Controleverslag procesdeel GBA-audit

Transcriptie

1 Controleverslag procesdeel GBA-audit Gemeente Krimpen aan den IJssel Procesauditor : De heer E.M. Kaouass Verificateur procesaudit : De heer C.J.M. de Grijs CISA Organisatie : DEKRA Certification b.v. Datum : 4 december 2012 Versie : 2.0 (definitief) Projectnummer : Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 1 van 31

2 Distributielijst De heer P.J. Berkers Mevrouw C.M. Kool Audit team Afdelingshoofd Publiekscentrum, gemeente Krimpen aan den IJssel Applicatiebeheer en GBA-specialist, gemeente Krimpen aan den IJssel DEKRA Certification b.v. GBA-applicatie Leverancier Naam GBA-applicatie Centric Key2Burgerzaken Overige gegevens Template versie 1.0 Datum proces 4 september 2012 Datum verificatie 22 oktober 2012 Datum zelfevaluatie 31 augustus 2012 Datum bespreking resultaten 26 november Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 2 van 31

3 INHOUD 1 MANAGEMENTSAMENVATTING OPDRACHTVERSTREKKING INTEGRITEIT GBA AUDITINSTELLING EN BETROKKEN AUDITORS OPBOUW VAN DE RAPPORTAGE WIJZE VAN UITVOERING RAPPORT VAN BEVINDINGEN CONTROLE PROCESDEEL INLEIDING INTERVIEWS EN ACTIVITEITEN CONTROLE PROCESDEEL CONTROLEVERSLAG PROCESMATIG DEEL BEVEILIGINGSDOCUMENTATIEDOSSIER GELEIDELIJST AFHANDELING CONTROLEVERSLAG Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 3 van 31

4 1 Managementsamenvatting 1.1 Opdrachtverstrekking Op 6 februari 2012 is door DEKRA Certification b.v. offerte uitgebracht voor de uitvoering van de GBA-audit bij de gemeente Krimpen aan den IJssel. Na opdrachtverstrekking door de gemeente Krimpen aan den IJssel heeft DEKRA Certification b.v. het plan van aanpak voor de uitvoering van de GBA audit op 7 mei 2012 verstuurd. Door de gemeente is de zelfevaluatie op het procesdeel uitgevoerd op 31 augustus Op 4 september 2012 vond zowel de inhoudelijke GBA-audit als de privacy-audit en de van het procesdeel plaats. 1.2 Integriteit GBA auditinstelling en betrokken auditors DEKRA Certification b.v. is door de minister voor Binnenlandse Zaken aangewezen als GBA auditinstelling. De uitvoering van de is door DEKRA Certification b.v. uitbesteed aan BMC te Amersfoort. DEKRA Certification b.v. verzekert de volledige geheimhouding van informatie die zij in de loop van de audit heeft verkregen. DEKRA Certification b.v. garandeert de privacybescherming van de burger en de bescherming van eigendomsrechten. Noch de inhoudelijke auditor, noch de procesauditor noch de verificateur woont in de gemeente Krimpen aan den IJssel. Geen van de auditors is werkzaam geweest gedurende een ar voorafgaand aan de audit bij het betrokken organisatie onderdeel van auditee. Tenslotte mogen zowel de inhoudelijke als de procesauditor het ar voorafgaand en volgend op de uitvoering van de GBA-audit niet betrokken zijn bij vergelijkbare adviesopdrachten bij auditee. 1.3 Opbouw van de rapportage In voorliggende verslag zijn de diverse bevindingen ten aanzien van de van de beantwoording van een aantal vragen inzake het procesdeel opgenomen. Deze vragen zijn door het Agentschap BPR in een steekproef bepaald. 1.4 Wijze van uitvoering De GBA-audit is opgesplitst in een inhoudelijke audit, een privacygedeelte en een van de door de gemeente uitgevoerde zelfevaluatie van het procesdeel. Bij de uitwerking hiervan is dan ook geen sprake meer van een auditrapportage maar van een verslag, waarin wordt ingegaan op de bevindingen van de door de gemeente Krimpen aan den IJssel verstrekte antwoorden. De resultaten van de zelfevaluatie zijn beoordeeld door de heer E.M. Kaouass en geverifieerd door De heer C.J.M. de Grijs CISA Uitvoering van de zelfevaluatie Het procesmatige deel van de audit is door de gemeente Krimpen aan den IJssel zelf uitgevoerd in de vorm van een zelfevaluatie op 31 augustus Tijdens de van deze zelfevaluatie toetst de auditor de heer E.M. Kaouass op 4 september 2012 de door de gemeente uitgevoerde audit en let daarbij op de juistheid van de beantwoording van de vragen door de gemeente, ten aanzien van de onderdelen Lokaal beleid en uitgangspunten, Uitvoering en Controle, advies en evaluatie. De heeft plaatsgevonden door middel van een interview en mogelijk door het doen van bevindingen ter plaatse. Het gaat hierbij concreet om de volgende activiteiten: identificeren van de aanwezige documenten; vaststellen ontbrekende documenten gemerkt in de vragenlijst, maar niet aanwezig); doornemen en globaal beoordelen van de aanwezige documenten; vaststellen aanvullende vragen voor interviews; Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 4 van 31

