Skip to main content

SIVA – Inhoud & auditelementen (1)


Twee weken geleden schreven we een blog over het eerste SIVA hulpmiddel: Structuur. Structuur helpt je bij het overzicht bewaren over het onderzoeksobject door het op te delen in lagen. Vandaag zoomen we verder in op het onderzoeksobject en neem ik je mee in het tweede hulpmiddel: Inhoud. Er is veel te zeggen over de onderwerp dus zijn het twee blogs geworden. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.

Auditelementen identificeren

Het SIVA raamwerk is bedoeld als een conceptueel raamwerk met het uiteindelijke doel om referentiekaders op te kunnen stellen. Lees er meer over in deze eerste blog uit de SIVA blogreeks. Door auditelementen specifieker te benoemen kunnen ze dienst gaan doen als concepten binnen dit raamwerk, ook wel auditprincipes genoemd.

Je gaat neutrale auditelementen identificeren en om dit te doen gebruik je een benadering aan de hand van invalshoeken. Deze (vier) invalshoeken vormen een belangrijk onderdeel van je aanpak en daar gaan we in de volgende alinea’s verder op in.

DFGS – wat?

DFGS staat voor de verschillende invalshoeken, namelijk de Doel, Functie, Gedrag en Structuur invalshoek.

De Doel-invalshoek

Het “waarom”, de te realiseren doelen, randvoorwaarden en middelen die ervoor gaan zorgen dat je de doelen kunt behalen. Hier wordt het doel van een product of van een organisatie beschreven en kom je dichter bij de bedoeling of de reden van het betstaan van je onderzoeksobject.

De Functie-invalshoek

Het ‘’wat’’, auditelementen die gerelateerd zijn aan functies op zowel organisatorisch als technisch gebied die ervoor zorgen dat de doelen bereikt kunnen worden. Denk hierbij aan acties die definiëren wat er bijvoorbeeld moet worden gedaan door een systeem.

De Gedrag-invalshoek

Het “hoe”, je geeft hier weer hoe de realisatie van acties verloopt. Denk hierbij vooral aan operationalisatie van de functies die zijn geïdentificeerd en het toewijzen van taken en verantwoordelijkheden. Hoe moeten de resultaten bereikt gaan worden?

De Structuur-invalshoek

Wederom het ‘’hoe”, maar dan gericht op de samenhang. Je geeft hier het verband tussen de diverse onderdelen weer. Denk aan o.a. de structuur van de organisatie en de architectuur van het systeem.

Groene-weide

De benadering die je doorloopt met de DFGS-methodiek wordt ook wel de ‘’groene-weide’’ aanpak genoemd. Dit komt van de analogie dat je in een nieuwe situatie terecht komt, je identificeert relevante auditelementen en hebt daarbij een scala aan mogelijkheden. De DFGS aanpak schetst de weg van een doel naar een functie en daarvandaan naar gedrag en structuur.

Auditelementen & DFGS

Er is nu dus een aantal neutrale auditelementen opgebouwd om te gebruiken binnen het SIVA-raamwerk. Deze auditelementen hebben een model met concepten opgeleverd, namelijk:

  1. Het Doel-model dat de auditelementen missie, doelstelling, visie, organisatie, strategieplan, wet en beleid, stakeholders, middelen en risicomanagement bevat;
  2. Het Functie-model dat de auditelementen omvat die te maken hebben met de organisatorische functie en technische functies evenals o.a. evenwichtsfuncties en beschermfuncties;
  3. Het Gedrag-model, dit model bevat o.a. de resources, actoren, objecten en de (niet-) functionele vereisten;
  4. Tot slot ook nog het Structuur-model dat de organisatiestructuur, de structuur van de IT-organisatie, business architectuur en de business-IT alignment bevat.

Ben je benieuwd hoe de samenhang tussen neutrale auditelementen en praktijkelementen nu in de praktijk is? Om dat te verduidelijken hebben we onderstaand schema uit het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ opgenomen in deze blog.

Neutrale auditelementenAuditelementen in de praktijk
DoelstellingVeilig netwerk
BeleidNetwerkbeleid
Functie (barrier)Zonering, filterfunctie
ActorNetwerkontwerper
ObjectNetwerk
Eigenschappen/featuresConfiguraties/configuratieparameters
Niet-functionele vereistenBeveiligingsinstellingen
ArchitectuurNetwerkarchitectuur

Door met name naar de auditelementen in de praktijk te kijken krijgt het DFGS-model contextueel een beter gezicht en wordt het praktischer van aard. Hieronder gaan we uitgebreid in op de auditelementen per invalshoek.

Auditelementen binnen het Doel-model

Binnen het Doel-model vind je de richtinggevende stuurinstrumenten die ervoor zorgen dat een organisatie haar activieiten (processen) adequaat kan beheersen.

  1. Organisatie – Een groep mensen of actoren die er als collectief aan bijdragen dat doelstellingen worden bereikt.
  2. Wetten en beleid – Deze verschaffen randvoorwaarden en beperkingen waaraan geconformeerd moet worden en hebben met name een ondersteunende rol bij het realiseren van doelen.
  3. Stragisch plan-  Een plan geeft richting en inzicht om te bekijken hoe stakeholders acteren binnen de mogelijkheden die beschikbaar zijn.
  4. Doelstellingen – De intenties van de organisatie
  5. Stakeholders – Alle actoren aan wie verantwoordelijkheden zijn gegeven om een doel te bereiken. Goed om na te gaan wie een rol spelen en welke invloed dit heeft op je auditelement.
  6. Middelen –  De kritische factoren van je organisatie
  7. Assessment – De periodieke analyses om te meten hoe het ervoor staat.

Tot zover

Tot zover voor vandaag! Ik hoop dat ik je met deze blog iets meer inzicht heb verschaft in de wereld van het audit referentiekader en de diverse invalshoeken waarmee je naar auditelementen kunt kijken. Volgende keer meer over de Inhoud (jaja, met hoofdletter 😉 Dan gaan we verder met de Functie-, Gedrag- en Structuur-invalshoek. Mét een mooi overzichtsplaatje. Beloofd.

Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.