10 vragen die je als Raad aan de directie zou moeten stellen.

Nieuws
IDProfs
  1. Hoe wordt er onafhankelijk, intern en of extern, getoetst om te bepalen in hoeverre de informatievoorziening voldoet aan:
  • relevante wet- en regelgeving?
  • het beleid van de organisatie?
  • de normen en procedures van de organisatie?
  • effectieve en efficiënte prestaties bedrijfsprocessen en de daaraan gekoppelde IT?
  1. Op welke wijze wordt gecontroleerd dat alle gebruikers (intern, extern, tijdelijk en leveranciers) die uw bedrijfsapplicaties en systemen gebruiken, uniek herkenbaar en herleidbaar? Wordt login dan wel pogingen tot login gemonitord en wordt er iets gedaan met deze gegevens. Denk ook aan incidenten/ aanvragen als inloggen niet lukt en de afhandeling hiervan?

  1. Op welke wijze controleert het management periodiek op actieve accounts en matched dit met de realiteit? En wordt een eventuele missmatch gecontroleerd, gerapporteerd en gecorrigeerd?

  1. Hoe zijn rollen en verantwoordelijkheden gescheiden om de kans te verkleinen dat individuele personen kritieke processen in gevaar kunnen brengen?

  1. Voert het personeel alleen geautoriseerde taken uit die bij hun respectievelijke functies en rol horen? Op welke manier is de controle daarop ingericht?

  1. Is de toegang tot de systemen zodanig ingericht dat het passend is bij de functie? En de controle daarop?
  • Bijvoorbeeld op basis van need-to-know/need-to-have.
  1. Op welke manier zijn processen en procedures beschikbaar voor het aanvragen, uitgeven of sluiten van een account en de bijbehorende toegangsrechten voor gebruikers?

  1. Bij functiewijzigingen, met name beëindiging van het dienstverband, wordt direct effectief actie ondernomen?
  • Zo ja, door wie en welk proces is daarvoor ingericht?
  • Is kennisoverdracht geregeld?
  • Worden verantwoordelijkheden opnieuw toegewezen en toegangsrechten verwijderd zodat risico’s worden geminimaliseerd en de continuïteit van de functie wordt gewaarborgd?

  1. Als het antwoord vanuit de verantwoordelijke medewerkers uit uw organisatie positief wordt beantwoord is dit dan op uw niveau op dagbasis inzichtelijk? En op welke manier wordt die informatie aangeleverd?

  1. Of te wel is er een dashboard waar de voor u relevante informatie op aanwezig is? Dus niet achteraf na gestelde vragen?
chevron-down