Onderzoeksrapport Suwinet-Inkijk IND 2017

Transcriptie

1 Auditdienst Rijk Ministerie van Financiën Onderzoeksrapport Suwinet-Inkijk IND 2017 Definitief

2 Colofon Titel Suwinet-Inkijk IND 2017 Uitgebracht aan mw. mr. A. van Berekei MBA Datum 12 april 2018 Status Definitief Kenmerk Inlichtingen Auditdienst Rijk

3 Inhoud 1 Aanleiding opdracht Opbouw rapportage 4 2 Bevindingen Beveiligingsbeleid en beveiligingsplan Overige organisatorische aspecten Dienstenniveau beheer Incidentbeheer Logische toegangsbeveiliging Fysieke beveiliging Suwinet-Inkijk Toegangsbeveiliging programmatuur 8 3 Aanbevelingen enlof vervoigstappen Verantwoording en normenkader Beveiligingsbeleid en beveiligingsplan Dienstenbeheer Logische toegangsbeveiliging Toegangsbeveiliging programmatuur 9 4 Verantwoordingonderzoek Doelstelling Werkzaamheden, periode van uitvoering Object van onderzoek, afbakening Gehanteerde Standaard 1] 4.5 Kwaliteitsborging Verspreiding rapport 11 5 Ondertekening 12 Bijlage (1) Afbakening van het normenkader 13

4 (BKWI), de beheerder van Suwinet, een verklaring te overleggen dat een De IND dient jaarlijks aan het Bureau Keteninformatisering Werk en Inkomen Organisaties die Suwinet gebruiken moeten zich verantwoorden over de beveiliging van Suwinet. overeenkomsten aangegaan over gegevensverstrekkingen via Suwinet. Werknemersverzekeringen (UWV) en de Dienst Uitvoering Onderwijs (DUO) Door de Immigratie en Naturalisatiedienst (IND) zijn met het Uitvoeringsinstituut 4 van 14 1 Suwinet-Inkijk IND 2017 IND 2017 opgenomen. weergegeven in hoofdstuk 2. De hieruit volgende aanbevelingen zijn opgenomen beschreven, In bijlage 1 is de afbakening van het normenkader Suwinet-Inkijk in hoofdstuk 3. In hoofdstuk 4 is de verantwoording van het onderzoek De hoofdbevindingen van dit onderzoek worden in 8 onderwerpen gegroepeerd 1.1 Opbouwrapportage maatregelen van informatiebeveiliging binnen de IND om na te gaan of aan de Verantwoordingsrichtlijn wordt voldaan. Hoofddirecteur IND een onderzoek uitgevoerd naar het stelsel van de De ADR heeft in de maanden februari en maart 2018 in opdracht van de rapporteren. beheersing van de risico s en op de wijze waarop aangesloten organisaties richtlijn gaat in op de wijze waarop vorm en inhoud wordt gegeven aan de normenkader zoals opgenomen in de Verantwoordingsrichtlijn Gezamenlijke onderzoek is uitgevoerd naar opzet, bestaan en werking van het Suwinet elektronische Voorzieningen Suwi (GeVS), hierna Verantwoord ingsrichtlijn Deze Aanleiding opdracht

