1 Inleiding. De volgende e-businessprofielen worden onderscheiden:

Transcriptie

1 Voorwoord Voor u ligt de handleiding ZekeRE-business. Deze handleiding is bestemd voor de IT-auditor die in opdracht van een cliënt de beheersmaatregelen met betrekking tot elektronisch zakendoen door cliënt beoordeelt en aanbevelingen doet ter verbetering van die beheersing, met als mogelijke doelstelling voor cliënt het certificaat ZekeRE-business te verkrijgen. Tevens dient deze handleiding ter informatie voor de cliënt van IT-auditor, zodat hij of zij meer inzicht krijgt in de procedure die IT-auditor volgt ter beoordeling van het e- businessproces. In deze handleiding ligt het accent op Internet. Echter, ook andere vormen van elektronische communicatie, zoals EDI (Electronic Data Interchange) kunnen conform deze handleiding worden beoordeeld. In deze handleiding wordt de 3 e persoon enkelvoud als hij aangeduid. In alle gevallen wordt zowel de mannelijke als vrouwelijke vorm bedoeld. 1

2 2

3 Inhoudsopgave 1 Inleiding Algemeen Initiatief en doel van het product E-businessprofielen Onderdelen ZekeRE-business Reikwijdtebeperking van het product Handreiking IT-auditor Gedrags- en beroepsregels 6 2 Perceptie opdrachtgevende instantie 7 3 Vaststellen e-b2b-profiel 7 4 Scope ZekeRE-business Inleiding Strekking ZekeRE-business Onderzoek De scope nader beschouwd Hyperlinks Meerdere websites e-b2b Grensbepaling scope 9 5 Objecten en kwaliteitsaspecten Objecten Kwaliteitsaspecten 10 6 De ZekeRE-business-audit Het intakegesprek De gesprekspunten Voorlopige beëindiging relatie ZekeRE-business Afstemmen van het e-b2b-profiel Uitvoering van de audit passend bij het e-b2b-profiel offerte Het uitvoeren van een audit passend bij het gevonden profiel Rapportages 13 7 Het afgeven van het ZekeRE-business-certificaat 15 8 Het herhaald onderzoek 15 Bijlage A: Doelstellingenmatrix (objecten en normen) Bijlage B: Relatie tussen de normen ZekeRE Business en de beveiligings-doelstellingen van de (nieuwe) Code voor Informatiebeveiliging: 2000 Bijlage C: Beheerprocessen Bijlage D: Conceptuele architectuur van een ZekeRE-business-b2b-toepassing Bijlage E: ZekeRE-business-mededeling afgegeven door een gekwalificeerde EDP-auditor (RE) 3

