Semesterhandleiding Beheer & Security

Semesterhandleiding Academie CII

Opleiding TI – Studieroute ICT-beheer

Major / Minor Beheer & Security

2010 - 2011

Samengesteld door:
ing. K.G. Haveman

Pag 1 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

Inhoud sopgave

1 ALGEMENE BESCHRIJVING 3

1.1 ORIËNTATIE OP HET S EMES TER 3

1.2 B EROEPS PRODUCTEN / KOPPELING MET BEROEP 3
1.3 CENTRALE COMPETENTIES , LEERLIJN EN OF LEERDO ELEN 3

2 ORGANISATIE 5

2.1 DOCENTRO LLEN FOUT ! BLADWIJZER NIET GEDEFINIEERD.

2.2 COMMUN ICATIEKANALEN 5

3 INLEIDING FOUT! BLADWIJZER NIET GEDEFINIEERD.

4 BIJLAGEN 11

Pag 2 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

1 Algemene Beschrijving
1.1 Orië ntatie op he t semester
Bij security gaat het om het beschermen van systemen, computers, netwerken en
informatie tegen problemen door ongewenst gedrag of risicovolle gebeurtenissen
waardoor de continuïte it of vertrouwelijkheid, authenticiteit en integriteit ervan bedreigd
of tenietgedaan wordt, om het adequaat reageren op gesignaleerde problemen en om het
voorspellen en voorkomen van toekomstige problemen. Het doel van maatregelen in het
kader van security is erop gericht continuïteit te bewerkstelligen van systemen, het
beschikbaar houden van informatie en het in standhouden van de vertrouwelijkheid,
authenticiteit en integriteit van informatie

1.2 Be roepsproducten/koppeling met beroep

De major / minor Beheer en Security is geplaatst in semester 6 of 7 van de variant ICT -
Beheer van de afdeling TI in de Academie CII.
In de voorgaande semesters is vooral aandacht besteed aan orientatie, systeem
ontwikkeling, onderhoud en beheer, projectorientatie en datacommunicatie (semester-1),
aan operating systemen, databases, programmeren en statistiek (semester -2), aan
netwerktechnologie en netwerkbeheer, webdesign, en windows server (semester -3), aan
ITIL, beheertools, beheerorganisaties en projectmanagement (semester-4).
Na de stage (semester-5) en voor het afstuderen (semester-8) zal het specialisatiethema
Beheer en Security zich vooral richten op de beveiliging van grotere systemen (vaak
netwerken) waarbij voldoende ruimte wordt ingeruimd om kennis te nemen van het
werkveld en van beveiligingstandaarden, en om ervaring op te doen met configuratie,
installatie, monitoring, etc.

1.3 Ce ntrale competenties, leerlijnen of leerdoelen

Via het project worden de algemene HBO-vaardigheden en de vaardigheden op het gebied
van software engineering verder geoefend en gerealiseerd Daarnaast willen we specifiek
op het gebied van security werken aan de volgende competenties:

- Studenten kennen de belangrijke begrippen en standaarden op het gebied van

security.
- Studenten kunnen uitleggen op welke wijzen de integriteit van een systeem
bedreigd kan worden door ongewenste activiteiten of risicovolle gebeurtenissen
en de rol van access control daarbij.
- Studenten hebben inzicht in de security van computers, besturingssystemen,
netwerken en telecommunicatie, databases en applicaties.
- Studenten hebben inzicht in de security van systemen en de rol van security in
zowel de inrichting van systemen als in het systeembeheer.
- Studenten kennen de ethische aspecten rond security en de belangrijkste
wetgeving in Nederland, Europa, en Amerika. (Tabaksblat, Basel II, Sarbanes Oxley)
- Studenten kennen de best practices van security management
- Studenten hebben inzicht in de business continuity planning en de planning van
herstel na een ramp.
- De student kan een procedure opstellen voor incident-handling en kan deze
procedure uitvoeren.

