💼 Management Samenvatting
Governance metrics en KPI's vormen de essentiële basis voor datagestuurd governance-beheer binnen Nederlandse overheidsorganisaties. Door expliciete metrics te definiëren en regelmatig te monitoren krijgen bestuurders, CISO's en compliance officers inzicht in de volwassenheid, effectiviteit en compliance-status van IT-governance. Dit artikel beschrijft een praktische aanpak voor het opzetten van een governance metrics-framework dat zorgt voor meetbare governance-volwassenheid, transparante besluitvorming en aantoonbare compliance met relevante normenkaders zoals de BIO, NIS2 en AVG.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
7/10
Implementatie
70u (tech: 30u)
Van toepassing op:
✓ Azure
✓ M365
✓ On-premises
✓ Hybride omgevingen
✓ M365
✓ On-premises
✓ Hybride omgevingen
Zonder expliciete governance metrics en KPI's blijven organisaties blind voor de werkelijke volwassenheid en effectiviteit van hun IT-governance. Bestuurders kunnen moeilijk aantonen of governance-initiatieven succesvol zijn, of investeringen daadwerkelijk bijdragen aan verbeterde beveiliging en compliance, en of governance-structuren effectief functioneren. Dit leidt tot besluitvorming op basis van aannames in plaats van feiten, moeilijkheden bij het prioriteren van governance-initiatieven, en problemen bij het aantonen van due diligence richting auditors, toezichthouders en bestuurders. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-vereisten zoals de BIO, NIS2 en AVG, is het cruciaal om expliciete metrics te definiëren die aantonen dat governance effectief functioneert en dat organisaties daadwerkelijk compliant zijn met relevante wet- en regelgeving. Governance metrics maken het mogelijk om trends te identificeren, problemen vroegtijdig te signaleren, en gerichte verbeteringen door te voeren op basis van meetbare gegevens.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal, Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph, Az.Accounts, Az.Resources, Az.Monitor
Connection:
Connect-MgGraph, Connect-AzAccountRequired Modules: Microsoft.Graph, Az.Accounts, Az.Resources, Az.Monitor
Implementatie
Dit artikel beschrijft een praktische aanpak voor het opzetten van een governance metrics-framework binnen de context van de Nederlandse Baseline voor Veilige Cloud. We behandelen hoe organisaties relevante governance metrics kunnen identificeren en definiëren, hoe metrics kunnen worden gemeten en gemonitord, hoe dashboarding en rapportage kan worden ingericht, en hoe metrics kunnen worden gebruikt voor besluitvorming en continue verbetering. Het artikel beschrijft concrete metrics voor verschillende governance-domeinen zoals compliance-status, governance-volwassenheid, risicomanagement, policy enforcement en incidentrespons. Daarnaast biedt het artikel handvatten voor het integreren van governance metrics in bestaande monitoring- en rapportagestructuren en het waarborgen dat metrics daadwerkelijk worden gebruikt om governance te verbeteren en te versterken.
Fundamenten van Governance Metrics
Governance metrics zijn kwantificeerbare indicatoren die inzicht geven in de volwassenheid, effectiviteit en compliance-status van IT-governance. In tegenstelling tot kwalitatieve evaluaties die gebaseerd zijn op indrukken of aannames, bieden metrics objectieve, meetbare gegevens die kunnen worden gebruikt voor besluitvorming, prioritering en continue verbetering. Een volwassen governance metrics-framework omvat metrics voor verschillende governance-domeinen – van compliance-status tot governance-volwassenheid, van risicomanagement tot policy enforcement – en maakt het mogelijk om trends te identificeren, problemen vroegtijdig te signaleren, en gerichte verbeteringen door te voeren op basis van feitelijke gegevens.
De primaire rol van governance metrics is het waarborgen dat bestuurders, CISO's en compliance officers inzicht hebben in de werkelijke volwassenheid en effectiviteit van IT-governance, zodat besluitvorming kan plaatsvinden op basis van feiten in plaats van aannames. Metrics maken het mogelijk om trends over tijd te identificeren, om te zien of governance-initiatieven daadwerkelijk bijdragen aan verbeterde beveiliging en compliance, en om gerichte verbeteringen door te voeren waar dat het meest nodig is. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-vereisten zoals de BIO, NIS2 en AVG, is het cruciaal om expliciete metrics te definiëren die aantonen dat governance effectief functioneert en dat organisaties daadwerkelijk compliant zijn met relevante wet- en regelgeving. Dit maakt het mogelijk om proactief te reageren op problemen voordat zij escaleren, en om aan auditors en toezichthouders te kunnen aantonen dat governance adequaat functioneert.