4 4

5 1 Inleiding 1.1 Algemeen Zaken doen via het Internet is niet meer weg te denken uit onze samenleving: het aantal toepassingen is legio, met een hoge mate van diversiteit. Het karakter en het gebruik van Internet bieden veel mogelijkheden die inbreuk kunnen doen op de voor het zaken doen gewenste mate van vertrouwen in de veilige wijze van elektronisch communiceren. Vertrouwen alleen is nimmer voldoende. Vertrouwen dient te worden verdiend en door waarborgen te worden omgeven om dit vertrouwen te kunnen handhaven. Het gebruik van Internet verandert daar niets aan. De middelen om te komen tot de vereiste waarborgen zullen veranderen en moeten worden aangepast aan het gebruik van Internet. ZekeRE-business is ontwikkeld om deze waarborgen te kunnen bieden. 1.2 Initiatief en doel van het product ZekeRE-business is ontwikkeld op initiatief van NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland. RE, in NOREA en in ZekeRE-business, staat voor Register EDP-auditors. Het product is tot stand gekomen in samenwerking met toonaangevende bedrijven en organisaties op het gebied van IT-auditing. Het product ZekeRE-business heeft als doel om de gekwalificeerde IT-auditor en diens opdrachtgever een handvat te geven om in een aantal stappen na te gaan of en in welke mate het zaken doen via Internet als veilig kan worden beschouwd respectievelijk kan worden gemaakt. Indien de opdrachtgevende organisatie (cliënt) dat wil, kan onder voorwaarden een certificaat worden afgegeven. Dit certificaat is openbaar en wordt door NOREA geregistreerd. De geldigheidsduur van dit certificaat is zes maanden. Organisaties en de stand van techniek zijn aan continue verandering onderhevig. Dit maakt het noodzakelijk iedere zes maanden het onderzoek in het kader van ZekeRE-business te actualiseren. 1.3 E-businessprofielen Met de indeling en onderverdeling in e-businessprofielen wordt beoogd een kader te scheppen voor de beoordeling van de specifieke risico s en het vereiste veiligheidsniveau dat is afgestemd op de aard van de onderneming van de opdrachtgever. De volgende e-businessprofielen worden onderscheiden: Aanvullend: E-business is een aanvulling op of uitbreiding van de normale bedrijfsactiviteiten. Beveiliging en inperking van risico s zijn impliciet wettelijk vereist. Opdrachtgevende organisatie treedt op als goed huisvader; Belangrijk: E-business is voor de onderneming van strategisch belang. Het beveiligingsniveau zal dan ook aan strengere eisen dienen te voldoen; Essentieel: E-business van de organisatie heeft maatschappelijke impact. Schending van de beveiliging heeft dan ook maatschappelijke gevolgen. Goed huisvaderschap geeft de ondergrens aan van de zorgvuldigheidsnorm: er kan pas sprake zijn van goed huisvaderschap als aan de wettelijke eisen is voldaan. Deze ondergrens kan ook (negatief) worden geformuleerd. Zolang dit niveau niet is bereikt, bestaat de situatie van onzorgvuldigheid. Dit is een situatie waarbij sprake is van toerekenbare tekortkomingen. Op dit moment (en dat zal voorlopig ook wel zo blijven) bestaan er nauwelijks organisaties waarbij het falen van haar e-businessactiviteiten maatschappelijke impact heeft. De reden hiervoor is dat er voor maatschappelijk belangrijke producten/diensten altijd alternatieven beschikbaar zijn, enerzijds (in veel gevallen) binnen de organisatie en anderzijds bij de concurrentie of branchegenoten. Hierdoor blijven er voor de uitwerking en beoordeling slechts twee e-businessprofielen over, te weten aanvullend (het minimum) en belangrijk. 5

6 1.4 Onderdelen ZekeRE-business Het product ZekeRE-business is opgebouwd uit de volgende onderdelen: 1. een intakegesprek op basis waarvan het e- businessprofiel wordt vastgesteld; 2. de bepaling van de e-business scope voor de organisatie; 3. het vaststellen van de normenset gebaseerd op de ZekeRE-business doelstellingenmatrix, rekening houdend met het vastgestelde e-businessprofiel; 4. het uitvoeren van een audit passend bij het vastgestelde profiel; 5. het uitbrengen van een afsluitende rapportage; 6. het desgewenst afgeven en registreren van een certificaat passend bij het e-businessprofiel. Beroepsregels Register EDP-auditors (GBRE) zoals gepubliceerd in het NOREA-jaarboek en aan de richtlijnen die krachtens het GBRE eveneens gepubliceerd zijn in het NOREA-jaarboek. In dit document worden deze onderdelen van ZekeREbusiness beschreven. 1.5 Reikwijdtebeperking van het product ZekeRE-business richt zich primair op het marktsegment business-to-business e-commerce, oftewel elektronische handel tussen bedrijven, hierna verder aangeduid als e- b2b. Bij de beoordeling van e-b2b-dienstverlening door banken en verzekeringsmaatschappijen zal de IT-auditor nadrukkelijk rekening moeten houden met de specifieke eisen die in dat verband door toezichthoudende instanties worden gesteld. Eventuele certificering kan uitsluitend plaatsvinden nadat relevante regelingen en richtlijnen op naleving zijn getoetst. 1.6 Handreiking IT-auditor NOREA stelt aan de IT-auditor, die een onderdeel van ZekeRE-business uitvoert, naast de inhoud van dit rapport op haar website materiaal beschikbaar dat vrij gebruikt kan worden. De registratie van een certificaat is aan stringente spelregels onderworpen. 1.7 Gedrags- en beroepsregels Bij het uitvoeren van een opdracht die gerekend kan worden tot het terrein van ZekeRE-business (zie hierna), is de IT-auditor gehouden aan het reglement Gedrags- en 6

