804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
804_scriptie_tjeerdsma_blokker_definitieve versie - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
3.3.3 Normen<br />
Zoals reeds eerder beschreven, zijn normen nodig om de werkelijkheid te kunnen vergelijken met een criterium<br />
waarover vooraf afspraken zijn gemaakt. Volgens Van Praat en Suerink (2004) kan er onderscheid worden<br />
gemaakt tussen uitvoeringsnormen en toetsingsnormen. Uitvoeringsnormen geven voorschriften over de wijze<br />
waarop audit uitgevoerd moeten worden. In de statuten, reglementen, richtlijnen en aanbevelingen van de<br />
NOREA zijn de belangrijkste uitvoeringsnormen vastgelegd.<br />
Toetsingsnormen zijn normen op basis waarvan het audit object wordt beoordeeld.<br />
Algemene, veel gebruikte toetsingsnormen binnen de IT zijn CobiT, ITIL, Code voor Informatiebeveiliging,<br />
Capability Maturity Model en Prince2. Normen vanuit de wetgeving zijn bijvoorbeeld de Wet Bescherming<br />
Persoonsgegevens en de Wet Computercriminaliteit.<br />
CobiT is ontwikkeld vanuit een audit oogpunt voor het beheren van de informatietechnologie in organisaties.<br />
CobiT is opgebouwd uit een viertal domeinen, binnen deze domeinen zijn diverse processen en activiteiten<br />
gedefinieerd.<br />
ITIL (Information Technology Infrastructure Library) heeft als doel het bieden van ondersteuning bij het<br />
verbeteren van de efficiency en effectiviteit van de IT dienstverlening en het beheer van de IT Infrastructuur in<br />
organisaties. ITIL bestaat uit 7 sets op strategisch, tactisch en operationeel niveau. In de praktijk zijn meestal de<br />
Service Delivery en Service Support sets binnen een IT organisatie geïmplementeerd.<br />
De Code voor Informatiebeveiliging is oorspronkelijk ontwikkeld in het Verenigd Koninkrijk waar een aantal<br />
grote organisatie in het bedrijfsleven hun dagelijkse praktijk t.a.v. informatiebeveiliging hebben vastgelegd. Deze<br />
vastlegging (Code of Practice for Information Security) is later door het ministerie van Economische Zaken en in<br />
samenwerking met een groep bedrijven en organisaties in Nederland overgenomen. Inmiddels is de Code voor<br />
Informatiebeveiliging een algemeen aanvaarde standaard als het gaat om informatiebeveiliging. De code heeft als<br />
doel het verschaffen van een gemeenschappelijke basis voor bedrijven van waaruit deze effectieve codes voor<br />
informatiebeveiliging kunnen ontwikkelen, implementeren en meten en daarnaast het bevorderen van het<br />
vertrouwen in het handelsverkeer tussen bedrijven.<br />
Het Capability Maturity Model (CMM) is een model dat gebruikt wordt om verschillende niveaus in<br />
volwassenheid van het systeemontwikkelingsproces aan te merken. CMM bestaat uit 5 niveaus en ieder niveau<br />
bevat een reeks procesdoelen die kenmerkend zijn voor de betreffende fase van het systeemontwikkelingsproces.<br />
Prince2 is een procesmethodiek en heeft als doel het bieden van een structuur met richtlijnen en hulpmiddelen<br />
voor het beheerst opstarten, uitvoeren en afronden van projecten. Prince2 bestaat uit een achttal hoofdprocessen<br />
en een achttal componenten.<br />
3.4 De IT auditor<br />
3.4.1 Beroepsorganisatie<br />
De NOREA is de beroepsorganisatie voor IT auditors. De NOREA waakt over de deskundigheid van haar leden<br />
en bindt hen tevens aan regels voor de beroepsuitoefening. De NOREA kent op dit moment 1300 leden en ruim<br />
500 aspirant leden.<br />
Toelating tot de NOREA is mogelijk wanneer een kandidaat is afgestudeerd aan een erkende (post) universitaire<br />
opleiding tot IT auditor en daarnaast over minimaal 3 jaar beroepservaring beschikt. Na inschrijving mogen de<br />
kandidaten de beschermde deskundigheidsaanduiding ‘RE’ voeren.<br />
Volgens het jaarboek 2006/2007 van de NOREA is de doelstelling van deze organisatie drieledig:<br />
1. Het bevorderen van de kwaliteit van de beroepsuitoefening door de leden. De NOREA werkt deze<br />
doelstelling als volgt uit:<br />
• Beroepsreglementering: alle RE’s dienen zich te houden aan de Gedrags- en Beroepsregels<br />
(‘Code of Ethics’) en de daaruit voortvloeiende nadere beroepsreglementering in de vorm van<br />
13