Pag 3 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

- Studenten kennen de meest voorkomende vormen van

hacking.
- Studenten zijn bekend met veel voorkomende maatregelen om de security te
optimaliseren (hardening van systemen).
- Studenten kunnen een onderzoek instellen naar de zwakke en sterke punten in de
beveiliging van een systeem (risico analyse).
- Studenten kunnen een plan opstellen waarin wordt aangegeven hoe een
organisatie haar systemen optimaal kan beschermen (beveiligingsplan).
- Studenten kennen een aantal veelgebruikte security producten, en kunnen
aangeven welke concepten en technologieen daarbij een rol spelen c.q. gebruikt
zijn.
- De student kan een systeem of verzameling van samenwerkende systemen
beveiligen door geschikte security producten te selecteren, te installeren, te
configureren en te laten samenwerken.
- De student kan logfiles van bekende security producten analyseren.
- Studenten zijn bekend met systemen voor authenticatie, authorisatie, non
repudiation en encryptie en weten hoe encryptie en hashing hier kan worden
toegepast.
- De student kan aangeven aan welke eisen de design en de architectuur van de
infrastructuur moet voldoen om bedreigingen van de security teniet te doen.

Pag 4 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

2 Organisatie

2.1 Communicatiekanalen

Informatie P la ats
Rooster http://roosters.saxion.nl
Tentamenrooster http://cii.saxion.nl/  studie  tentamens
Informatie van http://leren.saxion.nl
docenten
Inleveren werk http://leren.saxion.nl
bij de docenten
Dagelijkse http://leren.saxion.nl
mededelingen http://cii.saxion.nl
algemeen

Pag 5 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

3 Project
Het project zal worden aangestuurd volgens Prince 2 waarbij zowel de docenten als ook de
studentteams volgens een aantal rollen werken. Studententeams bestaan uit hooguit 6
personen.
De volgende docentrollen zijn geïdentificeerd, wie de rollen vervult wordt in de eerste
week duidelijk:
 Project Director Kai Haveman
 Quality Support Officer (begeleidend docent, QSO)
 Development Support Officer (begeleidend docent, DSO)
 Customer (intern of extern (docent of echte
opdrachtgever))
De Prince2 Project Board wordt gevormd door DSO en QSO.

3.1 De ca sus

Het bedrijf SECAS (SecureAssure) bestaat uit circa 20 medewerkers en is gevestigd in een
oud pand in de binnenstad van Utrecht. Het bedrijf levert allerlei soorten
verzekeringsproducten zowel aan particulieren alsook aan bedrijven. Voor een aantal
standaardproducten (reisverzekering, WAP, Overlijden, Inboedel, etc) zijn
standaardpolissen ontwikkeld die via een website kunnen worden aangevraagd en/of
afgesloten. (in het laatste geval wordt betaald via een PSP). Voor maatwerkverzekeringen
komt een consultant langs bij de klant. Een consultant kan van alle klanten zien welke
polissen zijn afgesloten en op welke polissen welke uitkeringen zijn gedaan. Consultants
hebben een flexplek binnen het bedrijf. Men is bezig een kantoor in Amsterdam te
openen.
Het pand waarin het bedrijf gevestigd is kent 2 verdiepingen plus een kelder en een
zolder. Er zijn circa 10 vaste medewerkers en 10 flexwerkers. Flexwerkers hebben een
eigen laptop die wireless of via cat-5 kabel gekoppeld kan worden aan het bedrijfnet.
Het bedrijf heeft 1 systeembeheerder en 2 programmeurs in dienst voor onderhoud en
aanpassing van de systemen. Verder is er een afdeling financiën voor de boekhouding, een
secretariaat, een receptie en een directie.
Voor de geschetste situatie willen we een goed beveiligde infrastructuur en uiteraard een
aantal standaard maatregelen zoals mail via beveiligde verbindingen, informatie op de
laptops van consultants die gecrypt wordt opgeslagen, antispam, antivirus, antispyware,
etc.

We rkwijze:

1. Maak voor SECAS een beveiligingsplan volgens ISO 27002.

2. Maak voor SECAS een infrastructuur.
3. Overleg waar nodig met je DSO om requirements vast te stellen voor incr-1 en
incr-2
4. Maak een testset waarmee je de beveiliging kunt aantonen