5 bekijken computerruimte; bekijken ruimte waar de back-up tapes worden bewaard; bekijken ruimte waar de GBA-administratie wordt gevoerd; bekijken ruimte waar de direct geprinte mutaties worden bewaard; bekijken actuele bevoegdheidsprofielen op de GBA server; bekijken aanlogprocedures (netwerk/gba server) ten behoeve van het beoordelen van de logische toegangsbeveiliging; vastleggen bevindingen en vaststellen conclusies, risico s en aanbevelingen; opstellen rapportage. Het interview is afgenomen aan de hand van het door het agentschap BPR en College Bescherming Persoonsgegevens (CBP) verstrekte protocol en de daarbij behorende gestructureerde vragenlijst, na inzage van de in dit protocol vermelde en door de gemeente overlegde documentatie. Bij de is geen gebruik gemaakt van aanvullende programmatuur, anders dan voor tekstverwerkingsdoeleinden Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 5 van 31

6 2 Rapport van bevindingen procesdeel 2.1 Inleiding In dit hoofdstuk worden de bevindingen ten aanzien van de bij de op het door de gemeente Krimpen aan den IJssel d.d. 31 augustus 2012 uitgevoerde procesdeel van de GBA audit weergegeven. Hierbij is de volgorde aangehouden van de vragenlijst van het agentschap BPR. De is gebeurd op basis van de zes door het agentschap BPR geselecteerde vragen uit de 19 mogelijke vragen in vermelde vragenlijst. Het rapport van bevindingen is opgesteld door de auditor de heer E.M. Kaouass. 2.2 Interviews en activiteiten procesdeel In het kader van de op het procesdeel is d.d. 4 september 2012 gesproken met de volgende personen: Naam Mevrouw C.M. Kool Functie Applicatiebeheerder en GBA-specialist Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 6 van 31

7 2.3 Controleverslag procesmatig deel Vraag Omschrijving Verplicht Eventueel bij de door de auditor geconstateerde tekortkoming 1 Lokaal beleid en uitgangspunten 1.1 DEFINITIE VAN RESULTATEN De gemeente heeft een informatiebeveiligingsbeleid vastgesteld waarbij in ieder geval de belangrijkste aandachtspunten en de te behalen resultaten zijn gedefinieerd. Burgemeester en wethouders hebben in één of meer beleidsnotities de volgende resultaten gedefinieerd De beschikbaarheid van het GBA informatiesysteem moet zijn gegarandeerd De vertrouwelijkheid van de GBA gegevens moet zijn gewaarborgd. Ja Ja Juist ingevuld Geen Ja De data integriteit (=volledigheid, juistheid en tijdigheid) moet zijn gewaarborgd De erbaarheid van de gegevens in de GBA moet worden gewaarborgd. Ja Ja Uitvoering van het beveiligingsproces Ja Ja Juist ingevuld Geen Zijn de taken, functies en bevoegdheden om de bij vragen 1.1 tot en met 1.4 genoemde garanties en waarborgen te realiseren toegewezen aan organieke functies? Wordt tenminste eenmaal per ar aan burgemeester en wethouders een managementrapport uitgebracht waarin Ja Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 7 van 31

8 Eventueel bij de door de auditor geconstateerde tekortkoming wordt aangegeven in welke mate de gewenste garanties en waarborgen worden bereikt? Controller van het beveiligingsproces Is de verantwoordelijkheid voor deze arlijkse rapportage toegewezen aan één of meerdere organieke functies? Verstrekt de security officer (of beveiligingsbeheerder) naast de managementrapportage gevraagd en ongevraagd adviezen om te komen tot het gewenste en gedefinieerde beveiligingsniveau? 1.2 RISICOANALYSE Ja Het opstellen van beleid en uitgangspunten, alsmede het treffen van maatregelen en het onderzoeken, aanpassen en adviseren dient te geschieden op basis van een toereikende risicoanalyse Is er een risicoanalyse uitgevoerd? Is er gebruik gemaakt van een aantoonbare methodiek voor de risico analyse? Zo geef aan welke methodiek Is de risicoanalyse eenmalig uitgevoerd en nadien niet meer herhaald? Wordt de risicoanalyse arlijks uitgevoerd? Is de risicoanalyse uitgevoerd door interne medewerker(s), die niet verantwoordelijk voor of betrokken zijn bij de GBA? Is de risicoanalyse uitgevoerd door Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 8 van 31

