Hieronder treft u een overzicht van wetgeving, normen en checklists, die van toepassing zijn op het werkgebied van de IT-auditor.
Wetgeving
Burgerlijk Wetboek (artikel 2:393 lid 4)
In artikel 2:393 lid 4 van het Burgerlijk Wetboek is bepaald, dat de accountant in zijn verslag van het jaarlijks boekenonderzoek “ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking” moet maken. De accountant zal dus onder andere moeten kijken naar continuïteit van de software die voor de administratie wordt gebruikt. Deze verplichting helpt het bestuur bij het vervullen van haar administratieplichten.
Normen
NEN ISO 27001 Code voor Informatiebeveiliging
De Code voor Informatiebeveiliging is een internationaal gehanteerde normenset voor het procesmatig inrichten van informatiebeveiliging.
ITIL
De Information Technology Infrastructure Library, kortweg ITIL, is een verzameling ‘best practices’ die kunnen worden gehanteerd bij het inrichten van de processen van een IT-organisatie.
COBIT
De Control Objectives for Information and related Technology (COBIT) vormen een framework van best practices voor het inrichten en beoordelen van een IT-beheeromgeving.
Checklists
Second opinion broncode-escrowregeling:
- Wordt de situatie rond het auteursrecht op de broncode beoordeeld, alvorens deze wordt gedeponeerd?
De deponerende partij moet rechthebbende zijn, de regeling mag niet worden gefrustreerd door verpanding, beslag of overdracht van de broncode. - Vindt er een intensieve controle van de broncode plaats alvorens deze wordt gedeponeerd?
De broncode moet door IT-deskundige worden gecontroleerd op volledigheid, bruikbaarheid en werkzaamheid. - Worden de controlewerkzaamheden deugdelijk gerapporteerd?
Zowel de licentienemer als licentiegever moet weten wat er wordt gedeponeerd. - Wordt rekening gehouden met veranderingen in de broncode?
Technische en juridische waarborgen moeten er voor zorgen dat aanspraak wordt gemaakt op een actuele broncode. - Is het vertrouwen in de escrowdienstverlener gerechtvaardigd?
De bewaarnemende partij mag niet vatbaar zijn voor faillissement en moet werken onder beroeps- en gedragsregels en tuchtrecht. - Is de regeling bestand tegen de gevolgen van wetgeving en jurisprudentie?
Aan de licentienemer moet zijn licentie gegarandeerd kunnen worden. Verder moeten de overeenkomsten van goede kwaliteit en up to date zijn. - Wordt de broncode op basis van objectieve gronden vrijgegeven?
Er mag geen discussie ontstaan over de rechtmatigheid van een afgifte. - Hebben de licentienemers recht op nazorg en ondersteuning van de escrowdienstverlener?
De licentienemers moeten aanspraak kunnen maken op ondersteuning bij het verzorgen van de continuïteit van hun informatiesysteem.
Checklist beveiliging continuïteit Cloud-oplossingen:
- Maakt een broncode deel uit van de cloud-oplossing?
Voor continuïteit op de lange termijn (onderhoud en doorontwikkeling) is de broncode van een cloudapplicatie noodzakelijk. Die moet veilig worden gesteld door middel van een goede broncode-escrowregeling. - Wordt de toegang tot de data bedreigd door een calamiteit bij de leverancier?
Zonder de data kan onafgebroken continuïteit niet veilig worden gesteld. Er moeten voorzieningen zijn getroffen voor hosting- of co-locatiedienstverlening. - Is personeel van de leverancier noodzakelijk voor de continuïteit?
Essentiële mankrachten nodig voor het beheer van de cloud-oplossing en de helpdesk moeten kunnen worden ingeschakeld. - Is er voorzien in een calamiteitenplan?
Op het moment dat zich een calamiteit bij de cloudleverancier voordoet, moet duidelijk zijn wat er moet gebeuren en wie daarvoor verantwoordelijk is. - Wordt de continuïteitsregeling periodiek gecontroleerd?
Veranderingen in de techniek achter of de juridische situatie rond de cloud-oplossing, moeten voortduren worden bewaakt en zo nodig tot aanpassing van de regeling leiden.