7 2 Perceptie opdrachtgevende instantie ZekeRE-business beoogt een antwoord te zijn op de behoefte van managers aan steun en zekerheid bij het gebruik van de elektronische snelweg, bijvoorbeeld voor het afhandelen van bedrijfsprocessen en contacten met zakelijke relaties (e-business). In alle opzichten is het World Wide Web een afspiegeling van de werkelijkheid. Door het wegvallen van grenzen in afstand en tijd is de creativiteit, maar ook de criminaliteit onbegrensd. Uit tal van voorbeelden is dan ook gebleken dat er naast voordelen ook risico s zijn verbonden aan het zaken doen via de elektronische snelweg. De risico s van de virtuele wereld zijn heel reëel. Naast het benutten van de mogelijkheden dienen er dammen te worden opgeworpen tegen de bedreigingen. Een opdrachtgever dient over de mogelijkheden en gevaren geïnformeerd te worden. ZekeRE-business is daarbij een hulpmiddel. 3 Vaststellen e-b2b-profiel De kans dat risico s en bedreigingen ten gevolge van e- b2b zich voordoen verschilt per organisatie. De gevolgen van risico s en bedreigingen die zich manifesteren verschillen eveneens en zijn mede afhankelijk van de aard van een onderneming. Maatregelen dienen op deze bedreigingen te worden afgestemd waarbij het risico mede bepalend is voor de omvang van de kosten van te treffen maatregelen. Bij het vaststellen van de maatregelen dient rekening te worden gehouden met het zogenaamde e-b2b-profiel. Om het e-b2b-profiel van een organisatie te kunnen vaststellen zal de IT-auditor samen met de klant moeten vaststellen of de e-b2b-activiteiten van strategisch belang zijn voor de klant. Hierbij moet antwoord worden gegeven op vragen als: Wat is de reden van de klant om e-b2b-activiteiten te ontplooien (klanten, concurrenten, nieuwe kansen, marketing, trends, strategische samenwerkingen, etc.)? Welke voordelen verwacht het management van e-b2bactiviteiten? In welke mate is de klant afhankelijk van Internet voor de uitvoering van haar primaire bedrijfsprocessen? Wat is de focus van de e-b2b-activiteiten (ISP, ASP, content provider, community, etc.)? Wat is de huidige status van de e-b2b-activiteiten (actief, in ontwikkeling, in overweging)? Wat zijn de operationele eisen die de klant aan de e- b2b-activiteiten stelt (zoals beschikbaarheid en vertrouwelijkheid)? Wat zijn de belangrijkste bedreigingen van het succes van de e-b2b-activiteiten? In veel gevallen is het niet mogelijk om een eenduidig antwoord te geven op de vraag of e-b2b voor een organisatie van strategisch belang is. Door het beantwoorden van vragen, zoals hierboven geformuleerd, wordt wel een gevoel gecreëerd en kan op basis daarvan een inschatting plaatsvinden: is e-b2b van strategisch belang, dan is de classificatie belangrijk van toepassing, in alle andere gevallen is dit de classificatie aanvullend. 7