9 Eventueel bij de door de auditor geconstateerde tekortkoming interne medewerker(s), die betrokken zijn bij de GBA (Burgerzaken en/of I&A)? Is de risicoanalyse is uitgevoerd door externe deskundigen? 1.3 (INFORMATIE)BEVEILIGINGSPLAN Het treffen van beveiligingsmaatregelen om de ongestoorde werking van de GBA te garanderen vindt plaats op een gestructureerde wijze. Hiervoor stelt de gemeente een (informatie)beveiligingsplan op Beschikt uw gemeente over een actueel en vastgesteld (informatie)beveiligingsplan 1? Zo vul dan de volgende deelvragen in: Systeem inventarisatie Zijn in het (informatie)beveiligingsplan de primaire en ondersteunende processen en voorwaarden (o.a. mensen, gebouwen, techniek, middelen) voor een werkend GBA systeem geïnventariseerd? Afhankelijkheidsanalyse Is in het (informatie)beveiligingsplan de mate waarin de organisatie en de dienstverlening afhankelijk is van deze processen en voorwaarden geïnventariseerd? Dreigingsanalyse Is in het (informatie)beveiligingsplan de mate waarin deze processen worden 1 Indien bij de vragen tot en met het antwoord geen enkele keer is, dan is het antwoord bij vraag Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 9 van 31

10 Eventueel bij de door de auditor geconstateerde tekortkoming bedreigd door interne of externe factoren geïnventariseerd? Maatregelenanalyse Vaststelling Zijn in het (informatie)beveiligingsplan de maatregelen die getroffen moeten worden om deze bedreigingen te voorkomen of te beheersen geïnventariseerd? Zijn de maatregelen die worden vereist vastgesteld? Betreft het vastgestelde maatregelen op het gebied van beschikbaarheid of continuïteit gericht op de ongestoorde voortgang van de informatievoorziening GBA? Betreft het vastgestelde maatregelen op het gebied van betrouwbaarheid of integriteit gericht op de juistheid, volledigheid en tijdigheid van gegevens? Betreft het vastgestelde maatregelen op het gebied van vertrouwelijkheid of exclusiviteit gericht op het beschermen van de rechtmatige toegang en gebruik van de GBA? Betreft het vastgestelde maatregelen gericht op de erbaarheid om inzicht te verkrijgen over de structuur en werking van het beveiligingssysteem en te kunnen vaststellen of overeenstemming met de eisen wordt bereikt? Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 10 van 31

11 Eventueel bij de door de auditor geconstateerde tekortkoming Termijnen Is de termijn waarbinnen de vereiste maatregelen moeten zijn uitgevoerd vastgesteld? Interne auditing Taken Vindt de evaluatie van de uitvoering van de vereiste maatregelen tenminste eenmaal per ar plaats? Is de functionele en organieke verantwoordelijkheid voor het uitvoeren van de vereiste maatregelen vastgelegd en gecommuniceerd met de betrokkenen? 2 Uitvoering TAKEN EN FUNCTIES Het vastleggen van taken, bevoegdheden en verantwoordelijkheden is belangrijk om het beveiligingsproces in de gemeente te implementeren. Tevens is het wettelijk voorgeschreven (art. 14 Wet GBA) om met betrekking tot de GBA te voorzien in een actuele beheerregeling Is de functie Informatiebeheerder GBA organiek aangewezen? Is de functie Privacybeheerder GBA organiek aangewezen? Is de functie Applicatiebeheerder GBA organiek aangewezen? Is de functie Systeembeheerder GBA organiek aangewezen? Is de functie Gegevensbeheerder GBA organiek aangewezen? Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 11 van 31

12 Eventueel bij de door de auditor geconstateerde tekortkoming Is de functie security officer / Beveiligingsbeheerder organiek aangewezen? Ja Juist ingevuld Geen FUNCTIESCHEIDING Het scheiden van functies en verantwoordelijkheden draagt bij aan het in stand houden van een integere en zorgvuldige inbedding. Functiescheiding maakt deel uit van de basisprincipes van de administratieve organisatie, nl. een opdrachtgever, de uitvoering en de controller die rapporteert aan de opdrachtgever Is er sprake van functiescheiding tussen degene die het beveiligingsbeleid opstelt (de opdrachtgever), degene die zijn aangewezen of verantwoordelijk zijn voor de realisatie van het beleid (de uitvoerder) en degene die de uitvoering ert en daarover rapporteert aan de opdrachtgever (de controller)? RISICOBEWUSTZIJN EN COMMUNICATIE Draagvlak en begrip zijn essentiële onderdelen om medewerkers te motiveren en te stimuleren bepaalde procedures uit te voeren. Met het geven van informatie en uitleg ontstaat begrip en een beter draagvlak Worden de medewerkers die werken met of gebruik maken van de GBA geïnstrueerd over de mogelijke risico s en (verplichtende) richtlijnen en procedures om schade en incidenten te voorkomen? Zo :de instructie vindt tenminste eenmaal per ar plaats? Zo : moeten de genoemde medewerkers kennis nemen van voorschriften en procedures en deze kennisname bevestigen (paraferen)? BEVEILIGINGSGEDRAG ALS ONDERDEEL VAN HET FUNCTIONEREN Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 12 van 31

