Beschrijving van maatregelen,zoals een beleid, plan of procedure die is
ontworpen om een specifiek doel te bereiken. Het iseen weergave van de
werkelijkheid.Bewijs hiervan kan de documentatie van een procedure zijn,m
maar bijvoorbeeld ook een netwerkplaat.
Controleert of de procedure en maatregelen daadwerkelijk bestaan en
werken zoals beschreven. Bewijs kan een voorbeeld zijn van de toepassing
van de procedure
Evalueert of de procedure effectief werkt in het behalen van de beoogde
doelen gedurende een bepaalde periode. Bewijs bestaat uit meerdere
waarnemingen, verkregen via een steekproef, die regelmatig de effectieve
toepassing van de procedure over een langere periode aantonen.
Goede vraag, dit is klassieke audit‑ en IB‑taal waar veel collega’s (en ook bestuurders) over struikelen. Hieronder leg ik het simpel en praktisch uit, in Jip‑en‑Janneke‑taal, en vooral: wat je ermee moet doen.
Opzet, bestaan en werking (OBW) – wat betekent dat?
Bij informatiebeveiliging kijken auditors, accountants en toezichthouders altijd naar drie dingen:
- Opzet
- Bestaan
- Werking
Samen beantwoorden ze één hoofdvraag:
👉 Hebben we beveiligingsmaatregelen afgesproken, zijn ze er echt en werken ze ook in de praktijk?
1. Opzet – wat hebben we bedacht?
Opzet gaat over de afspraak op papier.
Hebben we vastgelegd wat we willen doen en hoe?
Voorbeelden
- Er is een beleid informatiebeveiliging.
- Er staat in procedures dat:
- medewerkers sterke wachtwoorden gebruiken;
- er een back‑up wordt gemaakt;
- toegang wordt ingetrokken bij uitdiensttreding.
👉 Opzet = “Zo hebben we het afgesproken.”
✅ Dit toon je aan met:
- beleid
- procedures
- werkinstructies
- richtlijnen
2. Bestaan – is het er ook echt?
Bestaan gaat over de aanwezigheid in de praktijk.
Zijn de afgesproken maatregelen ook daadwerkelijk ingericht?
Voorbeelden
- Bestaat er echt een back‑up?
- Is tweefactorauthenticatie daadwerkelijk aangezet?
- Is er een functionerende firewall?
- Bestaat er een lijst met autorisaties?
👉 Bestaan = “Het is niet alleen bedacht, het is er ook.”
✅ Dit toon je aan met:
- screenshots
- systeeminstellingen
- contracten
- configuraties
- overzichten (bijv. gebruikerslijst)
3. Werking – werkt het ook zoals bedoeld?
Werking gaat over het dagelijks gebruik.
Doen we in de praktijk wat we hebben afgesproken?
Voorbeelden
- Worden accounts echt verwijderd als iemand uit dienst gaat?
- Worden back‑ups ook gecontroleerd?
- Gebruiken medewerkers MFA, of omzeilen ze het?
- Worden incidenten gemeld en opgepakt?
👉 Werking = “Het werkt ook echt, elke dag.”
✅ Dit toon je aan met:
- logbestanden
- controles
- steekproeven
- rapportages
- incidentregistraties
Waarom is dit zo belangrijk?
Omdat:
- beleid zonder uitvoering schijnveiligheid is;
- techniek zonder gebruik niets oplevert;
- auditors en bestuur zekerheid willen.
Kort gezegd:
Opzet zonder werking = papieren werkelijkheid.
Werking zonder opzet = onbestuurbaar.
Wat moet je hier als organisatie mee?
Voor bestuur en directie
- Begrijpen waar het risico zit:
- Is iets niet goed bedacht?
- Niet ingericht?
- Of niet nageleefd?
- Gerichte keuzes maken over prioriteiten en middelen.
Voor management
- Zorgen dat afspraken ook echt worden uitgevoerd.
- Medewerkers aanspreken op naleving.
- Signaleren waar het in de praktijk wringt.
Voor jou als CISO / IB‑verantwoordelijke
- Kun je gericht uitleggen:
- “Het beleid is op orde, maar de werking blijft achter.”
- of: “We doen het wel, maar het is niet vastgelegd.”
- Helpt bij audits, ENSIA, accountants en verantwoording.
Eén zin om te onthouden (handig voor bestuur)
Opzet is wat we afspreken, bestaan is wat er is en werking is wat we elke dag doen.