De scope van governance metrics binnen de Nederlandse Baseline voor Veilige Cloud omvat alle aspecten van IT-governance: van strategische governance-principes en beleidsontwikkeling tot compliance-monitoring en risicomanagement. Het metrics-framework moet schaalbaar zijn van kleine organisaties tot grote enterprise-omgevingen die duizenden gebruikers en honderden applicaties ondersteunen, en moet flexibel genoeg zijn om te kunnen inspelen op organisatie-specifieke behoeften en prioriteiten. Daarnaast moet het framework consistent genoeg zijn om vergelijkingen over tijd te maken en om te kunnen benchmarken met andere organisaties of industry-standaarden. Het gekoppelde PowerShell-script ondersteunt dit proces door automatisch governance metrics te verzamelen, te analyseren en te rapporteren, waardoor bestuurders en compliance officers altijd toegang hebben tot actuele en accurate governance-gegevens.
Een fundamenteel concept binnen governance metrics is de relatie tussen leading en lagging indicators. Leading indicators zijn metrics die vroegtijdig signaleren of governance-initiatieven succesvol zijn, zoals het aantal governance-policies dat is geïmplementeerd of het percentage medewerkers dat governance-training heeft gevolgd. Lagging indicators zijn metrics die achteraf aantonen of governance effectief is geweest, zoals het aantal compliance-incidenten of het percentage succesvol afgeronde audits. Een volwassen metrics-framework omvat zowel leading als lagging indicators, zodat organisaties zowel kunnen monitoren of governance-initiatieven goed verlopen als kunnen beoordelen of deze initiatieven daadwerkelijk bijdragen aan verbeterde governance-volwassenheid en compliance-status. Door beide typen metrics te combineren ontstaat een compleet beeld van governance-effectiviteit en kunnen gerichte verbeteringen worden doorgevoerd.
Ontwerp van een Governance Metrics-Framework
Het ontwerpen van een governance metrics-framework begint bij het identificeren van welke governance-aspecten het meest kritiek zijn voor de organisatie en welke metrics het beste inzicht geven in deze aspecten. Voor Nederlandse overheidsorganisaties zijn typische kritieke governance-aspecten compliance-status met relevante normenkaders zoals de BIO, NIS2 en AVG, governance-volwassenheid en effectiviteit van governance-structuren, risicomanagement en beheersing van cybersecurity-risico's, policy enforcement en naleving van governance-beleid, en incidentrespons en herstel na beveiligingsincidenten. Voor elk kritiek aspect moeten organisaties expliciete metrics definiëren die meetbaar, relevant en actiegericht zijn, en die kunnen worden gebruikt voor besluitvorming en continue verbetering.
Compliance metrics meten in welke mate organisaties voldoen aan relevante compliance-vereisten zoals de BIO, NIS2 en AVG. Typische compliance metrics omvatten het percentage geïmplementeerde BIO-controls, het aantal openstaande compliance-findings, de tijd die nodig is om compliance-findings te remediëren, en het percentage succesvol afgeronde audits. Compliance metrics helpen organisaties om te monitoren of zij daadwerkelijk compliant zijn met relevante wet- en regelgeving, om trends over tijd te identificeren, en om gerichte verbeteringen door te voeren waar compliance-hiaten worden geconstateerd. Het is belangrijk om compliance metrics expliciet te koppelen aan relevante compliance-kaders en regelmatig te monitoren of metrics binnen acceptabele grenzen blijven.
Governance-volwassenheid metrics meten de volwassenheid en effectiviteit van governance-structuren en -processen. Typische governance-volwassenheid metrics omvatten het aantal geïmplementeerde governance-policies, het percentage governance-processen dat is gedocumenteerd, de tijd die nodig is om governance-beslissingen te nemen, en het percentage stakeholders dat tevreden is met governance-processen. Governance-volwassenheid metrics helpen organisaties om te monitoren of governance-structuren effectief functioneren, om trends over tijd te identificeren, en om gerichte verbeteringen door te voeren waar governance-volwassenheid achterblijft. Het is belangrijk om governance-volwassenheid metrics te koppelen aan expliciete volwassenheidsmodellen, zoals CMMI of een eigen volwassenheidsmodel, zodat metrics kunnen worden geïnterpreteerd in de context van organisatorische volwassenheid.
Risicomanagement metrics meten in welke mate organisaties cybersecurity-risico's beheersen en in hoeverre risicomanagementprocessen effectief functioneren. Typische risicomanagement metrics omvatten het aantal geïdentificeerde risico's, het percentage risico's dat is gemitigeerd, de tijd die nodig is om risico's te remediëren, en het percentage risico-assessments dat is uitgevoerd. Risicomanagement metrics helpen organisaties om te monitoren of risicomanagementprocessen effectief functioneren, om trends over tijd te identificeren, en om gerichte verbeteringen door te voeren waar risicobeheersing tekortschiet. Het is belangrijk om risicomanagement metrics expliciet te koppelen aan risicomanagementframeworks zoals ISO 27005 of de NIST Risk Management Framework, zodat metrics kunnen worden geïnterpreteerd in de context van best practices en industry-standaarden.