13 Eventueel bij de door de auditor geconstateerde tekortkoming Draagvlak en risicobewustzijn is niet altijd voldoende. Soms moet een medewerker meer functiol worden aangesproken bij niet gewenst gedrag. Het functioneringsgesprek is hiervoor de basis. Het niet zorgvuldig omgaan met beveiligingsvoorschriften is ongewenst gedrag Maakt de wijze waarop medewerkers zich houden aan de voorschriften inzake (informatie)beveiliging structureel deel uit van functioneringsgesprekken? BEWERKER De gemeente kan voor de GBA gebruik maken van een bewerker. Dit is een externe partij die namens de verantwoordelijke voor de GBA zorgt voor het bijhouden en/of verwerken van persoonsgegevens Maakt de gemeente gebruik van een bewerker ex. art. 53 Besluit GBA? zo : Zo : Is de gemeente met deze bewerker een overeenkomst aangegaan waaruit blijkt dat deze bewerker zal voldoen aan de gestelde beveiligingseisen? Toetst de gemeente zelf periodiek aan de hand van een checklist of de bewerker voldoet aan de beveiligingseisen in deze overeenkomst dan wel schakelt hiervoor een extern bureau in of de toetsing op de bewerker wordt uitgevoerd door een externe deskundige die door de bewerker is ingeschakeld en een afschrift van het rapport wordt gezonden aan de gemeente? TERUGMELDING BIJ GEBLEKEN INCONSISTENTIE VAN GEGEVENS Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 13 van 31

14 Eventueel bij de door de auditor geconstateerde tekortkoming In de praktijk kan het voorkomen dat gegevens in de GBA niet overeenkomen met gegevens waarover bijv. een afnemer beschikt. In dat geval is er sprake van inconsistentie van gegevens. Op dat moment is het van belang te zorgen voor een proces dat deze gegevens worden onderzocht en met elkaar in overeenstemming worden gebracht Beschikt de gemeente over een actuele procedure voor het verwerken van terugmeldingen van binnen- en buitengemeentelijke afnemers? zo : zijn in de procedure de volgende onderwerpen geregeld? De wijze waarop kan of moet worden gemeld De verantwoordelijkheid voor het ontvangen en verwerken van terugmeldingen De termijnen waarbinnen terugmeldingen moeten zijn verwerkt De wijze waarop de melder wordt bericht hoe de terugmelding is verwerkt De wijze waarop afnemers worden bericht over een verwerkte terugmelding De wijze waarop het proces van terugmelding wordt bewaakt INCIDENTMELDING Niet alleen inconsistentie van gegevens is een risico, er kunnen ook andere (bijna) incidenten voorvallen. Ongewenste toegang tot gegevens, technische problemen met de energievoorziening e.v.a. Het melden van dergelijke (bijna) incidenten kan leiden tot een proces van verbetering en leermomenten Beschikt de gemeente over een actuele procedure voor het verwerken van Ja Juist ingevuld Hoewel het versienummer van de procedure overeenkomst met die van het basisdocument Informatiebeveiligingsplan GBA en waardedocumenten 2012, Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 14 van 31