5 2 Bevindingen De belangrijkste bevindingen van het onderzoek zijn hieronder conform de Verantwoordingsrichtlijn per onderwerp opgenomen. De detailbevindingen zijn per norm op verzoek beschikbaar bij de IND. 2.1 Beveiligingsbeleid en beveiligingsplan Norm: Het definiëren van een informatiebeveiigingsbeleid en informatiebeveiligingsplan met beleidslijnen waaraan de beveiliging moet voldoen. van Suwinet lnformatiebeveiliqinqsbeleid De IND hanteert beleidsregels waaraan de IND Organisatie moet voldoen en is van toepassing op alle IND informatie. Deze beleidsregels vormen de basis voor de uitwerking van de procedures en de realisatie van (op BIR gebaseerde) beveiligingsmaatregelen. Vanwege de generieke opzet van het informatiebeveiligingsbeleid is Suwinet-Inkijk daarin niet verbijzonderd. Het IND informatiebeveiligingsbeleid is onverkort van toepassing op de Suwinet-Inkijk gegevens. De uitwerking van het beleid, de planning en de uitvoering is belegd bij het lijnmanagement. In juli 2017 is het nieuwe toegangsbeleid door de IND vastgesteld. Het toegangsbeleid heeft als doel kaderstellend te zijn t.a.v. de autorisaties voor de IND applicaties en de IT-middelen die daarvoor nodig zijn en is integraal onderdeel van het informatiebeveiligingsbeleid. Het in januari 2018 vastgestelde privacybeleid heeft als doel om de Organisatie kaders te bieden bij het gebruik van persoonsgegevens in de processen van de IND. Wij hebben twee informatiebeveiligingsbeleidsdocumenten aangetroffen waarvan de geldigheidsdatum is verstreken (herziening per ). Van beide documenten is geen geactualiseerde versie aangetroffen. lnformatiebeveiliqinqsplan De IND heeft een geactualiseerd informatiebeveiligingsplan. Wij hebben vastgesteld dat de Suwinet audit als item in het IB jaarplan wordt genoemd. 2.2 Overige organisatorische aspecten Norm: Het inrichten en onderhouden van de beveiligingsfunctie en de beveiigingsorganisatie van Suwinet. Voor Suwinet-lnkijk heeft de IND geen specifieke beveiligingsorganisatie ingericht maar steunt daarbij op de IND brede beveiligingsorganisatie bestaande uit de CISO, de Security Officer (de IND hanteert hiervoor de benaming Beveiligingscoördinator (BVC)) en de Privacy Officer. De BVC ontvangt en beoordeelt maandelijks standaard (geanonimiseerde) afnemersrapportages van het BKWlover het gebruik van Suwinet-Inkijk. Specifieke rapportages geven inzicht in de rechtmatigheid van de Suwinet-Inkijk bevragingen en worden via het management door de BVC aangevraagd bij het BKWI. De BVC vraagt specifieke rapportages alleen op bij voldoende aanleiding. Het management houdt regelmatig (2x per jaar) steekproefsgewijze controle op de rechtmatigheid van de bevragingen. Wij hebben een memo aangetroffen 5 van 14 1 Suwinet-Inkijk IND 2017

6 2.3 Dienstenniveau beheer goedgekeurd. geheimhoudingsverklaring en een Verklaring Omtrent het Gedrag Natuurlijke geheimhoudingsverklaring uit 2017 is door ons aangetroffen. Personen (VOG NP) van nieuwe medewerkers. Een getekende De IND hanteert geheimhoudingsplicht en eist daartoe een getekende Naar aanleiding van de bevindingen uit het ADR onderzoek Suwinet-Inkijk IND 2016 heeft de IND verbeterafspraken vastgesteld welke door het IND-MT zijn lid van de directie Dienstverlenen. 6 van 14 Suwinet-Inkijk IND 2017 Topdesk en de wijze van rapporteren aan onder andere de BVC. Suwinet-Inkijk beveiligingsincidenten, de registratie hiervan in het incidentmanagementsysteem De IND hanteert een incidentmanagementproces voor het afhandelen van een onderbreking of vermindering van de kwaliteit van de dienstverlening van of gegevensuitwisseling ongestoord voortgang kan vinden. conform de afspraken in de Keten SLA Suwinet afgewikkeld zodat de voor Suwinet veroorzaken. Deze gebeurtenissen [incidenten of storingen] worden Norm: Het registreren, prioriteren en (doen) verhelpen van gebeurtenissen die 2.4 Incidentbeheer Keten SLA en bevat nadere afspraken en procedures met betrekking tot de ICT Keten DAP is door ons aangetroffen. beheer processen die van toepassing zijn op de dienstverlening door de (keten) partijen. Alleen de Keten SLA dient getekend te worden. De laatste versie van de Procedures (verder genoemd Keten DAP) is een nadere uitwerking van de GeVS Het Gezamenlijke elektronische Voorzieningen Suwi Keten Dossier Afspraken en DAP Rapportages door de IND worden ontvangen en beoordeeld. Wij hebben niet kunnen vaststellen of de door het BKWlverstrekte Service Level van de dienstverlening mogelijk zijn. Service Level Rapportage (SLR), opdat gerichte bewaking, sturing en verbetering afgesproken prestatienormen wordt maandelijks door BKWlgerapporteerd in een De Keten SLA gaat uit van resultaatverplichtingen. Over het nakomen van de vastgesteld dat de IND de SLA heeft ondertekend. openingstijden van systemen en oplostijden van incidenten. Wij hebben met de afspraken tussen de partijen die via de Gezamenlijke elektronische Jaarlijks wordt de GeVS Keten Service Level Agreement (Keten SLA) opgesteld Voorzieningen Suwi (GeVS) gegevens uitwisselen. In deze overeenkomst worden o.a. normen vastgesteld met betrekking tot beschikbaarheid, responstijden, SLA levering van gegevens en de doelbinding. schriftelijk zijn vastgelegd m.b.t. de levering van gegevensdiensten door UWV aan de IND. Deze overeenkomst gaat in op de wettelijke grondslag tav. de De IND heeft met het UVW een overeenkomst afgesloten waarin de afspraken Overeenkomst en het BKWI en tussen de Suwi-partijen met hun!ct leveranciers. overeengekomen niveaus van dienstverlening voor Suwinet tussen Suwi partijen Norm: Het inrichten en onderhouden van de gewenste en onderling Keteninformatie & Controle (K&C) over 2017 worden medegedeeld aan een MT waarin de gecombineerde resultaten van de twee controles van de afdeling