Gebruik PowerShell-script index.ps1 (functie Invoke-MetricsCollection) – Verzamelt automatisch governance metrics voor verschillende governance-domeinen en genereert een overzicht van metrics die gebruikt kunnen worden voor besluitvorming en continue verbetering..
Implementatie van Metrics-Measurement
De implementatie van metrics-measurement vereist een gestructureerde aanpak waarbij organisaties systematisch metrics identificeren, meetmethoden definiëren, data verzamelen, en metrics analyseren en rapporteren. Het implementatieproces begint bij het identificeren van welke metrics het meest relevant zijn voor de organisatie en welke meetmethoden het beste kunnen worden gebruikt om deze metrics te verzamelen. Vervolgens moeten meetprocessen worden ingericht, dataverzameling worden geautomatiseerd waar mogelijk, en dashboarding en rapportage worden opgezet zodat bestuurders en compliance officers altijd toegang hebben tot actuele en accurate governance-gegevens.
Het identificeren van relevante metrics begint bij het analyseren van welke governance-aspecten het meest kritiek zijn voor de organisatie en welke metrics het beste inzicht geven in deze aspecten. Organisaties moeten expliciet definiëren wat zij willen meten, waarom zij dit willen meten, en hoe metrics zullen worden gebruikt voor besluitvorming en continue verbetering. Het is belangrijk om te voorkomen dat organisaties te veel metrics definiëren die niet worden gebruikt, of te weinig metrics die geen compleet beeld geven van governance-effectiviteit. Een goede vuistregel is om te beginnen met een beperkt aantal kritieke metrics die direct bijdragen aan besluitvorming, en vervolgens geleidelijk uit te breiden naarmate het metrics-framework volwassener wordt.
Het definiëren van meetmethoden beschrijft hoe metrics zullen worden verzameld, welke tools en systemen zullen worden gebruikt, en hoe data zal worden geaggregeerd en geanalyseerd. Meetmethoden moeten praktisch en uitvoerbaar zijn, en moeten zorgen voor consistente en accurate dataverzameling. Waar mogelijk moeten meetprocessen worden geautomatiseerd om te waarborgen dat metrics regelmatig worden verzameld en dat data accuraat blijft. Het gekoppelde PowerShell-script ondersteunt dit door automatisch governance metrics te verzamelen uit verschillende bronnen, zoals Microsoft Graph API, Azure Monitor, en lokale configuratiebestanden, en door metrics te analyseren en te rapporteren in een gestructureerd formaat dat kan worden gebruikt voor dashboarding en besluitvorming.
Dashboarding en rapportage maken metrics toegankelijk voor bestuurders, CISO's en compliance officers, zodat zij altijd toegang hebben tot actuele en accurate governance-gegevens. Dashboards moeten visueel en intuïtief zijn, zodat metrics gemakkelijk kunnen worden geïnterpreteerd, en moeten trends over tijd tonen zodat organisaties kunnen zien of governance-effectiviteit verbetert of verslechtert. Rapportages moeten regelmatig worden gegenereerd – bijvoorbeeld maandelijks of kwartaal- – en moeten zowel kwantitatieve metrics als kwalitatieve analyses bevatten die helpen om metrics te interpreteren en om gerichte verbeteringen te identificeren. Het is belangrijk om dashboards en rapportages te koppelen aan expliciete governance-doelstellingen en -prioriteiten, zodat duidelijk is waarom bepaalde metrics worden gemeten en hoe metrics bijdragen aan governance-doelstellingen.
Monitoring en Evaluatie van Governance Metrics
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Monitort governance metrics over tijd, identificeert trends en afwijkingen, en genereert rapportages die gebruikt kunnen worden voor besluitvorming en continue verbetering..
Effectieve monitoring van governance metrics omvat zowel het regelmatig verzamelen van metrics als het analyseren van trends en afwijkingen over tijd. Monitoring moet plaatsvinden op regelmatige basis – bijvoorbeeld wekelijks, maandelijks of kwartaal- – en moet duidelijk maken of metrics binnen acceptabele grenzen blijven, of trends positief of negatief zijn, en welke acties nodig zijn om metrics te verbeteren. Het index-script bij dit artikel automatiseert het verzamelen en analyseren van governance metrics, genereert regelmatig rapportages, en signaleert wanneer metrics buiten acceptabele grenzen vallen of wanneer negatieve trends worden geconstateerd. Dit maakt het mogelijk voor bestuurders en compliance officers om altijd toegang te hebben tot actuele en accurate governance-gegevens en om proactief te reageren op problemen voordat zij escaleren.