15 Eventueel bij de door de auditor geconstateerde tekortkoming incidentmeldingen? zo : 2 In de procedure zijn de volgende onderwerpen zijn geregeld: De wijze waarop kan of moet worden gemeld De verantwoordelijkheid voor het ontvangen en verwerken van incidentmeldingen De termijnen waarbinnen incidentmeldingen moeten zijn verwerkt De wijze waarop de melder wordt bericht hoe de incidentmelding is verwerkt Van de incidentmeldingen wordt een registratie bijgehouden of verslag gemaakt. Ja Juist ingevuld Geen Ja Juist ingevuld Geen wijkt de datum af. Aangenomen wordt dat deze procedure onderdeel uitmaakt van het op 10 april 2012 formeel door het College als geheel vastgestelde document. Ja Juist ingevuld De gemeente heeft bij deze vraag ingevuld terwijl in de procedure wel een termijn wordt genoemd. De termijn die in de procedure genoemd wordt is echter een richtlijn omdat in de procedure staat dat het onderzoek in principe binnen één maand na melding wordt afgerond. Dit biedt dus de ruimte om het onderzoek ook na één maand af te ronden. Zij hebben de vraag geïnterpreteerd als of er een harde termijn is vastgesteld waarbinnen de incidentmelding verwerkt moet zijn omdat in de vraagstelling het woord moeten voorkomt. Ja Juist ingevuld Geen Ja Juist ingevuld Geen GEGEVENSVERWERKING De integriteit (juistheid, volledigheid, tijdigheid) van de gegevens in de GBA dient te worden gewaarborgd Heeft het bestuur of management van de gemeentelijke organisatie in één of meerdere actuele documenten instructies met betrekking tot waarborging van de integriteit (juistheid, volledigheid, tijdigheid) van de gegevens in de GBA 2 Indien bij de vragen tot en met het antwoord geen enkele keer is, dan is het antwoord bij vraag Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 15 van 31

16 Eventueel bij de door de auditor geconstateerde tekortkoming vastgesteld? Zo, hebben de instructies in ieder geval betrekking op het invoeren van gegevens, het ren van gegevens en het wijzigen van de ingevoerde gegevens? ziet het management minimaal één keer per ar toe op de naleving van de instructies? Worden minimaal één keer per ar producties c.q. programma s gedraaid voor het beheersen van de integriteit van de gegevens? Zo, wordt aan het management schriftelijk gerapporteerd over de resultaten van de producties c.q. programma s? 2.2 Technische maatregelen UITWIJK EN TEST Het treffen van maatregelen om de continuïteit te garanderen is verankerd in het Logisch Ontwerp. Een belangrijke maatregel is het kunnen terugvallen op een reserve GBA informatiesysteem, ook wel uitwijk genaamd Heeft uw gemeente een actuele overeenkomst afgesloten met een externe partij voor het beschikbaar houden en op het moment dat het nodig is ter beschikking stellen van een uitwijkconfiguratie? zo : Beschikt uw gemeente zelf over een Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 16 van 31

17 Eventueel bij de door de auditor geconstateerde tekortkoming nevenlocatie waarin een uitwijkconfiguratie beschikbaar wordt gehouden en zo nodig op het moment dat het nodig is ter beschikking is? zo : Bevindt de externe uitwijklocatie zich in een ander gebouw dan de reguliere GBA configuratie? Beschikt uw gemeente beschikt over een intern uitwijkdraaiboek waarin alle taken, verantwoordelijkheden en acties zijn vastgelegd? Zo : is het draaiboek altijd beschikbaar, ook indien de reguliere locatie niet beschikbaar is? Wordt de uitwijkconfiguratie tenminste 1 x per 12 maanden getest op actualiteit en juiste werking? Zo : is van deze test een verslag opgesteld? FYSIEKE UITWIJK Als het gemeentehuis, als reguliere locatie, als gevolg van bijvoorbeeld brand overstroming gas- of chemicaliëngevaar, niet meer beschikbaar is voor de primaire dienstverlening, moet daarvoor ook fysiek worden uitgeweken. Kantoor en baliewerkplekken op een andere locatie zijn dan noodzakelijk Zijn er zodanige voorzieningen getroffen dat de meest noodzakelijke dienstverlening van de gemeente, inclusief het beheer en het gebruik van de GBA, op een andere locatie kan Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 17 van 31

18 Eventueel bij de door de auditor geconstateerde tekortkoming plaatsvinden indien de reguliere locatie als gevolg van een calamiteit niet kan worden gebruikt? Beschikt de gemeente over een actueel draaiboek (noodplan) waarin alle taken, verantwoordelijkheden en acties zijn vastgelegd? zo : Is het draaiboek altijd beschikbaar, ook indien de reguliere locatie niet beschikbaar is? BACK-UP VAN GEGEVENS Bij een back-up worden de gegevens in de GBA gekopieerd naar een medium dat fysiek is gescheiden van de GBA server. Het maken van back-up vindt plaats opdat GBA-gegevens kunnen worden gereconstrueerd Wordt voor het maken van een back-up gebruik gemaakt van tape, verwijderbare harde schijven of een ander geschikt back-up medium dan wel een directe verbinding met een externe locatie (mirror)? Zo : Zo : Worden de gegevens van de GBA periodiek gekopieerd naar het back-up medium, tenminste na iedere werkdag, eenmaal per week of eenmaal per maand? Vindt altijd plaats dat het kopieerproces correct is verlopen nadat de gegevens naar het back-up medium Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 18 van 31

