraan geconformeerd moet worden en hebben met name een ondersteunende rol bij het realiseren van doelen.
  3. Stragisch plan-  Een plan geeft richting en inzicht om te bekijken hoe stakeholders acteren binnen de mogelijkheden die beschikbaar zijn.
  4. Doelstellingen – De intenties van de organisatie
  5. Stakeholders – Alle actoren aan wie verantwoordelijkheden zijn gegeven om een doel te bereiken. Goed om na te gaan wie een rol spelen en welke invloed dit heeft op je auditelement.
  6. Middelen –  De kritische factoren van je organisatie
  7. Assessment – De periodieke analyses om te meten hoe het ervoor staat.

Tot zover

Tot zover voor vandaag! Ik hoop dat ik je met deze blog iets meer inzicht heb verschaft in de wereld van het audit referentiekader en de diverse invalshoeken waarmee je naar auditelementen kunt kijken. Volgende keer meer over de Inhoud (jaja, met hoofdletter 😉 Dan gaan we verder met de Functie-, Gedrag- en Structuur-invalshoek. Mét een mooi overzichtsplaatje. Beloofd.

Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?