Trendanalyse helpt organisaties om te begrijpen of governance-effectiviteit verbetert of verslechtert over tijd, en om patronen te identificeren die kunnen wijzen op structurele problemen of verbeterkansen. Door metrics over langere perioden te monitoren kunnen organisaties zien of governance-initiatieven daadwerkelijk bijdragen aan verbeterde governance-volwassenheid en compliance-status, of investeringen effectief zijn, en of gerichte verbeteringen het gewenste resultaat hebben gehad. Trendanalyse moet expliciet worden gedocumenteerd en gecommuniceerd naar stakeholders, zodat duidelijk is wat er is bereikt en welke verbeteringen nodig zijn. Het gekoppelde PowerShell-script ondersteunt trendanalyse door metrics historisch op te slaan en trends te visualiseren in rapportages, waardoor organisaties gemakkelijk kunnen zien of governance-effectiviteit verbetert of verslechtert.
Evaluatie van governance metrics moet regelmatig plaatsvinden om te analyseren of metrics nog relevant zijn, of meetmethoden effectief zijn, en of metrics daadwerkelijk bijdragen aan besluitvorming en continue verbetering. Evaluaties moeten expliciet beschrijven wat er is bereikt met metrics, wat niet goed heeft gewerkt en waarom, en welke verbeteringen worden voorgesteld voor het komende jaar. Op basis van evaluaties kan worden besloten om bepaalde metrics aan te passen, nieuwe metrics toe te voegen, of metrics te verwijderen die niet bijdragen aan besluitvorming. Door evaluatie expliciet te maken en te documenteren wordt geborgd dat het metrics-framework continu wordt verbeterd op basis van ervaringen en feedback, en dat metrics daadwerkelijk bijdragen aan effectief governance-beheer.
Remediatie en Continue Verbetering
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Ondersteunt remediatie door te identificeren welke governance metrics buiten acceptabele grenzen vallen, welke trends negatief zijn, en welke gerichte verbeteringen nodig zijn om metrics te verbeteren..
Remediatie binnen het kader van governance metrics betekent in de praktijk dat organisaties gerichte verbeteringen doorvoeren wanneer metrics buiten acceptabele grenzen vallen of wanneer negatieve trends worden geconstateerd. In veel organisaties worden wel metrics verzameld, maar worden deze niet gebruikt voor besluitvorming en continue verbetering, waardoor metrics weinig bijdragen aan effectief governance-beheer. Het index-script ondersteunt remediatie door automatisch te signaleren wanneer metrics buiten acceptabele grenzen vallen, wanneer negatieve trends worden geconstateerd, en welke gerichte verbeteringen nodig zijn om metrics te verbeteren. Op basis van deze signalering kunnen organisaties gerichte verbeteracties plannen en uitvoeren, waarbij prioriteit wordt gegeven aan de meest kritieke metrics die de grootste impact hebben op governance-volwassenheid en compliance-status.
Een volwassen governance metrics-framework groeit stap voor stap door continue verbetering op basis van ervaringen en feedback. Na elke monitoringcyclus worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere governance-beheer. Denk aan het verbeteren van meetmethoden, het toevoegen van nieuwe metrics die meer inzicht geven, het verbeteren van dashboarding en rapportage, of het beter koppelen van metrics aan governance-doelstellingen. Door de resultaten van het index-script te combineren met feedback van stakeholders ontstaat een integraal beeld van metrics-effectiviteit en kunnen gerichte verbeteracties worden uitgevoerd. Uiteindelijk wordt governance metrics niet alleen een administratief proces, maar een strategisch instrument voor datagestuurd governance-beheer dat zorgt voor meetbare, effectieve en compliance-gerichte governance die blijft voldoen aan veranderende eisen en dreigingen.
Compliance & Frameworks
- BIO: 5.01, 9.01, 11.01, 12.01 - Governance framework, beleidsontwikkeling, risicomanagement en compliance-monitoring binnen informatiebeveiligingsmanagement voor overheidsorganisaties, inclusief meting en evaluatie van governance-volwassenheid en -effectiviteit.
- ISO 27001:2022: A.5.1, A.6.1, A.12.6, A.18.1 - Beleid voor informatiebeveiliging, organisatorische rollen en verantwoordelijkheden, monitoring en evaluatie van informatiebeveiligingseffectiviteit, en continue verbetering van het informatiebeveiligingsmanagementsysteem.
- NIS2: Artikel - Versterking van digitale weerbaarheid door gecontroleerde inzet van governance-maatregelen, inclusief monitoring en evaluatie van governance-effectiviteit en periodieke bijstelling van governance-structuren en risicomanagementprocessen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Monitoring en remediatie voor governance metrics en KPI's
.DESCRIPTION
Verzamelt, monitort en analyseert governance metrics voor verschillende governance-domeinen
zoals compliance-status, governance-volwassenheid, risicomanagement en policy enforcement.
