NBA-LIO en beroepsvereniging Norea voor IT-auditors hebben versie 2.0 van het Volwassenheidsmodel informatiebeveiliging gepresenteerd. Het model biedt een handreiking om te beoordelen hoe het staat met de informatiebeveiliging binnen een organisatie.
Het model moet de internal audit-afdeling, de raad van bestuur en/of directie en toezichthouders goed inzicht geven in het actuele volwassenheidsniveau en biedt een handreiking met stappen die een organisatie nog moet nemen om tot het gewenste volwassenheidsniveau te komen. De eerste versie van het model is in 2016 gepubliceerd. “Waar de wereld blijft draaien, houden de NBA-LIO en Norea gezamenlijk ook het model in beweging door het blijvend te evalueren en verder aan te scherpen.”
Self-assessment
De Auditdienst Rijk (ADR) heeft het NBA-LIO volwassenheidsmodel gebruikt voor het rijksbrede onderzoek naar de sturing en beheersing van informatiebeveiliging. De ADR heeft een selectie gemaakt van vijf onderdelen uit het volwassenheidsmodel en heeft de departementen eerst een self-assessment laten uitvoeren. “De resultaten van de self-assessment vormden een goede basis om het gesprek aan te gaan met de departementen. Zowel ADR als de departementen zijn erg positief over de hernieuwde aanpak van het rijksbrede onderzoek”, aldus Bart de Jongh (sectormanager IT-audit ADR) en Edwin Hummel (auditmanager ADR en projectleider van het rijksbrede onderzoek).
Uitdaging
Volgens hoogleraar IT auditing Rob Fijneman (KPMG) blijft het verbeteren van de volwassenheid van informatiebeveiliging een uitdaging en verbeteringen vinden niet in de volle breedte plaats. “Er is bijvoorbeeld zeker meer aandacht voor “Security by design”, maar dit is niet altijd zichtbaar in de organisatie of gerelateerde budgetten.”
Geef een reactie