Informatiebeveiliging - Begeleiding aansluiting op het DigiD - AuditConnect

Begeleiding aansluiting op het DigiD

Voornemens om gegevens te gaan ontsluiten via een portal waarbij gebruik zal worden gemaakt van een DigiD-koppeling? Bel AuditConnect! Gezien het belang en de complexiteit van het traject kan het praktisch en kostenbesparend werken om de goede en efficiënte begeleiding van de consultants van AuditConnect in te huren op het gebied van deze aansluiting.

AuditConnect en DigiD

AuditConnect levert zowel audit- als consultancydiensten. Door de combinatie van het auditen enerzijds en het adviseren en ondersteunen anderzijds hebben wij veel ervaring opgedaan van assessments op het gebied van informatiebeveiliging en DigiD-audits.

Hierdoor brengen wij kennis in en kunnen we goed de kwaliteit controleren van de te realiseren aansluiting. Dit zorgt ervoor dat bij de verplichte DigiD-assessment (2 maanden na aansluiting) er geen bevindingen zijn die moeten worden opgelost hetgeen wat kan leiden tot grote kosten.

DigiD-koppeling reeds in gebruik en binnenkort auditen? Ook dat doet AuditConnect reeds jaren. Mede daardoor kunnen wij implementatie trajecten goed begeleiden omdat onze ervaren auditors weten aan welke eisen moet worden voldaan.

Gehanteerde normen

Als norm voor de kwaliteitsbewaking hanteren wij de 'Norm ICT-beveiligingsassessments DigiD'. Dit zijn door Logius geselecteerde beveiligingsrichtlijnen uit de "ICT-beveiligingsrichtlijnen voor web applicaties" van Nationaal Cyber Security Centrum (NCSC). De begeleiding is er primair op gericht om vast te stellen dat klanten voldoen aan de door Logius geselecteerde normen.

Projectaanpak

In de hieronder beschreven stappen zijn de uitgangspunten opgenomen waarop wij klanten ondersteunen om te zorgen dat zij voldoen aan de eisen zoals gesteld door Logius.


Stap 1: Opstellen kwaliteitsplan en vaststellen maatregelen
Bij aanvang zal AuditConnect een kwaliteitsplan opstellen. Als eerste zal hierin de scope van de DigiD-koppeling worden beschreven. Een ander belangrijk punt om vast te stellen is welke maatregelen door ons dienen te worden bewaakt/geborgd en waarover wij kennis in moeten brengen.

Voor de eerste audit in opvolgend van de implementatie zal dit jaar daarvoor nog gebruik worden gemaakt van het normenkader dat is gebaseerd op de set van maatregelen uit 2012). Recentelijk is echter een nieuw normenkader uitgekomen. Hiervoor heeft AuditConnect een mapping uitgevoerd en een overizcht gemaakt van welke normen in ieder geval van toepassing zullen zijn voor klanten. De verwachting is echter dat Logius in 2016 (voor de audit 2017) meer normen van toepassing zal verklaren. Vandaar dat we klanten die nu implementeren adviseren om alle normen mee te nemen om te voorkomen dat over 2 jaar de portal moet worden aangepast.

Stap 2: Nulmeting uitvoeren
De doelstelling van deze stap is om in kaart te brengen in hoeverre de klant voldoet aan de normen zoals vastgesteld in stap 1. Tevens wordt in deze stap in kaart gebracht wie binnen uw organisatie intern het ICT-beveiligings-assessment uitvoert, wie bestuurlijk verantwoordelijk is, welke DigiD aansluiting da klant heeft en welke leveranciers daarbij zijn betrokken. Hierbij dient ook te worden bepaald welke onderdelen van de ICT-architectuur behoren tot de scope van het ICT- beveiligingsassessment DigiD.

Ook is het belangrijk voor de nulmeting te bepalen waar elk onderdeel van de norm binnen de klantorganisatie gecontroleerd kan worden en wie het aanspreekpunt is. Hierna zullen de noodzakelijke verbeterpunten in kaart moeten worden gebracht.

Stap 3: maatregelen treffen en bewaken
Na stap 2 volgt een periode waarin de klant de zaken die tijdens de nulmeting als onvoldoende zijn beoordeeld, kan verbeteren. Het zwaartepunt van deze stap ligt bij het aanpassen, beschrijven en vastleggen van de verschillende procesbeschrijvingen. AuditConnect zal hierbij ondersteuning bieden.

Stap 4: penetratietest(en) uitvoeren
In deze stap wordt de penetratietest (Pentest) uitgevoerd op de portal(s) met de DigiD-aansluiting die de klant gebruikt. AuditConnect zal dit traject begeleiden om te bewaken dat de juiste componenten met de juiste diepgang worden onderzocht. De test kan door een leverancier van de klant worden uitgevoerd. Dan wordt de TPM beschikbaar gesteld aan AuditConnect. AuditConnect kan ook deze penetratietest voor de klant (laten) uitvoeren.