Het script genereert rapportages die gebruikt kunnen worden voor besluitvorming en continue
verbetering van IT-governance.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-28
Last Modified: 2025-01-28
Version: 1.0
Related JSON: content/governance/metrics/index.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Toont een overzicht van governance metrics voor verschillende governance-domeinen en analyseert trends.
.EXAMPLE
.\index.ps1 -Remediation
Identificeert welke governance metrics buiten acceptabele grenzen vallen en welke gerichte verbeteringen nodig zijn.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer monitoring uit van governance metrics en analyseer trends.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Identificeer metrics die buiten acceptabele grenzen vallen en prioriteer verbeteracties.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Verzamel governance metrics voor verschillende domeinen.")]
[switch]$MetricsCollection,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
.OUTPUTS
String met pad naar repository-root.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-GovernanceMetrics {
<#
.SYNOPSIS
Verzamelt governance metrics voor verschillende governance-domeinen.
.OUTPUTS
PSCustomObject met governance metrics per domein.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$governancePaths = @(
Join-Path $repoRoot "content\general\governance",
Join-Path $repoRoot "content\governance",
Join-Path $repoRoot "content\azure\governance",
Join-Path $repoRoot "content\m365\governance",
Join-Path $repoRoot "content\design\platform"
)
$metrics = @{
TotalComponents = 0
ComplianceRelevant = 0
PoliciesImplemented = 0
ComponentsUpdatedLastYear = 0
ComponentsNeedingUpdate = 0
HighPriorityComponents = 0
ComplianceControlsImplemented = 0
AverageUpdateAge = 0
FrameworkCoverage = @{
BIO = 0
ISO27001 = 0
NIS2 = 0
}
}
$cutoffDate = (Get-Date).AddYears(-1)
$updateAges = @()
foreach ($path in $governancePaths) {
if (-not (Test-Path -Path $path)) {
continue
}
$jsonFiles = Get-ChildItem -Path $path -Filter "*.json" -Recurse -File -ErrorAction SilentlyContinue
foreach ($file in $jsonFiles) {
try {
$jsonContent = Get-Content -Path $file.FullName -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json -ErrorAction SilentlyContinue
if ($null -eq $jsonContent) {
continue
}
$metrics.TotalComponents++
$lastUpdated = $file.LastWriteTime
$jsonLastUpdated = $null
if ($jsonContent.metadata.lastUpdated) {
try {
$jsonLastUpdated = [DateTime]::Parse($jsonContent.metadata.lastUpdated)
}
catch {
Write-Verbose "Kon lastUpdated niet parsen voor $($file.Name): $($jsonContent.metadata.lastUpdated)"
}
}
$effectiveDate = if ($jsonLastUpdated) { $jsonLastUpdated } else { $lastUpdated }
$age = ((Get-Date) - $effectiveDate).TotalDays
$updateAges += $age
if ($effectiveDate -ge $cutoffDate) {
$metrics.ComponentsUpdatedLastYear++
}
else {
$metrics.ComponentsNeedingUpdate++
}
$isComplianceRelevant = ($null -ne $jsonContent.frameworks) -and (
($null -ne $jsonContent.frameworks.bio) -or
($null -ne $jsonContent.frameworks.nis2) -or
($null -ne $jsonContent.frameworks.iso27001)
)
if ($isComplianceRelevant) {
$metrics.ComplianceRelevant++
if ($null -ne $jsonContent.frameworks.bio -and $null -ne $jsonContent.frameworks.bio.controls) {
$metrics.ComplianceControlsImplemented += $jsonContent.frameworks.bio.controls.Count
$metrics.FrameworkCoverage.BIO++
}
if ($null -ne $jsonContent.frameworks.iso27001 -and $null -ne $jsonContent.frameworks.iso27001.controls) {
$metrics.ComplianceControlsImplemented += $jsonContent.frameworks.iso27001.controls.Count
$metrics.FrameworkCoverage.ISO27001++
}
if ($null -ne $jsonContent.frameworks.nis2) {
$metrics.FrameworkCoverage.NIS2++
}
}
if ($jsonContent.metadata.priority -eq "Must-Have" -or $jsonContent.metadata.priority -eq "Critical") {
$metrics.HighPriorityComponents++
}
if ($null -ne $jsonContent.metadata.category -and $jsonContent.metadata.category -eq "governance") {
$metrics.PoliciesImplemented++
}
}
catch {
Write-Verbose "Fout bij verwerken van $($file.FullName): $_"
}
}
}
if ($updateAges.Count -gt 0) {
$metrics.AverageUpdateAge = [Math]::Round(($updateAges | Measure-Object -Average).Average, 1)
}
return [PSCustomObject]$metrics
}
function Invoke-MetricsCollection {
<#
.SYNOPSIS
Verzamelt governance metrics en genereert een overzicht.
.OUTPUTS
PSCustomObject met verzamelde metrics.
