Het Adviescollege ICT-toetsing gebruikt het toetskader om te onderzoeken in hoeverre het beheer en onderhoud van informatiesystemen doeltreffend en doelmatig is ingericht. We brengen hiermee in kaart in hoeverre een organisatie ‘in control’ is en waar nog risico’s zitten. Het toetskader kan ook gebruikt worden door CIO-offices binnen het Rijk, eigenaren van informatiesystemen, ICT-afdelingen en andere belanghebbenden.
Toepassing toetskader voor beheer en onderhoud
In een onderzoek van het Adviescollege ICT-toetsing naar het beheer en onderhoud van informatiesystemen staan de volgende twee vragen centraal:
- Ondersteunt het informatiesysteem de doelen van de organisatie en de gebruikers, nu en in de toekomst?
- Zijn de kosten voor het beheer en onderhoud van het informatiesysteem redelijk?
Op basis van deze vragen zijn zeven risicogebieden geïdentificeerd. Ieder risicogebied bevat een aantal toetsaspecten. Deze zijn geformuleerd als richtinggevende principes en niet als specifieke normen. Hierdoor zijn ze toepasbaar op het brede scala van beheer- en onderhoudsvraagstukken. De wijze waarop de toetsaspecten inhoudelijk worden getoetst en gewogen, is afhankelijk van de situatie. Hierbij kan gedacht worden aan het soort informatiesysteem, het maatschappelijk belang voor burgers en bedrijven, de context van de organisatie en het ICT-domein.
Leeswijzer
Dit toetskader voor beheer en onderhoud bevat 7 risicogebieden. Ieder risicogebied begint met een korte beschrijving van de relevantie, gevolgd door een uitwerking van de toetsaspecten met een eventuele toelichting. Voor wie méér wil lezen over de toetsaspecten, staat in elk risicogebied een aantal links en documenten. Deze verwijzen naar internationale standaarden, rijksbrede beleid- en kwaliteitskaders en interessante publicaties.
Het toetskader voor beheer en onderhoud is hieronder per risicogebied uitgewerkt. Het toetskader is ook beschikbaar als pagina met alle toetsaspecten.
7 Risicogebieden
Actueel inzicht in de architectuur en de gebruikte technologie is voor de ICT-organisatie belangrijk. Dit inzicht is essentieel voor lopend beheer en onderhoud, maar ook voor planning en besluitvorming op de langere termijn.
Bekijk dit risicogebied
Beheer-, onderhoud- en voortbrengingsprocessen zijn belangrijk om de stabiliteit, betrouwbaarheid en veiligheid van informatiesystemen te waarborgen. Een goede inrichting van deze processen zorgt voor een gestructureerde aanpak van de kwaliteits- en risicobeheersing.
Bekijk dit risicogebied
Het beheer en onderhoud van informatiesystemen kent diverse risico’s. Het is belangrijk om inzicht te hebben in de relevante risico’s en om ze te beheersen.
Bekijk dit risicogebied
Bij inkoop en aanbesteding worden keuzes en (financiële) afspraken met marktpartij(en) gemaakt die impact hebben op beheer en onderhoud. Het is dan ook belangrijk om heldere contractafspraken te maken en passende stuurmiddelen in te richten.
Bekijk dit risicogebied
Het informatiesysteem moet uiteraard passen bij de te ondersteunen werkprocessen. In de beheer- en onderhoudsaanpak is expliciet aandacht voor de blijvende aansluiting tussen deze twee. Bij gebruikers kan het ook gaan om burgers die gebruik maken van dienstverlening die met het informatiesysteem wordt geleverd.
Bekijk dit risicogebied
Voor de continuïteit van een informatiesysteem – en daarmee voor het beheer en onderhoud – is de invulling van het eigenaarschap ervan belangrijk. Bovendien vraagt beheer en onderhoud om een beheersorganisatie: een organisatieonderdeel dat de activiteiten uitvoert en de eigenaar van het informatiesysteem ondersteunt.
Bekijk dit risicogebied
Voor goed beheer en onderhoud van een informatiesysteem gedurende de hele levenscyclus is passende dekking van de kosten nodig. De financiering wordt op regelmatige basis geëvalueerd en zo nodig bijgesteld. De organisatie zorgt voor een efficiënte besteding van de beschikbare middelen.
Bekijk dit risicogebied