Stap 5: bevindingen penetratietest oplossen
De uitkomsten van de activiteiten van stap 4 dienen omgezet te worden tot verbeteractiviteiten voor de klanten en/of haar leverancier(s). AuditConnect zal bewaken dat de verbeteractiviteiten daadwerkelijk worden doorgevoerd.

Stap 6 en 7: Pre-audit uitvoeren en verbeteringen bewaken
Na de afronding van de (eventueel) doorgevoerde verbeteringen in stap 5, voeren we een pre-audit uit. We zullen dan een audit uitvoeren op alle normen zoals vastgesteld in stap 1 en een oordeel geven per normelement. Op basis van de pre-audit worden eventueel verbetervoorstellen vastgesteld die onder bewaking van AuditConnect worden doorgevoerd.

Stap 8: Audit uitvoeren
Na de afronding van de (eventueel) doorgevoerde verbeteringen in stap 6, kunnen we het eindonderzoek uitvoeren. De activiteiten in deze fase hebben betrekking op het uitvoeren van een eindbeoordeling op de in stap 4 uitgevoerde penetratietest(en). De focus van dit deel zal zich richten op de verbetermaatregelen die zijn uitgevoerd in stap 5, 6 en 7. Mede hierdoor zijn we in staat dit deel van de audit efficiënt uit te voeren. Daarnaast beoordelen wij de overige normelementen in zowel opzet als bestaan.

Het conceptrapport wordt doorgenomen met de verantwoordelijke van de klant. Indien gewenst kan de klant nog maatregelen treffen. Eventuele reacties en/of advies op de reacties worden in het rapport verwerkt, waarna het definitieve rapport wordt opgemaakt.

De rapportage (het Assurancerapport van de onafhankelijke auditor) volgt de indeling zoals deze is vastgesteld door de NOREA:

  • Opdracht
  • Verantwoordelijkheden opdrachtgever
  • Verantwoordelijkheden serviceorganisaties
  • Verantwoordelijkheden van de auditor
  • Beperkingen
  • Oordelen
  • Beoogde gebruikers en doel
  • Criteria
  • Object van onderzoek (beschrijving)
  • Beschrijving van de testresultaten van de auditor
  • Object van onderzoek (schema van de web omgeving)

Bevindingen naar Logius sturen
Tot slot dient de klant Logius op de hoogte te stellen van de rapportage van de EDP-auditor. Het Assurance-rapport is bestemd voor het besloten verkeer. Dat wil zeggen dat de klant dit rapport mag bespreken met de direct betrokken organisaties (direct aan de klant gelieerde instellingen of organisaties en Logius).Na stap 2 volgt een periode waarin de klant de zaken die tijdens de nulmeting als onvoldoende zijn beoordeeld, kan verbeteren. Het zwaartepunt van deze stap ligt bij het aanpassen, beschrijven en vastleggen van de verschillende procesbeschrijvingen. AuditConnect biedt hierbij ondersteuning om ervoor te zorgen dat dit de bevindingen compleet en correct worden opgesteld t.b.v. Logius.

Meer informatie

AuditConnect is een jonge, professionele, dynamische en betrouwbare organisatie. Onze ervaren auditors en consultants staan een persoonlijke benadering voor. Het portfolio van AuditConnect b.v. bestaat uit zowel profit als non-profit organisaties, zowel midden-groot als groot.

Wij onderscheiden ons in de markt door een hoge kwaliteit van het geleverde werk in combinatie met een scherpe prijs en een korte doorlooptijd. Onze consultants en geregistreerde IT-auditors komen graag met u in contact. Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

We kijken er naar uit om met u samen te werken.

AuditConnect werkt onder andere voor de volgende bedrijven:

logo ActuIT - referentie ActuIT - AuditConnect
Logo Axxerion - Axxerion - AuditConnect
Logo Berkman Trading - Berkman Trading - AuditConnect
logo Connexys - referentie Connexys - AuditConnect
Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect
Gemeente Borne - Gemeente Borne - AuditConnect
Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect
Logo HR2day - HR2day - AuditConnect
INERGY - INERGY - AuditConnect
logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect
logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect
Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect
Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect
logo Caresharing - NEN7510 Caresharing - AuditConnect
Logo Parnassia - Parnassia Groepp - AuditConnect
Logo Progress - Progress - AuditConnect
logo Salure - Salure - AuditConnect
logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect
logo UNI-learning - UNI-Learning - AuditConnect
logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect
VSV Noorderpoort - VSV Noorderpoort - AuditConnect

Meer referenties Cases / referenties - AuditConnect