Pag 6 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

3.2 He t b eveiligingsplan:

Onderzoek beveiligingsplan
De beveiligingsstandaard ISO 27002 (vroeger ISO 17799) biedt een verzameling
maatregelen aan de hand van een aantal aandachtgebieden. We willen namelijk security
niet alleen voor een netwerk, een stuk software of slechts voor een werkende
koffieautomaat (ja, dat is ook security), maar ook veiligheid ten opzichte van het
personeel, tegen inbraak via netwerk of fysiek, stroomuitval enzovoort.
We willen dan ook dat je de weg weet te vinden in de ISO 27002 en doen dat middels een
evaluatie van bestaande (voorbeeld) security plannen.
Zoek een drietal passende (ter beoordeling aan de DSO) security plannen. Kies bij
voorkeur plannen uit voor jou interessante domeinen. Bij de bronnen hieronder staan al
een paar voorbeelden, vooral bij referentie 4 en 5.
Evalueer de gevonden plannen aan de hand van de ISO 27002 en zet dit uit in een
vergelijkende tabel. Onderken de overeenkomsten en verschillen en beoordeel deze op
waarde.
Besteed ook een hoofdstuk aan het vergelijk met andere standaarden. Hiervoor kan het
artikel op Security.nl een goede start zijn.
(http://www.security. nl/article/10769/1/Verdringt_de_ISO_21827_de_ISO_17799%3F.html)

Litte ratuur:

1. ISO17799, Information and resource portal :

http://17799.denialinfo.com/b iju.htm,
http://www.laser.dist.unige.it/Repository/AS2/
ISO-IEC%2017799%202005.pdf#search=%22iso%20iec%2017799 -2005.pdf%22

http://www.zbc.nu/ma in.asp?ChapterID=4518,http://www.zbc.nu/main.asp?ChapterID=1
355
2. Common Criteria Portal:
http://www.commoncriteriaporta l.org/p ublic/expert/index.php?menu=1
3. Discussie, Security NL : www.navi.nl

http://www.security. nl/article /10769/1/Verdringt_de_ISO_21827_de_ISO_17799%3F.html

4. Security policies / plans
Flinders Universiteit :

Ruskwig Security Policy :

http://www.ruskwig.com/docs/security_p olicy.pdf
5. SANS Project
Algemeen :
http://www.sans.org/resources/policies/
Policie Primer :
http://www.sans.org/resources/policies/Policy_Primer.pdf
6. Checklist ISO: http://www.eurone t.nl/users/ernstoud/praktijkgids/Checklist%20D1.pdf

Pag 7 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

Realisatie beveiligingsplan
Maak nu een beveiligingsplan van maximaal 40 blz. voor het in deze casus beschreven
bedrijf SECAS. Denk aan de bedrijfsprocessen en asset management, en zorg ervoor een
risico analyse uit te voeren. Het beveiligingsplan wordt opgesteld door de projectgroep.
Daarbij wordt de ISO 27002 standaard gevolgd, en wordt ook gelet op de processen die
moeten worden ingericht en op de TCO (total cost of ownership) van je voorstellen. Het
plan moet zijn afgestemd op de apparatuur, de gegevensstromen, en de organisatie van
SECAS (dus ge e n vertaling van de ISO-norm).
De teamleader stuurt (via d e DSO, of met toestemming van de DSO) het beveiligingsplan
naar de security-officer van een bedrijf uit de regio. Vraag de security-officer enkele
opmerkingen via e-mail vast te leggen en voeg ook dit e-mailtje en het antwoord van de
security-officer toe aan je beveiligingsplan.

Litteratuur:

- DAN REMENYI, IT INVESTMENT, MAKING A BUSINESS CASE, ISBN 0-7506-

4504-0

3.3 De infrastructuur:

De infrastructuur moet in ieder geval aan de volgende voorwaarden voldoen:

Het netwerk is via (mogelijk een perimeter router en in ieder geval) een firewall aan het
internet verbonden.
Er is minstens 1 DMZ gerealiseerd. De DMZ bevat de webserver, een honeypot en mogelijk
een IDS sensor voor intrusion detectie.
Het moet mogelijk zijn op gateway nivo een VPN verbinding met Amsterdam te realiseren.
In Utrecht zelf worden voor de verschillende afdelingen minstens twee subnetten of twee
virtuele LAN‟s gerealiseerd. Er is een set gemeenschappelijke applicaties en er zijn subnet
gebonden applicaties. De subnetten of virtuele LAN‟s worden verder bewaakt door een IDS
sensor en/of door IPS (intrusion protectie).
Voor zover wireless toegang mogelijk is moet dat de beveiliging niet verstoren. Encryptie
is dus niet voldoende, minimaal is ook authenticatie op datalink-niveau noodzakelijk.
Als een switch gebruikt wordt bedenk dan dat deze ook kwetsbaar zijn.
Voor SECAS medewerkers worden bepaalde URL‟s geblokkeerd, bijv. via WEBsense (tijdens
werktijd moet er gewerkt worden).
SECAS beheert haar eigen mailserver.
Klanten die een standaardpolis zoeken via de webserver kunnen uiteraard niet het
bedrijfsnet op.
Consultants kunnen van buiten wel een bedrijfsapplicatie starten, mits ze door de firewall
in combinatie met bijv. een TACACS-server zijn geauthorizeerd en uiteraard over een
beveiligde verbinding (VPN met Ipsec of SSL, dan wel SSH). Men wil ook onderzoeken of
een A-Select server met in de toekomst strong authentication toepasbaar is, en of interne
switches beveiligd moeten worden.
Amsterdam, dat net gestart is denkt voorlopig open source te gebruiken met name voor de
VPN verbinding met Utrecht.