19 Eventueel bij de door de auditor geconstateerde tekortkoming zijn gekopieerd? Zo : Zo : Vindt altijd een handmatige of geautomatiseerde toets plaats of de gegevens zijn geverifieerd en kunnen worden terug gelezen nadat de gegevens naar het back-up medium zijn gekopieerd? Vindt de opslag van back-up media op een externe locatie die zich in een andere ruimte bevindt dan de GBA server? RECONSTRUCTIE EN HERSTEL Als het nodig is om een back-up terug te plaatsen, moeten mutaties die hebben plaatsgevonden na deze back-up opnieuw worden ingevoerd om de actuele en gewenste situatie in de GBA te herstellen Worden de bronnen die gebruikt zijn voor de mutaties of de schriftelijke mutatieverslagen, sinds de laatste backup zodanig bewaard dat aansluiting wordt gevonden met de datum en het tijdstip van de laatste back-up? Ja Juist ingevuld Geen Worden de overige mutaties bewaard in een bestand dat fysiek is gescheiden van de GBA server en dat kan worden gebruikt voor het opnieuw invoeren of inlezen van de mutaties zodat aansluiting wordt gevonden met de datum en het tijdstip van de back-up? Wordt de reconstructie en het herstellen van de GBA tenminste eenmaal per 12 maanden getest? Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 19 van 31

20 Eventueel bij de door de auditor geconstateerde tekortkoming Zo : Zo : Vindt deze reconstructietest gelijktijdig plaats met de uitwijktest? Is er van de reconstructietest een verslag opgesteld? RECHTMATIGE TOEGANG EN GEBRUIK GBA Toegang en gebruik van de GBA moet voorbehouden zijn aan uitsluitend rechtmatige gebruikers. Gebruikers zijn medewerkers belast met het aanbrengen van mutaties, het raadplegen van gegevens, het applicatiebeheer, het systeembeheer en/of de leverancier voor onderhoud Wordt door uw gemeente uitsluitend aan individuele personen een eigen identificatie (gebruikersnaam en wachtwoord) verstrekt? Ja Juist ingevuld Geen Voldoet het wachtwoord en het gebruik daarvan voldoet aan alle volgende gegevens? tenminste 6 posities om toegang te krijgen tot de GBA applicatie de verplichting om het wachtwoord te wijzigen na maximaal 60 dagen het nieuwe wachtwoord verschilt op tenminste 4 posities met de voorgaande 3 wachtwoorden na het ingeven van 3 foute wachtwoorden wordt een blokkering toegepast Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 20 van 31

21 Eventueel bij de door de auditor geconstateerde tekortkoming waardoor de (onterechte) gebruiker niet meer zonder hulp van het applicatie- of systeembeheer zelfstandig kan inloggen het wachtwoord is door geen gebruiker op te vragen Zo : Wordt in plaats van een wachtwoord een ander systeem van minimaal een gelijkwaardig beveiligingsniveau gebruikt, namelijk Is de toegang tot GBA gegevens uitsluitend mogelijk na persoonlijke identificatie? Worden de verstrekte persoonlijke identificaties tot het GBA systeem periodiek geerd op geldigheid en actualiteit van de autorisaties? Zo : Is van deze activiteit is een verslag autorisaties opgesteld? LOGGING VAN HET GEBRUIK VAN DE GBA Het kan nodig of wenselijk zijn om achteraf te kunnen vaststellen welke gebruiker (user) handelingen in het GBA systeem heeft uitgevoerd. Om die reden worden alle handelingen geregistreerd en opgeslagen in een bestand Wordt er een logfile vastgelegd waarin de activiteiten van elke gebruiker is gelogd? Zo : Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 21 van 31

22 Eventueel bij de door de auditor geconstateerde tekortkoming Wordt deze logfile periodiek geerd op afwijkingen en mogelijk ongeoorloofd gebruik of toegangspogingen? Zo : Is van deze laatste activiteit is een verslag logfile opgesteld? Wordt de logfile voor reconstructiedoeleinden bewaard gedurende tenminste 24 maanden? TOEGANG OP AFSTAND TOT DE GBA Externe partijen (bijvoorbeeld de leverancier van de GBA-software, bewerkers, toegang op afstand eigen medewerkers) kunnen door middel van remote control handelingen verrichten op het GBA-systeem Kunnen externe partijen door middel van remote control handelingen verrichten op het GBA-systeem? zo : zo : Gebruikt de externe partij het GBA systeem uitsluitend op initiatief van de gemeente? Is de externe partij een gebruiker in het GBA en beschikt voor dat doel over een persoonlijke identificatie en de handelingen worden gelogd? zo : Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 22 van 31