8 4 Scope ZekeRE-business 4.1 Inleiding ZekeRE-business richt zich op het elektronisch zaken doen tussen bedrijven. Maar daarmee zijn de grenzen van ZekeRE-business nog niet aangegeven. Deze grenzen worden in dit hoofdstuk uitgewerkt. 4.2 Strekking ZekeRE-business De IT-auditor verschaft aan de opdrachtgever vertrouwen en zekerheid dat hij de in het kader van ZekeRE-business van belang zijnde zaken adequaat heeft georganiseerd. Daardoor kan de blijvend betrouwbare werking van enerzijds de e-business en anderzijds van de getroffen maatregelen worden gegarandeerd. De toereikendheid van die maatregelen wordt door de IT-auditor in het kader van ZekeRE-business beoordeeld. De van belang zijnde zaken kunnen bestaan uit mensen en middelen die een meer dan marginale invloed hebben op de betrouwbare werking van de e-b2b. In geval delen van de e-b2b-activiteiten zijn uitbesteed aan derde organisaties, behoren ook de mensen en middelen van desbetreffende organisatie tot de scope van ZekeRE-business. De scope van ZekeRE-business bestaat uit alle activiteiten die worden uitgevoerd in het kader van e-b2b, alsmede alle maatregelen die zijn getroffen om het gewenste kwaliteitsniveau te kunnen (blijven) handhaven. De scope wordt dus niet beperkt tot de organisatie van de opdrachtgever. 4.3 Onderzoek Het door de IT-auditor uit te voeren onderzoek heeft betrekking op de e-b2b-processen van opdrachtgevende instantie (cliënt) en de daarbij behorende informatievoorziening. Indien de opdrachtgever gebruik maakt van een externe Internet Service Provider (ISP), dan is een actueel en onafhankelijk oordeel over de opzet, bestaan en de werking van het relevante deel van de organisatie van de ISP noodzakelijk. 4.4 De scope nader beschouwd Wordt de scope van e-b2b nader geanalyseerd, dan zijn de volgende processen te onderkennen: De wijze waarop (contractuele) afspraken worden gemaakt met de e-b2b-handelspartners en de daarbij afgegeven garanties; Het ontwerpen, onderhouden en beheren van de inhoud van databases met gegevens inzake de te leveren producten of diensten inclusief de bijbehorende webpagina s; Het opzetten, onderhouden en beheren van databases met transactiegegevens, waarbij het kan gaan om zowel logistieke als financiële gegevens van de klanten van opdrachtgevende instantie; Het opzetten, onderhouden en beheren van de hardware en software die de databases met productgegevens en transactiegegevens in stand houden; Het opzetten, onderhouden en beheren van de conventionele middelen die de e-b2b ondersteunen; Het tijdig en met de juiste kwalitatieve en kwantitatieve capaciteiten aanwezig zijn van mensen en (IT-)middelen die nodig zijn om e-b2b op het gewenste niveau te krijgen en te houden; Het sluiten, onderhouden en beheren van contracten inzake diensten en producten die in het kader van e- b2b moeten worden ingezet en waarvan aantoonbare afhankelijkheden bestaan. Kijken we naar e-b2b binnen het verkoopproces (de te leveren producten en diensten), dan worden bijvoorbeeld de volgende activiteiten onderscheiden: Het ontvangen van een bestelling inzake een aan te schaffen product of af te nemen dienst; Het versturen van een bevestiging inzake de bestelling; Het fysiek uitleveren van hetgeen is besteld conform de afgesproken voorwaarden; Het opmaken en versturen van facturen inzake de geleverde producten of de afgenomen diensten; De ontvangst van de aan de verkoop verbonden revenuen. 8