Pag 8 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

Systeembeheerder en programmeurs zijn de enigen die vanuit hun

subnet kunnen inloggen op de webserver, de honeypot en de mailserver.
Voor het koppelen van laptops wordt een beveiliging bedacht.
Er zal een set van procedures voor beveiliging worden opgezet. Een daarvan is het
periodiek draaien van een vulnerability scan.

3.4 Ve rdere randvoorwaarden:

Let ook op compliance en wettelijke plichten tot beveiliging en bewaartermijnen, met name
in het kader van de wet bescherming persoonsgegevens. Ook het wetboek van strafrecht
biedt regelgeving aangaande computervredebreuk. Strafbaarstelling van dit gedrag biedt
natuurlijk de eigenaar van dit systeem ook zelf bescherming. Concreet: in hoeverre is een
bepaalde mate van beveiliging noodzakelijk.
Alle beveiligingsmaatre gelen kunnen invloed hebben op de performance, controleer dus de
invloed van deze maatregelen.
Naast beveiliging spelen ook beheersprocessen een rol. Wellicht dat in standaarden als ITIL
of FCAPS daarvoor hulpmiddelen te vinden zijn.
Voor zover over applicaties gesproken wordt wordt een prototype of een basic versie
bedoeld. We zullen ons niet focussen op de applicatie maar op een veilige infrastructuur.

3.5 T e sten:

Preventief pas je gedurende het project (tijdens ontwerp en realisatie van de

infrastructuur) uiteraard de maatregelen toe uit je kwaliteitsplan.
Daarnaast maak je een testplan en test je je eigen werk (of dat van een collega groep) door
het uitvoeren van testcases die gerelateerd zijn aan requirements. Daarin komt in ieder
geval het volgende aan de orde:
- Je toont aan dat informatie die van verschillende computers komt overzichtelijk
gepresenteerd wordt. Denk hierbij aan de informatie uit logfiles of afkomstig van
programma‟s waarmee het systeem beheerd wordt.
- Je hebt een aantal mogelijke attacks beschreven (waaronder diverse soorten
portscans (meer en minder intelligente), het eventueel inbrengen rootkits, een test
of veiligheidspatches zijn aangebracht, een man-in-the-middle atttack, een
reflection attack, DNS-spoofing, etc.) en aangegeven dat je hiermee rekening
gehouden hebt of je hebt aangetoond dat dit soort attacks voor het gemaakte
subnet niet van toepassing zijn.
Probeer daarbij ook simpele problemen zoals bijv. een DOS-attack op de
webserver
tegen te gaan.
- Mogelijk heb je zelf een “hacker-toolset” samengesteld waarmee je het systeem
test.
Maak het resultaat van IPS/IDS daarbij zichtbaar bijv. door “alarm, drop, reset”
acties.
Denk er ook aan dat veel hacks van binnenuit plaatsvinden.

Pag 9 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

- Je toont aan dat je op de hoogte bent van standaarden zoals

ISO 27002, de lijst met top-10 vulnerabilities van het SANS-instituut, etc., en je
geeft aan waarom je hiermee niet of juist wel rekening hebt gehouden.
- De werking van componenten als Vlan‟s, AAA, webfiltering, protocol inspection,
IDS, IPS, VPN, secure wireless, honeypot, etc kunnen worden aangetoond.
- Het resultaat van eventuele tools die configuratie files kunnen controleren.
- Je eigen voorstellen uit het beveiligingsplan.

