DigiD-assessment: Is jouw organisatie klaar voor 1 mei?

 

Per 1 januari 2013 bestaat de verplichting dat alle DigiD-gebruikende instellingen een beveiligingsassessment moeten ondergaan. Voor dit assessment is de norm vastgelegd in de ICT-beveiligingsrichtlijn voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Het assessment dient te worden uitgevoerd onder de verantwoordelijkheid van een EDP-auditor die in het register van de NOREA is ingeschreven.

Uitvoering

Telindus biedt naast geïntegreerde security oplossingen ook ondersteuning bij audit en pentest(en) en ontzorgt daarin. Via Telindus heb je de beschikking over door NOREA gecertificeerde auditor(s). Met andere woorden; de zekerheid van kennis en kwaliteit. De DigiD-assessment wordt uitgevoerd conform de “Handleiding uitvoering ICT-beveiligingsassessments‟ van Logius van 19 december 2016, versie 2.2. Hiermee geven de rapportages volledig invulling aan de eisen van Logius. De opdracht wordt uitgevoerd onder leiding van de heer Ronald Driehuis RE, CISA CIPM van SafeHarbour.

Rapportage

De audit resulteert in een formele rapportage van de feitelijke bevindingen. Deze rapportage voldoet aan de 3000-richtlijn van Norea en de eisen van Logius. De rapportage wordt in 1 onderlinge revisieslag met de opdrachtgever gefinaliseerd. Na finalisering zal de definitieve versie conform de brief van de minister d.d. 2 februari 2012 verstrekt worden aan Logius.

De omvang van de werkzaamheden is bepaald aan de hand van uw vraagstelling waarbij we ervan uitgaan dat er niet gesteund kan worden op een afgegeven TPM verklaring. Het volledige beveiligingsassesment gaat uit van de onderstaande werkzaamheden:

  • Uitvoeren pre-audit en pentest
  • Beoordelen TPM verklaring
  • Opstellen voorlopige rapportage
  • Uitvoeren audit
  • Opstellen definitieve rapportage
  • Planning en begroting

De werkzaamheden nemen enkele dagdelen in beslag en worden in onderling overleg gepland. De planning, uitvoering en rapportage worden tijdig voor de deadline van 1 mei 2018 afgerond. Voor uw organisatie is het noodzakelijk om een penetratietest uit te voeren, omdat de applicatieleverancier geen TPM-verklaring afgeeft voor de normen welke bij hen getoetst dienen te worden.

De kosten voor de audit en de pentest bedragen € 4.600 excl. BTW. Hierbij zijn de algemene verkoopwaarden van toepassing. In geval van een wezenlijke verandering in de opdracht of van onvoorziene aanvullende werkzaamheden worden de planning en begroting in overleg tussen auditor en uw organisatie bijgesteld. U zorgt ervoor dat de auditor alle benodigde informatie ontvangt zodat deze de audit goed en binnen de gestelde termijn kan uitvoeren. Ook zorgt u voor medewerking van de betrokken functionarissen. In overleg met Telindus wordt de uitvoering van de pentest ingepland, de DigiD-audit vindt plaats zodra de DigiD-aansluiting van de productieomgeving operationeel is.

Kwaliteitsrichtlijnen en standaarden

De opdracht wordt uitgevoerd conform de bij SafeHarbour geldende kwaliteitsrichtlijnen. In het dossier van SafeHarbour wordt alle evidence uit het onderzoek opgenomen. Daarnaast zijn de onderstaande richtlijnen / standaarden van toepassing bij de uitvoering van dit onderzoek.

NOREA Richtlijn Opdrachtaanvaarding (210);
NOREA Gedragscode voor IT-auditors (Code of Ethics);
NOREA Richtlijn Documentatie (230).

De NOREA Gedragscode schrijft onder andere voor dat verkregen (vertrouwelijke) gegevens alleen voor de vervulling van de opdracht gebruikt worden. De beheersmaatregelen van onze partner SafeHarbour zijn door de NOREA in mei 2017 goedgekeurd vanuit een kwaliteitsaudit.

Contact

Klik voor meer informatie of het aanvragen van een DigiD-audit op onderstaande button of neem direct contact op met security adviseur Leonie Bourgondiën via telefoonnummer 06 – 39 19 92 59 of per e-mail leonie.bourgondien@telindus.nl.

Lees hoe wij met jouw persoonsgegevens omgaan in onze Privacy Statement.

assessment aanvragen
Leonie Bourgondiën

Meer weten?

Neem contact op met onze Specialist Leonie Bourgondiën.