DNB Good Practice Informatiebeveiliging: in vier stappen 'in control'

Een goede manier om meer ‘in control’ te komen op de betrouwbaarheid en continuïteit is het uitvoeren van audits. In dit artikel wordt ingegaan op de Good Practice Informatiebeveiliging van De Nederlandsche Bank.

De Nederlandsche Bank (hierna: DNB) houdt toezicht op financiële instellingen. Een belangrijk onderdeel van dat toezicht is in hoeverre financiële instellingen de IT-risico’s in control hebben. Belangrijke aspecten hierbij zijn de betrouwbaarheid en continuïteit van de IT-omgeving. Hierbij zijn cybersecurity en uitbesteding (leveranciersmanagement) ook relevante onderwerpen. Om dit te toetsen heeft DNB een self-assessment opgesteld. Periodiek vraagt DNB organisaties het self-assessment in te vullen. Hierbij scoort de organisatie zichzelf op een schaal van één tot vijf. Hoe hoger de score, des te volwassener is de organisatie. Er is op de onderdelen van het self-assessment minimaal een score van drie vereist en voor het onderdeel risk management zelfs een score van vier. Op basis van de beoordeling door DNB, kan DNB een onafhankelijk IT-auditrapport opvragen. In regel dient een Register EDP-auditor (RE) dit rapport op te stellen.

Good Practice

DNB heeft een Good Practice Informatiebeveiliging opgesteld om uw organisatie richting te geven over hoe informatiebeveiliging ingericht kan worden. In deze Good Practice zijn onderwerpen opgenomen ten aanzien van informatiebeveiliging (cyber), continuïteit en uitbesteding. De volledige lijst van de onderwerpen (58 controls) is te vinden in het document DNB: "Good Practice Informatiebeveiliging”.

Voor deze onderwerpen stelt uw organisatie een beheersingskader op conform de 58 controls. Dit beheersingskader is op basis van een IT-risicoanalyse. De IT-risicoanalyse is een belangrijk onderdeel binnen risk management in de Good Practice Informatiebeveiliging. In de IT-risicoanalyse worden de IT-risico’s bepaald en de organisatie neemt daarop adequate maatregelen om het risico naar een acceptabel niveau te brengen.

In de Good Practice zijn 58 normen / doelstellingen opgenomen. Deze worden door de organisatie zelf omgezet naar concrete maatregelen. Per norm / doelstelling geeft DNB aan wat de verwachtingen zijn. Het is niet de bedoeling deze verwachtingen één-op-één over te nemen, maar hier goed over na te denken zodat de risico’s uit de eerder genoemde risicoanalyse worden beheerst.

Periodiek gaat u na of de maatregelen ook daadwerkelijk werken conform de volwassenheidsniveau’s van DNB. Op basis van de risk management cyclus evalueert u periodiek - of wanneer nodig - of de gedefinieerde maatregelen nog effectief zijn. DNB kan u vragen het self-assessment te laten toetsen door een onafhankelijke auditor. 

Mazars kan u helpen

Wij snappen dat het hiervoor geschetste proces tijdrovend en complex is. Wij leggen daarom graag uit waarbij onze experts u kunnen helpen. Om te komen tot het beheersingskader en de audit die hierop volgt, hebben wij een adequate aanpak ontwikkeld die bestaat uit de volgende stappen.

1. IT-risicoanalyse

Een IT-risicoanalyse houdt in dat we de IT-risico’s in kaart brengen en overzichtelijk presenteren. De inhoud van de IT-risicoanalyse is gericht op de Good Practice van DNB, maar wanneer we additionele onderwerpen tegenkomen zullen wij deze zeker adresseren. Door middel van workshops voor de gehele organisatie zullen wij een eerste groslijst maken van de risico’s. Deze groslijst filteren we op relevante input en formuleren de input als risico’s. Deze lijst met risico’s leggen we dan voor aan de deelnemers van de workshops en we bepalen gezamenlijk het bruto risico.

2. Opzetten en implementeren van maatregelen en procedures

De bruto risico’s vormen de eerste opzet van de maatregelen. Per bruto risico bepalen we de maatregelen zodat het netto risico tot een acceptabel niveau is teruggebracht. De maatregelen worden vastgelegd en daarna worden de procedures opgesteld om de maatregelen te implementeren in de organisatie. Het resultaat is een set aan procedures en formele documenten met daarbij een IT-control framework dat gebruikt kan worden bij de interne en externe audits.

3. Nulmeting

Nadat het controleraamwerk is bepaald, kan worden gestart met het onderzoek naar het volwassenheidsniveau van de maatregelen conform het volwassenheidsmodel van DNB. Tijdens de nulmeting wordt er eerst gefocust op de opzet en het bestaan van de maatregelen. Aan de hand van deelwaarnemingen wordt beoordeeld of beheersmaatregelen zowel in formele als in materiële zin beschreven zijn in opzet en daadwerkelijk geïmplementeerd zijn in de praktijk (bestaan).

4. Formele audit van het volwassenheidsniveau van de maatregelen

Wanneer de maatregelen in voldoende mate geïmplementeerd zijn, kunnen we een audit uitvoeren waarbij we vaststellen of de vereiste volwassenheidsniveaus zijn behaald. Wanneer een vereist volwassenheidsniveau niet wordt gehaald dan dient een verbeterplan opgesteld te worden.

Wanneer wij onze auditwerkzaamheden hebben afgerond, stellen we een verklaring op conform de NOREA-richtlijn 3000A of D. U ontvangt dan een formeel en onafhankelijk auditrapport. Wij kunnen het formele audittraject alleen met u ingaan als we niet betrokken zijn geweest bij de implementatie van de maatregelen. Dit omdat we onafhankelijk moeten zijn.

Meer weten?

Graag komen we met u in contact om te bepalen wat de beste aanpak is voor uw organisatie en situatie. Wilt u meer weten? Neem dan contact op met Diman Kamp per e-mail of per telefoon: +31 (0)88 277 14 67 of met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99. Zij helpen u graag verder.