9 De hiervoor onderkende activiteiten zijn op een zodanige wijze georganiseerd, dat door het samenspel van mensen en (IT-)middelen, het beoogde doel van het bedrijven van e-b2b op de meest betrouwbare wijze wordt gerealiseerd. 4.5 Hyperlinks Hyperlinks naar websites van andere organisaties worden door de IT-auditor geïnventariseerd en waar nodig bij de oordeelsvorming betrokken. 4.6 Meerdere websites e-b2b Indien een opdrachtgevende instantie beschikt over meerdere websites waar e-b2b wordt uitgevoerd, dan dienen aanvullende afspraken te worden vastgelegd over de reikwijdte van de oordeelsvorming. 4.7 Grensbepaling scope Per opdracht dienen de grenzen van de scope exact te worden bepaald en beschreven. Er mag immers geen enkel misverstand bestaan over hetgeen wel of niet tot de scope behoort. Ook het definiëren van interfaces tussen Internet en de bestaande (traditionele) organisatie is daarbij van groot belang. De volgende onderwerpen dienen in de grensbepaling te worden betrokken, waarbij indicaties zijn gegeven over hetgeen wel of niet tot de scope kan of moet worden gerekend. de infrastructuur en de inhoud van de database met gegevens over de te verkopen producten of de te leveren diensten zal over het algemeen geheel tot de scope van ZekeRE-business moeten worden gerekend. Nagegaan dient te worden of alle gegevens ontstaan binnen de jurisdictie van cliënt (de opdrachtgevende instantie) en op welke wijze en in welke mate de betrouwbaarheid van die gegevens wordt vastgesteld. Van de gegevens die van elders worden betrokken dient vast te staan dat de betrouwbaarheid overeenkomt met de verwachting van cliënt. Tot de scope worden niet gerekend: de infrastructuur vanaf de ISP van de verkoper naar de e-b2b-partner(s); het daadwerkelijke logistieke transport van goederen. Tot de scope wordt gerekend: de Internetkoppeling en indien aanwezig de webpagina s; de bescherming van gegevens (opslag en transport van data). Deze data kunnen in daarvoor in aanmerking komende gevallen worden beschermd met encryptie, controlegetallen en andere vormen om het transport van gegevens controleerbaar en/of beschermd te laten verlopen; de aantekeningen in de administratie van de opdrachtgevende instantie van de verkoop van producten, het leveren van diensten alsmede de vastlegging van ontvangsten behoort tot de scope van ZekeRE-business; 9

10 5 Objecten en kwaliteitsaspecten 5.1 Objecten Binnen e-b2b worden de volgende objecten van onderzoek onderscheiden: 1. Beleid e-security strategie organisatie. 2. (Internationale) Wet- en regelgeving ( e-legal ). 3. Contractvoorwaarden. 4. Interne Invloeden: 1 Aanschaf of ontwikkeling; 2 Interne hosting of uitbesteding Infrastructuur; 3 Systeem ontwikkelmethodiek; 4 Systeem ontwikkelstandaarden. 5. Transacties: 1 On line transacties; 2 Berichtenverkeer; 3 Back-office/logisitiek 6. Infrastructuur/architectuur: 1 Algemene normen voor de infrastructuur; 2 Businesspartner infrastructuur; 3 Datacommunicatienetwerk en controlezone; 4 Externe communicatiezone; 5 Applicatieserverzone; 6 Dataserverzone. 7. Beheerorganisatie ICT: 1 Content beheer; 2 Dienstenniveaubeheer; 3 Capaciteitsbeheer; 4 Calamiteitenbeheersing; 5 Beschikbaarheidbeheer; 6 Beveiligingsbeheer; 7 Financieel beheer; 8 Configuratiebeheer; 9 Incidentbeheer; 10Probleembeheer; 11Wijzigingsbeheer. 8. Beheerorganisatie niet-ict: 1 Beheer virtuele logistieke organisatie; 2 Beheer virtuele financiële organisatie. De kwaliteitscriteria worden toegepast bij de beoordeling van een samenstel van objecten die voor de specifieke aard van de organisatie als kenmerkend kunnen worden aangemerkt. 5.2 Kwaliteitsaspecten Per object van onderzoek binnen ZekeRE-business wordt over elk van toepassing zijnd kwaliteitscriterium een oordeel gevormd. Binnen de context van de NOREA normen en standaarden worden de gehanteerde kwaliteitsaspecten als volgt gedefinieerd: Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen; Integriteit: de mate waarin het object (gegevens en informatie-, technische en processystemen) in overeenstemming is met de afgebeelde werkelijkheid; Continuïteit: de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. De criteria Authenticiteit en Onweerlegbaarheid maken deel uit van het kwaliteitscriterium Integriteit. Aangezien het specifieke criteria zijn voor het beoordelen van e-b2b worden ze afzonderlijk getoond. Authenticiteit: de echtheid van de bron van gegevens zoals deze door de wederpartij worden ontvangen. Van belang voor de inhoud van de berichten zelf als voor de berichtenstroom. Onweerlegbaarheid : de ontvanger kan het bericht van de ontvangst niet ontkennen, de verzender kan het bericht van de verzending niet ontkennen. Opgemerkt wordt, dat in de literatuur de kwaliteitsaspecten continuïteit, exclusiviteit en integriteit ook wel worden aangetroffen onder de noemer 10