#>
[CmdletBinding()]
param()
Write-Host "`nVerzamelen: Governance Metrics" -ForegroundColor Yellow
Write-Host "===============================" -ForegroundColor Yellow
$metrics = Get-GovernanceMetrics
$repoRoot = Get-RepositoryRoot
Write-Host "`nRepository-root: $repoRoot" -ForegroundColor Cyan
Write-Host "Analyseperiode: Huidige status" -ForegroundColor Cyan
Write-Host "`nAlgemene Metrics:" -ForegroundColor Cyan
Write-Host " Totaal governance-componenten: $($metrics.TotalComponents)" -ForegroundColor White
Write-Host " Compliance-relevante componenten: $($metrics.ComplianceRelevant)" -ForegroundColor White
Write-Host " Geïmplementeerde policies: $($metrics.PoliciesImplemented)" -ForegroundColor White
Write-Host " Hoge prioriteit componenten: $($metrics.HighPriorityComponents)" -ForegroundColor White
Write-Host "`nActualiteit Metrics:" -ForegroundColor Cyan
Write-Host " Bijgewerkt in afgelopen jaar: $($metrics.ComponentsUpdatedLastYear)" -ForegroundColor White
Write-Host " Vereisen actualisatie: $($metrics.ComponentsNeedingUpdate)" -ForegroundColor White
Write-Host " Gemiddelde leeftijd (dagen): $($metrics.AverageUpdateAge)" -ForegroundColor White
Write-Host "`nCompliance Metrics:" -ForegroundColor Cyan
Write-Host " Totaal compliance-controls: $($metrics.ComplianceControlsImplemented)" -ForegroundColor White
Write-Host " BIO coverage: $($metrics.FrameworkCoverage.BIO) componenten" -ForegroundColor White
Write-Host " ISO 27001 coverage: $($metrics.FrameworkCoverage.ISO27001) componenten" -ForegroundColor White
Write-Host " NIS2 coverage: $($metrics.FrameworkCoverage.NIS2) componenten" -ForegroundColor White
$updatePercentage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComponentsUpdatedLastYear / $metrics.TotalComponents) * 100, 1)
} else {
0
}
Write-Host "`nVolwassenheid Metrics:" -ForegroundColor Cyan
Write-Host " Actualisatiepercentage: $updatePercentage%" -ForegroundColor $(if ($updatePercentage -ge 80) { "Green" } elseif ($updatePercentage -ge 60) { "Yellow" } else { "Red" })
$compliancePercentage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComplianceRelevant / $metrics.TotalComponents) * 100, 1)
} else {
0
}
Write-Host " Compliance-coverage: $compliancePercentage%" -ForegroundColor $(if ($compliancePercentage -ge 70) { "Green" } elseif ($compliancePercentage -ge 50) { "Yellow" } else { "Red" })
return $metrics
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort governance metrics over tijd en identificeert trends.
.OUTPUTS
PSCustomObject met monitoringsresultaten.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Governance Metrics" -ForegroundColor Yellow
Write-Host "===============================" -ForegroundColor Yellow
$metrics = Get-GovernanceMetrics
$repoRoot = Get-RepositoryRoot
Write-Host "`nRepository-root: $repoRoot" -ForegroundColor Cyan
Write-Host "Analyseperiode: Huidige status en trends" -ForegroundColor Cyan
$updatePercentage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComponentsUpdatedLastYear / $metrics.TotalComponents) * 100, 1)
} else {
0
}
$stalePercentage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComponentsNeedingUpdate / $metrics.TotalComponents) * 100, 1)
} else {
0
}
Write-Host "`nTrend Analyse:" -ForegroundColor Cyan
if ($updatePercentage -ge 80) {
Write-Host " ✅ Actualisatiegraad: EXCELLENT ($updatePercentage%)" -ForegroundColor Green
}
elseif ($updatePercentage -ge 60) {
Write-Host " ⚠️ Actualisatiegraad: GOED ($updatePercentage%) - ruimte voor verbetering" -ForegroundColor Yellow
}
else {
Write-Host " ❌ Actualisatiegraad: ONVOLDOENDE ($updatePercentage%) - actie vereist" -ForegroundColor Red
}
if ($stalePercentage -le 20) {
Write-Host " ✅ Verouderde componenten: ACCEPTABEL ($stalePercentage%)" -ForegroundColor Green
}
elseif ($stalePercentage -le 40) {
Write-Host " ⚠️ Verouderde componenten: AANDACHT NODIG ($stalePercentage%)" -ForegroundColor Yellow
}
else {
Write-Host " ❌ Verouderde componenten: KRITIEK ($stalePercentage%) - actie vereist" -ForegroundColor Red
}
if ($metrics.AverageUpdateAge -lt 180) {
Write-Host " ✅ Gemiddelde leeftijd componenten: ACCEPTABEL ($([Math]::Round($metrics.AverageUpdateAge)) dagen)" -ForegroundColor Green
