Organisatie
Organisatie
De universiteit had in de loop der jaren al meerdere initiatieven en activiteiten uitgevoerd op het gebied van informatiebeveiliging. Ook was er een hooggekwalificeerde fulltime CISO aanwezig, die overkoepelende activiteiten uitzette en coördineerde. De uitdaging bij de universiteit was dat de verschillende faculteiten en ondersteunende afdelingen een verschil in aandacht voor informatiebeveiliging en kwaliteit van informatiebeveiliging vertoonden. Daarnaast had de CISO al meer dan genoeg werk en bleek de audit afdeling nog niet voldoende geoutilleerd te zijn voor het uitvoeren van audits; kennis en mankracht ontbrak nog, hoewel er flink geworven werd om nieuwe collega’s te trekken.
De universiteit had behoefte aan een normenkader, auditraamwerk en een audit aanpak. Dit paste perfect bij de aanpak van Audittrail: Voor doen, samen doen, zelf doen.
Op basis van de BIHO (baseline informatiebeveiliging Hoger Onderwijs) en het auditstatuut van de universiteit heeft Audittrail een handzame auditaanpak en -normenkader opgesteld. Het normenkader is gebaseerd op de BIHO, maar passend gemaakt voor de universiteit, haar faculteiten en de ondersteunende diensten. De bedoeling van het uitbesteden van deze activiteit aan Audittrail was, dat wij de basis zouden leggen, en daarna de auditafdeling zelf met het de aanpak aan de slag kon. Ook moest het dermate duidelijk en flexibel zijn, dat het eventueel kon dienen als collegiale toetsing door – bijvoorbeeld – collega’s van andere faculteiten of universiteiten.
Om te toetsen of de auditaanpak wel werkt, zijn er drie pilots uitgevoerd. Twee bij faculteiten en een bij een ondersteunende dienst. Tijdens het de pilots hebben de nieuwe auditoren van de auditfunctie direct meegelopen. Naast het toetsen van de goede werking van de auditaanpak, waren de pilots bestemd als een nulmeting en werden de uitkomsten ook daadwerkelijk gebruikt. Een dubbel resultaat dus!
“ Dankzij het intern getoetste framework kunnen wij nu zelfstandig verder. Voor doen, samen doen, zelf doen in optima forma.”
CISO| Universiteit uit Nederland