7 beveiligingsincidenten worden niet apart geclassificeerd maar vallen.onder het generieke incidentmanagementproces. De IND geeft aan dat er in 2017 geen Suwinet-Inkijk beveiligingsincidenten zijn gemeld. Incidenten met betrekking tot de beschikbaarheid van Suwinet-Inkijk komen wel voor maar worden niet gemeld vanwege de rol die de IND heeft als afnemer. De IND beschikt over een procedure voor het melden van vermissing of diefstal van ICT-apparatuur. 2.5 Logische toegangsbeveiliging Norm: Het inrichten en onderhouden van de bescherming van Suwinet en de Suwi-gegevens tegen ongeautoriseerde flogische] toegang en gebruik. In 2017 heeft de IND het beleid logische toegangsbeveiliging formeel vastgesteld. In dit document is expliciet beschreven dat de wetgeving rondom Suwinet daarin is opgenomen. Het team Gebruik Usermanagement is belast met het (gedelegeerd) gebruikersbeheer voor alle applicaties van de IND. Het aanmaken en intrekken van gebruikersrechten in Suwinet vindt plaats op basis van een opgestelde procedure. De registratie van het aanmaken en intrekken van gebruikers gebeurt in Topdesk. Suwinet-Inkijk accountaanvragen worden eerst door het management van de betreffende afdeling beoordeeld en goedgekeurd. Vervolgens wordt de aanvraag ter goedkeuring doorgezet naar andere functionarissen en wordt de autorisatie, indien akkoord verleend. Bij uitdiensttreding wordt het account van de medewerker ingetrokken. We hebben vastgesteld dat één beheerder met een actief beheeraccount ook toegang heeft tot de raadpleegautorisatie. De IND heeft hierop als reactie aangeven het account per direct te hebben ontkoppeld. Met betrekking tot de verleende toegangsrechten (autorisaties) hebben we vastgesteld dat de periodieke controle uitgevoerd is. Hiervoor wordt het overzicht gebruikt dat verstrekt wordt door het BKWI. We hebben vastgesteld dat er een uitvraag gedaan wordt inzake de verleende toegangsrechten bij alle dossierhouders. We hebben vastgesteld dat de gegevens uit Suwinet-Inkijk in INDIGO worden gebruikt voor de middelentoets door de beslissers in de vreemdelingenketen. Medewerkers voegen op verzoek van behandelaars informatie uit Suwinet-lnkijk toe en voegen ze toe aan het dossier in INDIGO. Alvorens men de gegevens in INDIGO plaatst worden ze tijdelijk, als POF bestand in een persoonlijke netwerkmap geplaatst. Wij hebben vastgesteld dat op het moment van waarneming er geen Suwinet gegevens ouder dan de dag van waarneming in de tijdelijke map stonden. 2.6 Fysieke beveiliging Norm: Het beschermen van alle componenten van de informatiehuishouding en de data tegen ongeautoriseerde [fysieke] toegang, diefstal, verlies verandering,verminking en oneigenlijk gebruik. De IND is gevestigd in Rijkskantoren, voor deze Rijkskantoren geldt dat de IND wat betreft de fysieke beveiliging afhankelijk is van een concerndienstverlener. We hebben vastgesteld dat er afspraken zijn gemaakt met de concerndienstverlener 7 van 14 1 Suwinet-Inkijk ND 2017