23 Eventueel bij de door de auditor geconstateerde tekortkoming Maakt de externe partij gebruik van de GBA via datacommunicatie faciliteiten (inbel- of terugbel-verbindingen)? zo : zo : zo : Worden deze faciliteiten voor dat specifieke gebruik ingeschakeld en na het noodzakelijke gebruik weer direct uitgeschakeld? Worden de handelingen van de externe partij gedurende de ingelogde tijd continu beoordeeld? de handelingen van de externe partij worden na afloop zo uiterlijk de eerstvolgende werkdag geerd aan de hand van de logfile? Wordt van de van de handelingen van de externe partij een verslag opgesteld? 3 Controle, advies en evaluatie 3.1 EVALUATIE VAN BEVEILIGINGSMAATREGELEN Het periodiek beoordelen van beveiligingsmaatregelen is belangrijk om te kunnen werken met actuele en goed werkende procedures en processen. Als er tekortkomingen zijn vastgesteld moeten deze worden gerepareerd. Niet alleen op de juiste werking van procedures en de wijze waarop deze door mensen wordt uitgevoerd is van belang. Ook het aanbieden van adviezen aan de opdrachtgever om geconstateerde tekortkomingen te verhelpen hoort daarbij Is er in de gemeente een security officer / beveiligingsbeheerder aangesteld belast Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 23 van 31

24 Eventueel bij de door de auditor geconstateerde tekortkoming met de evaluatie van (informatie)beveiligingsvoorschriften? Zo : Zo : Zo : Zo : Zo : Is deze security officer / beveiligingsbeheerder op geen enkele wijze belast met de uitvoering van de beveiligingsprocessen die hij/zij ert? Evalueert de security officer / beveiligingsbeheerder in welke mate de door het bestuur of de leiding gedefinieerde en vereiste resultaten worden bereikt? Stelt de security officer / beveiligingsbeheerder een managementrapportage op over de evaluatie? Wordt de management-rapportage aangeboden aan het bestuur of de leiding van de organisatie zonder tussenkomst van en/of rectificatie door de uitvoerende lijnorganisatie? Brengt de security officer / beveiligingsbeheerder tevens advies uit ten aanzien van gewenste organisatorische en/of technische verbeteringen aan het bestuur of leiding Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 24 van 31

25 Eventueel bij de door de auditor geconstateerde tekortkoming van de gemeentelijke organisatie? 3.2 HET BEVEILIGINGSDOCUMENTATIEDOSSIER Het door de gemeente aan te leggen beveiligingsdocumentatiedossier bevat tenminste de onderstaande documenten die aantonen dat aan de gestelde vragen is voldaan. Indien deze documenten deel uitmaken van een groter geheel, zoals een integraal (informatie-)beveiligingsplan, dan kan dit integrale plan in de plaats komen van de individuele documenten Is er een actueel beveiligingsdocumentatiedossier aangelegd dat betrekking heeft op de periode waarover de audit wordt gehouden? Zo : Worden de beveiligingsdocumentatiedossiers die betrekking hebben op voorgaande auditperioden tenminste 11 ren bewaard? Bevat het beveiligingsdocumentatiedossier de beleidsnotities bedoeld bij de vragen t/m 1.1.4? Bevat het beveiligingsdocumentatiedossier het formatieplan waarin de taken, verantwoordelijkheden en bevoegdheden met betrekking tot de informatiebeveiliging zijn vastgelegd of de functie- en taakomschrijvingen waarin de taken, verantwoordelijkheden en bevoegdheden met betrekking tot de informatiebeveiliging zijn vastgelegd dan wel andere formele documenten (zie vragen 1.1.5, 1.1.7, , t/m , en 3.1.1)? Bevat het beveiligingsdocumentatiedossier de managementrapportage bedoeld bij vraag Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 25 van 31

26 Eventueel bij de door de auditor geconstateerde tekortkoming 1.1.6? Bevat het beveiligingsdocumentatiedossier de adviezen bedoeld bij vraag 1.1.8? Het beveiligingsdocumentatiedossier bevat de meest recente risicoanalyse (zie vraag 1.2.1)? Het beveiligingsdocumentatiedossier bevat het (informatie)beveiligingsplan bedoeld bij vraag 1.3.1? Het beveiligingsdocumentatiedossier bevat de voorschriften m.b.t. het instrueren van medewerkers i.h.k.v. risicobewustzijn en communicatie (zie vraag )? Het beveiligingsdocumentatiedossier bevat de documenten waaruit blijkt dat medewerkers kennis hebben genomen van de instructie (zie vraag )? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat het onderwerp bedoeld in vraag structureel deel uitmaken van functioneringsgesprekken? Het beveiligingsdocumentatiedossier bevat de overeenkomst met de bewerker bedoeld bij de vraag ? Het beveiligingsdocumentatiedossier bevat de documenten waaruit blijkt dat de bewerker wordt getoetst aan het voldoen Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 26 van 31

