Ook bij CIOT blijven verbeterpunten weer liggen

Afbeelding: Fibre van camknows | Licentie: CC BY-NC-SA 2.0

Zes van de zestien aanbevelingen uit de controle van het CIOT van vorig jaar zijn nog altijd niet opgevolgd, zo blijkt uit een nieuwe controle.

De bevindingen uit het rapport Eindrapport audit CIOT 2011:

Hieronder volgen bevindingen uit de herevaluatie waarvoor wij de aandacht vragen.

1. Om redenen van beveiliging wordt de logging van aangeleverde bestanden niet automatisch beschikbaar gesteld via de FTP-dienst. Het CIOT stelt deze logging in overleg met de aanbieder op verzoek beschikbaar (bij incidenten/problemen). Deze gewijzigde werkwijze is in opzet niet zodanig beschreven.

2. Voor het wijzigingsproces is de volgende bevinding geconstateerd: De beschrijvingen van de werkwijze ten behoeve van het accepteren van wijzigingen en het informeren van het Coördinatoren Overleg zijn niet actueel en sluiten niet aan op de huidige werkwijze.

3. Voor het service level managementproces zijn de volgende bevindingen op te maken: a. De Service Level Agreement (SLA) voor de (B)OID’s en bijbehorende blauwdruk en normenkaders zijn niet geactualiseerd naar de nieuwe situatie van de gebruikte infrastructuur, technologie en procesafspraken. b. De huidige werkwijze ten aanzien van het periodiek verschaffen van inzicht in het behaalde niveau van dienstverlening aan de (B)OID’s wijkt af van de afgesproken werkwijze in de SLA.

4. Een geformaliseerde autorisatiematrix voor de CIOT omgevingsdomeinen kon niet worden getoond. Een aantoonbare periodieke (per kwartaal) controle op de uitgegeven autorisaties in de omgevingsdomeinen kon eveneens niet worden getoond.

5. De aanbeveling uit vorige onderzoeken om de back-up en recovery procedure te beschrijven en te formaliseren is niet opgevolgd.

Verderop in het rapport:

Wij hebben vastgesteld dat van de 16 aanbevelingen die in 2010 zijn gedaan het CIOT inmiddels 10 aanbevelingen heeft opgevolgd. De overige 6 aanbevelingen uit het onderzoek van 2010 behoeven op enkele punten nog opvolging.