8 rijkskantoren wordt categorie 4 gedefinieerd als het standaard werkgebied. Het standaard werkgebied is het gedeelte van het gebouw waar de aanwezigheid van deze apphicatie ter verwerking aanbieden. De gebruikers van Suwinet-Inkijk vallen volgens mededeling binnen het NKBR (d. m. v. webservice technologie) in een apphicatie en de ontvangen gegevens via Norm: Het beveiligd onhine ophalen van Suwi-gegevens via XML-berichten 2.7 Suwinet-Inkijk waar rijksambtenaren toegang toe hebben. publiek en incidentele bezoekers tot een minimum beperkt moet worden, maar 2.0 onder het regime van Werkgebied Categorie 4. In het zoneringsmodel gehanteerd. 8 van 14 Suwinet-Inkijk IND 2017 ontkoppeld van SClOSlen SCIO52. De IND heeft hierop als reactie aangeven direct het gebruikersaccount te hebben door de IND één gebruiker gekoppeld. Deze rollen zijn door de IND niet te verklaren en het is onduidelijk hoe deze rollen zijn toegevoegd. en Beheer, ook de rollen SCIOSen SC1052 in gebruik zijn. Aan deze rollen is Wij hebben vastgesteld dat naast de in opzet beschreven rollen IN DOl, SCIOSO Beheer SCIOSO (DUO gegevens) lndol(standaard) autorisatie (rollen) beschreven: In de Werkinstructie Inkijk Suwinet Beheer IND heeft de IND de volgende gebruikers kunnen toewijzen. aangemaakt door BKWaarna de IND gebruikersbeheerders deze aan gebruikersadministratie; dit gebeurt centraal. Voor de IND worden rollen op maat Oftewel: BKWlautoriseert de IND die vervolgens zelf gebruikersbeheer uitvoert. gewijzigd of verwijderd. Daarnaast worden autorisatierollen beheerd binnen de Binnen de gebruikersadministratie kunnen gebruikers worden aangemaakt, De gebruikersadministratie is gebaseerd op gedelegeerd gebruikersbeheer. men toegang tot de Gebruikersadministratie. Door in te loggen met een gebruikersbeheerderaccount op Suwinet-Inkijk krijgt voor Suwinet-lnkijk, het portal lnburgering en de WIS-module onderhouden. In de Gebruikersadministratie worden de inlog accounts en autorisatieprofielen daarmee op gebruikersniveallproportionaliteit en doe/binding invult. beheer) geautoriseerde toegang tot de Suwinet-Inkijk gegevens borgt en Norm: Een appilcatie die op rollen gebaseerde (en evt. op basis van gedelegeerd 2.8 Toegangsbeveiliging programmatuur vertrouwelijkheid en integriteit gewaarborgd tussen de aanbieder BKWIen afnemer IND. Doordat de Suwinet-lnkijk gegevens zijn beveiligd tijdens transport is de waarborgt de authenticiteit van de aanbiedende organisatie BKWI. gebruikte server certificaat geldig is. Het gebruik van het server certificaat van het NCSC voldoende veilig bevonden. We hebben vastgesteld dat het gebruik gemaakt van een beveiligde verbinding en deze is conform de richtlijnen De IND maakt uitsluitend gebruik van de webapplicatie Suwinet-lnkijk. Er wordt kantoren wordt het Normenkader Beveiliging Rijkskantoren 2.0 (NKBR 2.0) over de fysieke beveiliging. Als norm voor de (fysieke) beveiliging van deze