11 beveiliging. Dit begrip heeft qua reikwijdte echter veelal betrekking op de meer fysieke aspecten die met ICT te maken hebben. De in de literatuur gehanteerde begrippen betrouwbaarheid en continuïteit zijn de samenvoeging van de in de NOREA-definitiestructuur gehanteerde begrippen beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid. 11

12 6 De ZekeRE-business-audit Wanneer een organisatie bij het realiseren van haar doelen gebruik maakt van e-b2b of daartoe wil overgaan, is het zinvol een beroep te doen op de kennis, kunde en ervaring van een daartoe gespecialiseerde IT-auditor. Voordat een IT-auditor een offerte uitbrengt voor het uitvoeren van een onderzoek op basis van de ZekeREbusiness-criteria, moet de auditor zich een beeld vormen van de organisatie van de opdrachtgever. Het vaststellen van het e-b2b-profiel is nodig om in een audit te kunnen vaststellen of de getroffen maatregelen toereikend zijn om aan de doelstellingen behorend bij ZekeRE-business te voldoen en welk verbeteringstraject er eventueel moet worden ingezet. De bedoelde beeldvorming vindt in dit onderdeel van het product ZekeRE-business plaats. 6.1 Het intakegesprek Een intakegesprek in het kader van e-b2b wijkt niet af van enig ander gesprek dat een IT-auditor aan het begin van een opdracht met een opdrachtgever heeft. De invalshoek is specifiek en de vervolgstappen hebben een eigen karakter. Inhoud en vorm van het gesprek zijn niet aan specifieke regels gebonden. Het gesprek moet de opdrachtgever duidelijk maken wat ZekeRE-business inhoudt en voldoende informatie opleveren om het e-businessprofiel te kunnen vaststellen. Tenslotte dient de opdrachtgever een globale indruk te krijgen van de maatregelen die zouden moeten zijn (of worden) getroffen om aan de doelstellingen van ZekeRE-business te voldoen De gesprekspunten De volgende punten kunnen in een intakegesprek aan de orde komen. Niet alle punten behoeven te worden besproken, bovendien kan de diepgang variëren. Het gaat er immers om het vergaren van voldoende informatie om tot een offerte te kunnen komen voor het uitvoeren van een (deel-)onderzoek in het kader van ZekeRE-business. E-b2b profielschets Onderwerpen die een indruk geven van het karakter van de organisatie; Onderwerpen die een indruk geven van de succesfactoren respectievelijk de te behalen doelen met e-b2b; Onderwerpen die uitspraken doen over de verwachtingen van het zaken doen via Internet en een eventueel voor ogen staand groeipad. Normenset en onderzoek Onderwerpen die een indicatie van de risico s en bedreigingen, verbonden aan de e-b2b geven; Onderwerpen die een eerste indruk van de vereiste mate van betrouwbaarheid en continuïteit geven die men met het zaken doen via Internet wenst na te streven; Onderwerpen die een globaal inzicht geven in de wijze waarop de e-b2b is georganiseerd. Certificering en planning Onderwerpen met betrekking tot de noodzaak en het doel van certificering; Verkrijgen van het ZekeRE-business-certificaat; De gewenste planning; De herhalingsonderzoeken Voorlopige beëindiging relatie ZekeRE-business Indien de uitkomsten van het kennismakingsgesprek laten zien, dat de organisatie voorlopig nog niet klaar is voor de vervolgstappen zoals die in ZekeRE-business zijn opgenomen, kan de relatie, wat dit onderwerp betreft, voorlopig worden beëindigd. Op het moment dat de organisatie wel met een redelijke mate van zekerheid door de verdere stappen van ZekeRE-business komt, kan de relatie worden voortgezet. Uiteraard kan de IT-auditor met cliënt een traject afspreken dat leidt tot het met succes kunnen uitvoeren van een onderzoek. Het afgeven van een certificaat behoort hierbij tot de mogelijke doelstellingen. De gesprekspunten zijn in de volgende categorieën onder te brengen: 12