Pag 10 van 13 <2010 - 2011> <ing. K.G.Haveman>

Semesterhandleiding Beheer & Security

4 Bijlagen
4.1 Bij lage 1 : P rojectmanagement

Als het project goed is voorbereid blijft er alleen

maar risicomanagement over…

4. 1.1 1 . 1 Dire cting a p roje ct: d e rol va n d e P roj ect Boa rd in P rince 2
Een project heeft een budget. Dat budget wordt door iemand betaald. Deze per soon of
instelling is de belangrijkste stakeholder van het project: de opdrachtgever. Het project
hoort regelmatig verantwoording af te leggen aan de opdrachtgever: besteden wij jouw
geld nog wel zinvol.

Prince2 heeft een aantal mechanismen ingebouwd om deze samenwerking

(onderhandeling soms) goed te laten verlopen:
 De P roject Board is de opdrachtgever van het project. Hierin zitten niet alleen de
geldschieter maar ook andere belangrijke stakeholders. De Project Board neem de
go/no go beslissingen en spreekt met één stem, het is één rol.
 Fa seovergangen: De Project Board heeft bij iedere faseovergang de kans en de plicht
om het project te heroverwegen. „Beter ten halve gekeerd dan ten hele gedwaald‟ is
hier de achterliggende gedachte. De Project Board doet dit op basis van de Business
Case: gaat dit project de verwachte voordelen opleveren? Die voordelen zijn vaak in
geld uitgedrukt, maar dat hoeft niet persé.
 Ma na gement b y Exception : De Project Board bemoeit zich niet met de dagelijkse gang
van zaken. Er worden grenzen gesteld aan het project en zolang het project binnen de
grenzen blijft is er geen reden voor ingrijpen.

Het proces van de Project Board wordt in Prince2 beschreven als het proces „Directing a
Project‟. In dit semester gaan we het spel tussen Project Board en project scherp spelen.
In de Project Board zitten de QSO (Quality Assurance), de DSO (Executive).
In Prince2 is officieel de projectleider de enige gesprekspartner voor de Project Board, in
dit geval zullen we regelmatig het hele team spreken.

4. 1.2 1 . 2 De P roj ectma nagement colle ges

Alle studenten hebben in semester 4 uitgebreid kennisgemaakt met planning en
rapporteren volgens Prince2. Deze fase is een verdieping op dat onderwerp.

Ter ondersteuning van het projectmanagement aspect worden 3 colleges gegeven

voorafgaand aan de start van het project in increment 1.
Hoorcollege 1: Een hoorcollege over de rol van de Project Board in Prince2, het lezen
van de Project Brief en de verwachtingen van dit semester met
betrekking tot projectmanagement.
Werkcollege 1: Ondersteuning bij het maken van een WBS en een planning: hoe maak je
een WBS van een onbekend traject?
Werkcollege 2: Voorbereiding op de eerste assessment: wat wil de Project Board weten
en wat zijn de onderhandelingspunten voor het project?

Pag 11 van 13 <2010 - 2011> <ing. K.G.Haveman>

 Semesterhandleiding Beheer & Security

4. 1.3 1 . 3 De P roj ectma nagement op drachten

Nr Documentatie* Opdracht
en assessments
1 Beschrijving Binnen een project moeten verschillende soorten taken uitgevoerd worden. Mensen in
samenwerking een groep hebben verschillende vaardigheden en persoonlijkhe den en iedereen kan
waardevol zijn als hij een rol heeft die bij hem past.
In de eerste 3 weken wordt de planning gemaakt en daarbij ook de taakverdeling. Zorg
dat je aan het eind van de planningsfase de volgende zaken hebt bepaald en vastgelegd:
- Wie vervult welke rol en wat zijn de verantwoordelijkheden daarbij?
- Welk gedrag is positief voor het eindresultaat?
- Hoe worden besluiten genomen?
2 PID + bijlagen Zet zelf het project op met behulp van Prince2. Je hoeft je niet te beperken tot Prince2.
Het staat je vrij iedere theorie, methode erbij te gebruiken die jou zinvol lijkt. Het
maken van een kwaliteitsplan, een PBS, WBS en Project Initiation Document (PID) is wel
verplicht.
Door middel van organisatie, methodieken, procedures en de controle daarop voorkom
je dat de volgende problemen zich voordoen:
- de wensen van de klant zijn niet goed begrepen
- een teamlid weet niet wat hij/zij moet doen en wanneer
- een teamlid kan informatie die hij/zij van andere teamleden nodig heeft niet
vinden
- afhankelijkheden tussen het werk van verschillende teamleden is niet duidelijk
- er zitten nog fouten in het product dat is afgeleverd
- het werklast is onevenredig verdeeld binnen het team
- besluiteloosheid
- er wordt niet bijgestuurd bij afwijking van het plan
- misverstanden binnen het team
- bij de schattingen en planning worden activiteiten vergeten
- de klant of de Project Board hebben andere verwachtingen van het project dan
de projectleden
- de status van het project en het werk is niet helder
- de klant of de Project Board verliest vertrouwen in het project
- teamleden verliezen vertrouwen in elkaar
- het team ziet niet dat het project aan het ontsporen is
- het werk van verschillende teamleden kan niet tot één geheel worden
samengevoegd
- het is niet duidelijk wie de klant is en welke persoon de klant vertegenwoordigt
- het is niet duidelijk wie beslist bij fase overgangen of het project door mag gaan
NB: de genoemde problemen zijn reële problemen die ook in een „echt‟ project de kop
op steken als een project niet goed wordt opgezet.