9 3 Aanbevelingen enlof vervoigstappen 3.1 Verantwoording en normenkader Gemeenten volgen sinds 2017 de nieuwe verantwoordingssystematiek voor informatiebeveiliging, ENSIA met bijbehorend nieuw normenkader. Voor de IND als Suwinet-afnemer geldt dat zij in 2017 blijven werken volgens de Verantwoordingsrichtlijn Het BKWlspreekt de verwachting uit dat overige afnemers in 2018 volgens de nieuwe verantwoordingssystematiek kunnen werken. Aanbeveling: Zorg voor helderheid over de ingangsdatum van de nieuwe verantwoordingssystematiek voor de IND (Specifieke Suwinet-Normenkader voor Afnemers) zodat de juiste voorbereiding kan worden getroffen. 3.2 Beveiligingsbeleid en beveiligingsplan Wij hebben twee informatiebeveiligingsbeleidsdocumenten aangetroffen waarvan de geldigheidsdatum is verstreken (herziening per ). Van beide documenten is geen geactualiseerde versie aangetroffen. Aanbeveling: Beide beveiligingsbeleidsdocumenten dienen geactualiseerd te worden opdat ze weer in lijn komen met vigerende wet- en regelgeving. 3.3 Dienstenbeheer De Keten SLA gaat uit van resultaatverplichtingen. Over het nakomen van de afgesproken prestatienormen wordt maandelijks door BKWlgerapporteerd in een Service Level Rapportage (SLR), opdat gerichte bewaking, sturing en verbetering van de dienstverlening mogelijk zijn. Wij hebben niet kunnen vaststellen of de door BKWlverstrekte Service Level Rapportages door de IND worden ontvangen en beoordeeld. Aanbeveling: Laat de maandelijkse, door BKWlverstrekte service level rapportages, op het juiste niveau (voldoende mandaat) beoordelen opdat sturing op de dienstverlening, zoals het niet beschikbaar zijn van Suwinet-Inkijk mogelijk wordt. 3.4 Logische toegangsbeveliging We hebben vastgesteld dat één beheerder met een actief beheeraccount ook toegang heeft tot de raadpleegautorisatie. Aanbeveling: Neem tijdens de periodieke controle op de autorisaties ook de beheeraccounts mee en communiceer dit met het hoofd van het team Gebruik Usermanagement. 3.5 Toegangs beveiliging programmatuur Wij hebben vastgesteld dat naast de in opzet beschreven rollen INDO1, SCIOSO en Beheer, ook de rollen SCIO51 en SC1052 in gebruik zijn. Aan deze rollen is één gebruiker gekoppeld. Deze rollen zijn door de IND niet te verklaren en het is onduidelijk hoe deze rollen zijn toegevoegd. Aanbeveling: Maak inzichtelijk wie verantwoordelijk is om dergelijke specifieke rollen bij het BKWlaan te vragen en zorg dat de inhoud van de rollen overeenkomt met de gewenste functionaliteit. 9 van 14 1 Suwinet-Inkijk IND 2017

10 Suwinet-Inkijk is voor overheidsorganisaties die, voor het uitvoeren van hun wettelijke taken, gegevens van burgers en bedrijven nodig hebben die bij diverse andere overheidsorganisaties of basisregistraties zijn opgeslagen, Suwinet-lnkijk aangesloten op Suwinet en stelt deze beschikbaar (als raadpleeg functie) in een rechtstreeks vanuit hun systemen. beveiligde webtoepassing. De overheidsadministraties leveren de gegevens maakt gebruik van geregistreerde gegevens van organisaties die zijn 4.1 Doelstelling 10 van 14 1 Suwinet-Inkijk NO 2017 a Toegangsbeveiliging programmatuur Toepassingen Suwinet-lnkijk Logische toegangsbeveiliging Fysieke beveiliging Incidentbeheer Beheerprocessen Dienstenniveau beheer Overige organisatorische aspecten Organisatie Beveiligingsbeleid en beveiligingsplan Thema/onderwerp Normen beschreven waarmee de organisatorische- en CT beheerprocedures beoordeeld worden. toetsingskader. In de Verantwoordingsrichtlijn zijn per thema/onderwerp normen Voor het onderzoek wordt de Verantwoordingsrichtlijn gebruikt als het waarnemingen ter plaatse uitgevoerd. dossieronderzoek uitgevoerd, zijn interviews gehouden en heeft de ADR Voor dit onderzoek is gedurende de periode februari t/m maart Werkzaamheden, periode van uitvoering Verantwoordingsrichtijjn wordt voldaan? omtrent de Suwinet gegevensverwerking om te waarborgen dat in 2017 aan de Welke beveiligingsmaatregelen heeft de IND in opzet en bestaan getroffen onderzoeksvraag: De geformuleerde doelstelling resulteert in de volgende centrale geen zekerheid (zie 4.4). is de standaard voor het afleggen van verantwoording over de beveiliging van wordt dan ook verwacht dat zij ten aanzien van de informatiebeveiliging ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid wordt Suwinet. De Verantwoordingsrichtlijn bevat het normenkader met de normen aangesloten organisatie te zorgen dat de betrouwbaarheid van deze gegevens aantoonbaar in-control zijn. De IND voorziet daarin door jaarlijks een rapportage waaraan de beveiliging moet voldoen. Deze ADR rapportage kan door de IND gebruikt worden ter onderbouwing van de rapportage aan het BKWlen verschaft Gezien de aard van de uitgewisselde informatie (persoonsgegevens), dient elke geborgd. Dit stelt eisen aan de informatiebeveiliging. Van deze organisaties te verstrekken aan het BKWlconform de Verantwoordingsrichtlijn. Deze richtlijn 4 Verantwoording onderzoek