27 Eventueel bij de door de auditor geconstateerde tekortkoming aan de overeengekomen beveiligingseisen (zie vraag )? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat er een procedure is voor het verwerken van terugmeldingen (zie vraag )? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat er een procedure is voor het verwerken van incidentenmeldingen (zie vraag )? Het beveiligingsdocumentatiedossier bevat de registratie of het verslag bedoeld bij vraag ? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat er instructies zijn m.b.t. waarborging van de integriteit (zie vraag )? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat er wordt toegezien op de naleving van de instructies als bedoeld in vraag ? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat wordt gerapporteerd over de resultaten van de producties c.q. programma s (zie vraag )? Het beveiligingsdocumentatiedossier bevat de document(en) waaruit blijkt dat er een overeenkomst is afgesloten m.b.t. een uitwijkconfiguratie (zie vraag )? Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 27 van 31

28 Eventueel bij de door de auditor geconstateerde tekortkoming Het beveiligingsdocumentatiedossier bevat het interne uitwijkdraaiboek als bedoeld bij vraag ? Het beveiligingsdocumentatiedossier bevat het verslag van de laatste uitwijktest (zie vraag )? Het beveiligingsdocumentatiedossier bevat het noodplan als bedoeld bij vraag ? Het beveiligingsdocumentatiedossier bevat het verslag van de laatste reconstructietest (zie vraag )? Het beveiligingsdocumentatiedossier bevat het verslag autorisaties (zie vraag )? Het beveiligingsdocumentatiedossier bevat verslag logfile (zie vraag )? Het beveiligingsdocumentatiedossier bevat verslag toegang op afstand (zie vraag )? Het beveiligingsdocumentatiedossier bevat managementrapportage bedoeld bij vraag ? Het beveiligingsdocumentatiedossier bevat adviezen bedoeld bij vraag ? Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 28 van 31

29 )* : Aan de eisen is voldaan Er zijn onvolkomenheden geconstateerd. Deze leiden weliswaar niet tot een heraudit, maar verbeteringen zijn gewenst. Op dit onderdeel zijn onvolkomenheden geconstateerd die leiden tot een heraudit op dit onderdeel Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 29 van 31

30 2.4 Beveiligingsdocumentatiedossier De gemeente heeft ter ondersteuning van de beoordeling van het procesdeel van de GBA-audit een beveiligingsdocumentatiedossier overlegd. De volgende documenten zijn geraadpleegd ten behoeve van de : Documentomschrijving De beleidsnotitie(s) waaruit de eisen blijken op het gebied van beschikbaarheid, vertrouwelijkheid, integriteit en erbaarheid Het formatieplan waarin de beveiligingstaken zijn belegd of de relevante functiebeschrijvingen waarin deze taken zijn opgenomen De managementrapportage van de controller aan de opdrachtgever. Het (informatie)beveiligingsplan Het voorschrift of procedure waaruit blijkt hoe en wanr medewerkers worden geïnstrueerd inzake beveiligingsonderwerpen Als dit van toepassing is, de overeenkomst met de bewerker van GBA gegevens Als dit van toepassing is, het rapport waaruit blijkt dat de bewerker voldoet aan de beveiligingseisen Het voorschrift of procedure dat zorgt voor de instructies aan gebruikers van de GBA gericht op het waarborgen van integriteit en kwaliteit Het voorschrift of procedure waaruit blijkt dat er wordt gerapporteerd over de periodieke kwaliteitss met productie of programma s Als dit van toepassing is, de overeenkomst met een uitwijkleverancier Het verslag van de laatste uitwijktest Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 30 van 31

31 2.5 Geleidelijst afhandeling verslag Versie Omschrijving activiteit Door Handtekening 0.1 Opstellen rapport van bevindingen over de uitkomsten van de proces De heer E.M. Kaouass 0.2 Verificatie van het rapport van bevindingen procesdeel en opstellen van het concept verslag De heer C.J.M. de Grijs CISA 0.3 Goedkeuren wijzigingen in het geverifieerde concept verslag De heer E.M. Kaouass 1.0 Redactie van het concept verslag en verzending aan gemeente en bespreker De heer C.J.M. de Grijs CISA Bespreken van het concept verslag met de gemeente Krimpen aan den IJssel en het maken van aanvullende afspraken De heer J.L.F. van Engelen 2.0 Redactie van het definitieve verslag en het verwerken van de aanvullende afspraken met de gemeente Krimpen aan den IJssel De heer C.J.M. de Grijs CISA Controle procesdeel GBA audit Krimpen ad IJssel; versie 2.0 Pagina 31 van 31