13 6.1.3 Afstemmen van het e-b2b-profiel In vele gevallen zal tijdens het kennismakingsgesprek een inschatting van het e-b2b-profiel kunnen worden gemaakt. De gevolgen van risico s en bedreigingen in het kader van e-b2b zijn per organisatie verschillend en onder meer afhankelijk van de aard van een onderneming. Dit betekent dat maatregelen op deze bedreigingen dienen te worden afgestemd. Uiteraard is de aard van het risico en de kans dat deze optreedt bepalend voor de omvang van de kosten van te treffen maatregelen. Bij het vaststellen van deze maatregelen dient om deze reden rekening te worden gehouden met het zogenaamde e-b2b-profiel. Wanneer uit het kennismakingsgesprek de indruk wordt gekregen dat het uitvoeren van een onderzoek naar ZekeRE-business zinvol is, dan zal een conceptofferte worden uitgebracht waarin de scope van het onderzoek wordt aangegeven. Daarnaast zal aan de opdrachtgever worden gevraagd om (een) beleidsdocument(en), waarin het organisatiebeleid inzake de onderscheiden objecten of aandachtsgebieden is vastgelegd. De IT-auditor zal zijn oordeelsvorming mede baseren op het door de opdrachtgever vastgestelde beleid. De volgende aandachtspunten kunnen in deze fase worden afgewikkeld: Het opstellen van een conceptofferte aan de hand van de uitkomsten van het kennismakingsgesprek en de door de klant gegeven indicaties waarmee, bij het uitvoeren van het onderzoek rekening moet worden gehouden (voor zover deze passen in de context van deze productbeschrijving); Het definitief vaststellen van het e-b2b-profiel; Het inventariseren van de relevante beleidsdocumenten; Het uitvoeren van de ter zake gegeven instructies door de eigen organisatie en het verkrijgen van de vereiste instemmingen; Het doorspreken van de conceptofferte met de klant; Het zonodig aanpassen van de conceptofferte op de in het vorige punt naar voren gekomen zaken; Het uitbrengen van de definitieve offerte. 6.2 Uitvoering van de audit passend bij het e-b2bprofiel Na afronding van het onderzoek naar het e-b2b-profiel, kan worden overgegaan tot het uitbrengen van een offerte voor het vaststellen van de normenset behorend bij de doelstellingenmatrix van ZekeRE-business en het uitvoeren van een audit passend bij het gevonden profiel offerte De uit te brengen offerte heeft betrekking op het opstellen van de normenset en het uitvoeren van een audit Het uitvoeren van een audit passend bij het gevonden profiel Nadat het e-b2b-profiel is vastgesteld en de bijbehorende scope is gedefinieerd kan de audit worden uitgevoerd. De opdrachtgever wordt gevraagd om toelichting of documentatie van het organisatiebeleid inzake de onderscheiden objecten of aandachtsgebieden en een beschrijving van de getroffen maatregelen gericht op de kwaliteitsaspecten van e-b2b. De IT-auditor stelt de doelstellingen c.q. normen vast waaraan de e-b2b organisatie moet voldoen. Voor een duidelijk inzicht in de doelstellingen behorend bij ZekeRE-business is een indeling gemaakt die aansluit bij de objecten die binnen de scope van e-b2b kunnen worden aangetroffen. Per object zijn doelstellingen gedefinieerd en gerubriceerd naar kwaliteitscriterium. De wijze waarop deze doelstellingen kunnen worden gerealiseerd zijn zeer divers. Bij de realisatie zijn mensen en (technische) middelen betrokken die aan continue verandering onderhevig zijn. De IT-auditor bepaalt op basis van professional judgement of het samenstel van getroffen maatregelen voldoende is voor het bereiken van elk van deze doelstellingen. 6.3 Rapportages Inzake de bevindingen over de uitvoering van een opdracht in het kader van ZekeRE-business doet de ITauditor rechtstreeks verslag aan cliënt. 13