11 De bevindingen uit ons onderzoek zijn in het kader van hoor/wederhoor op 15 maart 2018 voorgelegd aan de IND. Wij hebben de reactie van de IND in het rapport verwerkt. 4.3 Object van onderzoek, afbakening Het object van onderzoek is het door de IND gehanteerde stelsel van procedures en beheersmaatregelen omtrent de Suwinet gegevensverwerking. Tevens is gekeken naar het gebruik van Suwinet alsook naar het gebruik van de Suwinet gegevens in de eigen primaire systemen van de IND. De te hanteren toetsingsnormen per thema/onderwerp zijn gelieerd aan de in gebruikzijnde Suwinet voorziening. Voor de IND betreft dit de Suwinet-Inkijk voorziening. Er is geen onderzoek gedaan naar: - de kwaliteit van de gegevens van Suwinet; de maatregelen van beveiliging rondom het gebruik van INDIGO; werking van de maatregelen; de effectiviteit van de maatregelen rondom het gebruik van Suwinet. De normen uit de verantwoordingsrichtlijn die niet onder de verantwoordelijkheid van de IND vallen zijn buiten de scope van dit onderzoek gehouden. 4.4 Gehanteerde Standaard Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing. In dit rapport wordt geen zekerheid verschaft, omdat er geen assurance opdracht is uitgevoerd. 4.5 Kwaliteitsborging De opdracht is uitgevoerd conform de bij de ADR geldende kwaliteitsrichtlijnen. Het voor dit onderzoek aangelegde dossier is conform deze richtlijnen ingericht en blijft eigendom van de ADR. De interne Opdrachtgerichte Kwaliteitsbeoordeling (OKB) waarborgt de kwaliteit van de producten. Deze wordt uitgevoerd door een onafhankelijke kwaliteitsbeoordelaar van de ADR, welke niet betrokken is geweest bij de uitvoering van het onderzoek. 4.6 Verspreiding rapport De opdrachtgever, mw. mr. A. van Berekei MBA, is eigenaar van dit rapport. De opdrachtgever is verantwoordelijk voor de verdere verspreiding van het rapport. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. 11 van 14 1 Suwinet-Inkijk IND 2017

12 5 Ondertekening Den Haag, 12 april 2018 W.G Projectleider Auditdienst Rijk 12 van 14 1 Suwinet-Inkijk IND 2017

13 Bijlage (1) Afbakening van het normenkader Het SUWinormenkader bestaat uit 20 aandachtsgebieden die elk weer zijn onderverdeeld in diverse normen. De ADR heeft in het intakegesprek op 23 januari 2018 de selectie van deze aandachtsgebieden en normen besproken en is de relevantie voor de IND overeengekomen. Een aantal aandachtsgebieden en normen bleken op voorhand niet van toepassing op de IND. Deze worden daarom niet onderzocht. In onderstaande tabel is aangegeven welke aandachtsgebieden op dit moment wel en welke niet van toepassing zijn voor de IND. Aandachtsgebied Wel van toepassing voor de IND Niet van toepassing voor de IND Organisatie Beveliigingsbeieid en bevelllgngsplan Organisatorische aspecten Architectuur 1 Standaarden Beheerprocessen Dienstenniveau Beheer Incidentbeheer Logische toegangsbeveiliging Fysieke beveiliging Capaciteitsbeheer Continuïteitsbeheer Configuratiebeheer Probleembeheer Wijzigingbeheer Testen Netwerkbeheer Toepassingen Suwinet-Inkijk Toegangsbeveiliging programmatuur (binnen de Invloedssfeer van IND) Suwinet-Inlezen (wordt thans niet door de IND gebruikt) Suwlnet-Meldingen (wordt thans niet door de IND gebruikt) Suwlnet-Mail (wordt thans niet door de IND gebruikt) Techniek Server Netwerk Koppelingen 1 koppelpunten 13 van 14 Suwinet-Inkljk IND 2017

14 Auditdienst Rijk Postbus EE Den Haag (070)