ITGC-kader

Hoe gebruik je het kader?

1. Begin bij het ISMS. Risicomanagement is het beginpunt van het onderzoek. In het kader is hiervoor Risicobeoordeling (RM1) en Risicobehandeling (RM2) opgenomen. Hiermee wordt aan de hand van de ISO 27001 onderzocht hoe de organisatie risico’s in kaart brengt en hoe deze vertaald zijn naar beheersmaatregelen. Dit is de binnenste cirkel van de figuur.
2. Kies de juiste maatregelen. Selecteer, specifiek voor het onderzoek, welk(e) onderwerp(en) uit de buitenste cirkel je wilt onderzoeken en bepaal daar binnen welke maatregelen relevant zijn voor het onderzoek. Deze onderwerpen zijn opgebouwd uit de beheersmaatregelen in de ISO 27002 plus de overheidsspecifieke maatregelen uit de BIO2.
3. Controleer en pas aan. Vergelijk de beheersmaatregelen uit het kader met die van de organisatie. Voeg maatregelen of testcriteria toe of pas deze aan waar nodig. Stem de gekozen maatregelen en testcriteria met de organisatie af.
4. Voer het onderzoek uit. Gebruik de testcriteria om te bepalen hoe de organisatie er voor staat. Maak bevindingen en/of conclusies bij elk onderwerp inzichtelijk, stem af en rapporteer.

Aandachtspunten

Het ITGC-kader bevat een selectie de ISO 27001, 27002 en van de overheidsspecifieke maatregelen uit de BIO2. Deze selectie is specifiek gericht op basis IT-beheer. Als aan dit kader wordt voldaan, betekent dat niet dat aan alle eisen van de BIO2 wordt voldaan.

De eerste basismaatregel van ieder onderwerp gaat over de interne beheersing, waar de auditor werkzaamheden uitvoert of de organisatie zelf bestaan/werking van de beheersingsmaatregel(en) vaststelt (Attest). De overige basismaatregelen gaan over het door de auditor vaststellen van het bestaan/ werking van de beheersmaatregel(en) (Direct).