}
elseif ($metrics.AverageUpdateAge -lt 365) {
Write-Host " ⚠️ Gemiddelde leeftijd componenten: AANDACHT ($([Math]::Round($metrics.AverageUpdateAge)) dagen)" -ForegroundColor Yellow
}
else {
Write-Host " ❌ Gemiddelde leeftijd componenten: VERHOOGD RISICO ($([Math]::Round($metrics.AverageUpdateAge)) dagen)" -ForegroundColor Red
}
$complianceCoverage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComplianceRelevant / $metrics.TotalComponents) * 100, 1)
} else {
0
}
Write-Host "`nCompliance Coverage Analyse:" -ForegroundColor Cyan
if ($complianceCoverage -ge 70) {
Write-Host " ✅ Compliance-coverage: UITSTEKEND ($complianceCoverage%)" -ForegroundColor Green
}
elseif ($complianceCoverage -ge 50) {
Write-Host " ⚠️ Compliance-coverage: GOED ($complianceCoverage%) - ruimte voor verbetering" -ForegroundColor Yellow
}
else {
Write-Host " ❌ Compliance-coverage: ONVOLDOENDE ($complianceCoverage%) - actie vereist" -ForegroundColor Red
}
Write-Host "`nFramework Coverage:" -ForegroundColor Cyan
Write-Host " BIO: $($metrics.FrameworkCoverage.BIO) componenten" -ForegroundColor White
Write-Host " ISO 27001: $($metrics.FrameworkCoverage.ISO27001) componenten" -ForegroundColor White
Write-Host " NIS2: $($metrics.FrameworkCoverage.NIS2) componenten" -ForegroundColor White
$recommendations = @()
if ($updatePercentage -lt 80) {
$recommendations += "Verhoog actualisatiegraad: Focus op bijwerken van verouderde componenten"
}
if ($stalePercentage -gt 20) {
$recommendations += "Reduceer verouderde componenten: Prioriteer componenten die langer dan 1 jaar niet zijn bijgewerkt"
}
if ($metrics.AverageUpdateAge -gt 180) {
$recommendations += "Verbeter gemiddelde leeftijd: Zorg voor regelmatigere updates van governance-componenten"
}
if ($complianceCoverage -lt 70) {
$recommendations += "Verhoog compliance-coverage: Zorg dat meer componenten expliciet compliance-kaders adresseren"
}
if ($recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Cyan
foreach ($recommendation in $recommendations) {
Write-Host " - $recommendation" -ForegroundColor Yellow
}
}
else {
Write-Host "`n✅ Geen kritieke aanbevelingen - metrics zijn binnen acceptabele grenzen." -ForegroundColor Green
}
return [PSCustomObject]@{
Metrics = $metrics
UpdatePercentage = $updatePercentage
StalePercentage = $stalePercentage
ComplianceCoverage = $complianceCoverage
Recommendations = $recommendations
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Identificeert metrics die buiten acceptabele grenzen vallen en prioriteert verbeteracties.
.OUTPUTS
PSCustomObject met remediatieadvies.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Governance Metrics" -ForegroundColor Yellow
Write-Host "================================" -ForegroundColor Yellow
$metrics = Get-GovernanceMetrics
$repoRoot = Get-RepositoryRoot
$updatePercentage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComponentsUpdatedLastYear / $metrics.TotalComponents) * 100, 1)
} else {
0
}
$stalePercentage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComponentsNeedingUpdate / $metrics.TotalComponents) * 100, 1)
} else {
0
}
$actions = @()
Write-Host "`nPrioritering van verbeteracties:" -ForegroundColor Cyan
if ($updatePercentage -lt 80) {
$priority = if ($updatePercentage -lt 60) { "Kritiek" } else { "Hoog" }
$action = [PSCustomObject]@{
Priority = $priority
Metric = "Actualisatiegraad"
CurrentValue = "$updatePercentage%"
TargetValue = "≥80%"
Issue = "Te veel componenten zijn niet bijgewerkt in het afgelopen jaar"
Recommendation = "Prioriteer het bijwerken van verouderde governance-componenten, start met compliance-relevante componenten"
Timeframe = if ($priority -eq "Kritiek") { "Binnen 1 maand" } else { "Binnen 3 maanden" }
}
$actions += $action
}
if ($stalePercentage -gt 20) {
$priority = if ($stalePercentage -gt 40) { "Kritiek" } else { "Hoog" }
$action = [PSCustomObject]@{
Priority = $priority
Metric = "Verouderde componenten"
CurrentValue = "$stalePercentage%"
TargetValue = "≤20%"
Issue = "Te veel componenten zijn langer dan 1 jaar niet bijgewerkt"
Recommendation = "Implementeer een gestructureerd actualisatieproces met regelmatige reviews en updates"
