Het vernieuwde IT General Controls-kader, kortweg ITGC-kader, helpt organisaties om hun IT-beheer aantoonbaar op orde te brengen. Het kader maakt zichtbaar welke beheersmaatregelen nodig zijn rondom onder meer risicomanagement, gebruikersbeheer, authenticatiebeheer, wijzigingsbeheer, incidentbeheer, continuïteit en securitymanagement.

Voor (semi)publieke organisaties is dat geen losstaand auditvraagstuk. Digitalisering, BIO2, informatiebeveiliging, privacy, toegankelijkheid, archivering en lifecyclemanagement komen steeds vaker samen in één bestuurlijke opgave. Cilde helpt organisaties om die opgave praktisch te maken: van inzicht in het digitale landschap tot inrichting, monitoring en blijvende borging.

De vernieuwde versie van het ITGC-kader sluit beter aan op de BIO2 en legt de nadruk op risicogestuurd werken. Dat betekent dat organisaties niet alleen controleren of een maatregel bestaat, maar ook waarom die maatregel nodig is, welk risico ermee wordt beheerst en of de maatregel in de praktijk werkt.

Belangrijke accenten in de nieuwste versie zijn:

Risicomanagement als startpunt
Het kader begint bij risicobeoordeling en risicobehandeling. Daarmee wordt duidelijk welke risico’s relevant zijn en welke maatregelen passend zijn.

Koppeling met ISO 27001, ISO 27002 en BIO2
Het kader bevat een selectie van maatregelen uit ISO 27001, ISO 27002 en overheidsspecifieke maatregelen uit BIO2. De ADR benadrukt daarbij dat voldoen aan het ITGC-kader niet automatisch betekent dat aan alle BIO2-eisen is voldaan.

Meer aandacht voor beheerprocessen
Naast klassieke ITGC-onderwerpen zoals gebruikersbeheer, authenticatiebeheer en wijzigingsbeheer is er ook aandacht voor securitymanagement, incidentbeheer en continuïteitsbeheer.

Beter bruikbaar voor interne controle en audit
Het kader ondersteunt interne beheersing, jaarrekeningcontrole en andere onderzoeken naar IT-beheer. Door de uniforme opzet kunnen bevindingen over systemen en applicaties beter met elkaar worden vergeleken.

Een normenkader is pas waardevol als het wordt vertaald naar eigenaarschap, processen, bewijsvoering en monitoring. Cilde helpt organisaties om het ITGC-kader niet als een eenmalige auditlijst te behandelen, maar als onderdeel van structurele sturing op het digitale landschap.

1. Inzicht in je digitale portfolio

We brengen websites, applicaties, portalen, domeinen, leveranciers, eigenaren en risico’s in kaart. Zo ontstaat één overzicht van het digitale landschap en de voorzieningen die relevant zijn voor IT-beheer, BIO2 en digitale weerbaarheid.

2. Governance en eigenaarschap

We helpen bepalen wie verantwoordelijk is voor systemen, beheerprocessen, risico’s, maatregelen en opvolging. Daarmee wordt ITGC niet alleen een technisch onderwerp, maar ook bestuurbaar.

3. Vertaling naar werkpakketten

Het ITGC-kader wordt vertaald naar concrete acties: welke maatregelen zijn relevant, welke bewijsstukken zijn nodig, welke processen moeten worden ingericht en waar zitten de grootste risico’s?

4. Monitoring met KEA

Met KEA ondersteunt Cilde organisaties bij het monitoren van hun digitale portfolio. KEA helpt onder meer bij inzicht, analyse, lifecyclemanagement en blijvende controle op onderwerpen zoals veiligheid, toegankelijkheid, privacy, archivering en CO₂-footprint.

5. Borging en continue verbetering

Cilde werkt vanuit een aanpak met nulmeting, groeimodel, werkpakketten, inrichting en periodieke her-meting. Zo wordt voldoen aan normen geen project met een einddatum, maar een herhaalbaar proces van verbeteren en borgen.