De gekozen aanpak wordt vastgelegd in de PID.

In de bijlage van de PID motiveer je de gemaakte keuzes.

3 Assessment 0: De projectgroep moet toestemming krijgen om het project te starten van de Project

Pag 12 van 13 <2010 - 2011> <ing. K.G.Haveman>

 Semesterhandleiding Beheer & Security

Authorizing a Board. In Prince2 zijn dit de processen “Authorizing a Project” (DP2) en “Authorizing a
project stage or exception plan” (DP3)

De projectgroep presenteert het project (PID, detailplanning, requirements) aan de

Project Board. Ieder groepslid presenteert het deel waar hij primair voor
verantwoordelijk is.
4 Management Je houdt gedurende het hele project de Project Board en andere stakeholders op de
Rapportage hoogte van de vorderingen van het project. Dit doe je aan de hand van rapportages.
Evt. Exception Inhoud en uiterlijk van de rapportages is aan de projectgroep in overleg met Quality
Report. Assurance.

Voor de Project Board speelt hier het proces “Giving Ad hoc direction” oftewel DP4. Dit
betekent dat de Project Board om extra informatie of zelfs een herplanning kan vragen.
5 End Stage Report Bij de fase-overgangen in het project worden de volgende zaken geregeld:
- gekozen werkwijzen en risicolijst opnieuw bekeken en indien nodig aangepast
- de resultaten van de projectfase worden gepresenteerd aan de klant
- de klant geeft schriftelijk toestemming om door te gaan naar de volgende fase
- feedback van de klant over zwakke en sterke punten wordt gedocumenteerd
- er wordt een detailplanning gemaakt voor de volgende fase.
Hierover wordt schriftelijk verantwoording afgelegd in een End Stage Report.
6 Groepsevaluatie Houd een individuele en gezamenlijke project evaluatie. Doe hiervan schriftelijk verslag
Individuele aan de procesbegeleider:
evaluatie - Beschrijf gezamenlijk wat goed ging en wat niet goed ging in het project. Geef
ook aan wat de belangrijkste redenen/oorzaken waren dat het wel of niet goed
ging.
- Beschrijf individueel wat je hebt geleerd over projectmanagement
- Beschrijf individueel wat je hebt geleerd over je eigen functioneren als teamlid
- Formuleer individuele leerdoelen voor de toekomst
7 Assessment 1 Bij iedere fase dient de Project Board weer toestemming te geven voor het vervolg van
Authorizing a het project. Dit zijn dezelfde processen als bij de start van het project de processen
project “Authorizing a Project” (DP2) en “Authorizing a stage or exception plan” (DP3)

Het project legt verantwoording af over de resultaten tot nu toe (End Stage Report) en
presenteert de plannen voor de volgende fase.
8 Assessment 2: Bij afsluiting van het project moet de Project Board toestemming geven het project op te
heffen. Dit betekent dat de Project Board bevestigt dat al het werk is gedaan.
Dit is het proces “Confirming Project Closure” (DP5).

Hiervoor wordt de laatste fase en de lessons learned gepresenteerd.

*Uit de documentatie moet blijken wie de auteur is van welk onderdeel en wat ieders
bijdrage is geweest in het werk.

4. 1.4 1 . 4 T oe tsing
De aspecten van projectmanagement worden getoetst tijdens een aantal
assessments en gedurende het project aan de hand van de geleverde rapportages.

Pag 13 van 13 <2010 - 2011> <ing. K.G.Haveman>