Timeframe = if ($priority -eq "Kritiek") { "Binnen 1 maand" } else { "Binnen 3 maanden" }
}
$actions += $action
}
if ($metrics.AverageUpdateAge -gt 180) {
$priority = if ($metrics.AverageUpdateAge -gt 365) { "Kritiek" } else { "Hoog" }
$action = [PSCustomObject]@{
Priority = $priority
Metric = "Gemiddelde leeftijd componenten"
CurrentValue = "$([Math]::Round($metrics.AverageUpdateAge)) dagen"
TargetValue = "<180 dagen"
Issue = "Gemiddelde leeftijd van componenten is te hoog"
Recommendation = "Verhoog update-frequentie en zorg voor regelmatigere governance-reviews"
Timeframe = if ($priority -eq "Kritiek") { "Binnen 1 maand" } else { "Binnen 3 maanden" }
}
$actions += $action
}
$complianceCoverage = if ($metrics.TotalComponents -gt 0) {
[Math]::Round(($metrics.ComplianceRelevant / $metrics.TotalComponents) * 100, 1)
} else {
0
}
if ($complianceCoverage -lt 70) {
$priority = if ($complianceCoverage -lt 50) { "Kritiek" } else { "Hoog" }
$action = [PSCustomObject]@{
Priority = $priority
Metric = "Compliance-coverage"
CurrentValue = "$complianceCoverage%"
TargetValue = "≥70%"
Issue = "Te weinig componenten adresseren expliciet compliance-kaders"
Recommendation = "Voeg compliance-kader mappings toe aan componenten die dit nog niet hebben"
Timeframe = if ($priority -eq "Kritiek") { "Binnen 2 maanden" } else { "Binnen 6 maanden" }
}
$actions += $action
}
if ($actions.Count -eq 0) {
Write-Host "`n✅ Geen kritieke acties vereist - alle metrics zijn binnen acceptabele grenzen." -ForegroundColor Green
return [PSCustomObject]@{
Actions = @()
Metrics = $metrics
}
}
$byPriority = $actions | Group-Object -Property Priority | Sort-Object {
@{ "Kritiek" = 0; "Hoog" = 1; "Normaal" = 2 }[$_.Name]
}
foreach ($group in $byPriority) {
$color = switch ($group.Name) {
"Kritiek" { "Red" }
"Hoog" { "Yellow" }
default { "White" }
}
Write-Host "`n$($group.Name) prioriteit: $($group.Count) actie(s)" -ForegroundColor $color
foreach ($action in $group.Group) {
Write-Host " Metric: $($action.Metric)" -ForegroundColor White
Write-Host " Huidige waarde: $($action.CurrentValue)" -ForegroundColor Gray
Write-Host " Streefwaarde: $($action.TargetValue)" -ForegroundColor Gray
Write-Host " Probleem: $($action.Issue)" -ForegroundColor Gray
Write-Host " Aanbeveling: $($action.Recommendation)" -ForegroundColor Cyan
Write-Host " Termijn: $($action.Timeframe)" -ForegroundColor Cyan
Write-Host ""
}
}
return [PSCustomObject]@{
Actions = $actions
Metrics = $metrics
}
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Governance Metrics Monitor" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($MetricsCollection) {
Invoke-MetricsCollection | Out-Null
}
elseif ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation | Out-Null
}
else {
# Standaard: metrics collection en monitoring uitvoeren
$collectionResult = Invoke-MetricsCollection
Write-Host ""
$monitoringResult = Invoke-Monitoring
if ($monitoringResult.Recommendations.Count -eq 0) {
Write-Host "`n✅ ALLE METRICS BINNEN ACCEPTABELE GRENZEN" -ForegroundColor Green
}
else {
Write-Host "`n⚠️ VERBETERACTIES VEREIST" -ForegroundColor Yellow
Write-Host "Run met -Remediation voor een geprioriteerde lijst van acties." -ForegroundColor Yellow
}
}
}
catch {
Write-Error "Er is een fout opgetreden in index.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder expliciete governance metrics en KPI's blijven organisaties blind voor de werkelijke volwassenheid en effectiviteit van hun IT-governance. Dit leidt tot besluitvorming op basis van aannames in plaats van feiten, moeilijkheden bij het prioriteren van governance-initiatieven, en problemen bij het aantonen van due diligence richting auditors, toezichthouders en bestuurders.
Management Samenvatting
Governance metrics en KPI's vormen de essentiële basis voor datagestuurd governance-beheer binnen Nederlandse overheidsorganisaties. Dit artikel beschrijft een praktische aanpak voor het opzetten van een governance metrics-framework dat zorgt voor meetbare governance-volwassenheid, transparante besluitvorming en aantoonbare compliance met relevante normenkaders zoals de BIO, NIS2 en AVG.
- Implementatietijd: 70 uur
- FTE required: 0.3 FTE