14 Op de volgende momenten rapporteert de IT-auditor aan cliënt: ter bevestiging van het intakegesprek alsmede het vaststellen van het e-b2b-profiel; ter afsluiting van het uitvoeren van een audit naar de geïmplementeerde maatregelen op basis van het vastgestelde profiel. Deze rapportage bevat eveneens het oordeel en de normen waarop het oordeel is gebaseerd. Wanneer tot een opdracht wordt besloten met als resultaat een certificaat, dient (minimaal) elke zes maanden het onderzoek te worden geactualiseerd en wordt op basis van een nieuwe verklaring de geldigheid van het certificaat verlengd. 14

15 7 Het afgeven van het ZekeRE-businesscertificaat Dit certificaat is openbaar en wordt door NOREA geregistreerd. De geldigheidsduur van dit certificaat is beperkt tot zes maanden. De echtheid van het ZekeRE-business certificaat kan door iedere gebruiker worden vastgesteld door navraag te doen bij de NOREA. Indien het certificaat op een website staat afgebeeld is het mogelijk, door op het certificaat te klikken, te worden doorgelinkt naar de website van de NOREA waar de echtheid wordt bevestigd. Bij ieder certificaat worden ook de doelstellingen van ZekeRE-business getoond teneinde de gebruiker een beeld te geven van de reikwijdte. 8 Het herhaald onderzoek De geldigheidsduur van het ZekeRE-business-certificaat is 6 maanden. Organisaties en de stand van techniek zijn immers aan continue verandering onderhevig. Dit maakt het noodzakelijk iedere zes maanden de getroffen maatregelen in het kader van ZekeRE-business opnieuw te beoordelen en de rapportage te actualiseren. Registratie van het certificaat wordt uitgevoerd op basis van de ZekeRE-business-verklaring zoals deze door een gekwalificeerde IT-auditor wordt afgegeven. Daarover zijn aan NOREA registratiekosten verschuldigd, te weten NLG 2.500,- (EUR 1.134,-) voor een eerste registratie en NLG 1.000,- (EUR 454,-) voor een herhaald onderzoek. 15

16 Bijlage A: Doelstellingenmatrix (objecten en normen) Nr. Normen Kwaliteitscriteria 1. e-security beleid Toegepast op de zes componenten van de IT-omgeving: 1.1. Proces: alomvattend informatie beveiligingsprogramma; taken en verantwoordelijkheden in relatie tot algemeen informatiebeveiligingsbeleid duidelijk gedefinieerd strategie voor de beoordeling van nieuwe technieken; verantwoordelijkheden voor beoordelen, managen en monitoren van IT-gerelateerde risico s; risico-analyse methodiek voor periodieke beoordeling e-security risico s 1.2. Applicatie Policy s betreffende: systeemontwikkelinglevenscyclus-standaarden; software make versus buy beslissingen Datamanagement Policy s betreffende: data ownership; databaseontwerp en management; gebruik en beveiliging van bedrijfsinformatie; gebruik en beveiliging van werknemers, cliënten of overige persoonlijke data Platform Policy s betreffende: standaard ondersteunde hardware -en softwareplatform; verantwoordelijkheden betreffende platform planning, ontwerp, back-up en beveiliging Netwerk Policy s betreffende: goedgekeurde leveranciers en service/product specificaties; verantwoordelijkheden voor netwerkplanning, ontwerp, back-up en beveiliging Fysiek Policy s betreffende: verantwoordelijkheden voor informatievoorziening locaties en apparatuur; beveiliging van notebook computers en content buiten kantoor; Onderhoud en support policy s. Exclusiviteit Integriteit Authenticiteit Onweerlegbaarheid Controleerbaarheid Beschikbaarheid 16

17 Nr. Normen Kwaliteitscriteria 2. (Inter-)nationale wet- en regelgeving I 2.1. Compliance: Alle (internationale) wet- en regelgeving dient te worden nageleefd, inclusief de mogelijk van toepassing zijnde branchespecifieke wet- en regelgeving: informatieplichten; intellectuele eigendomsrechten; privacy (WPR/WBP); computercriminaliteit (WCC(II)); overeenkomstenrecht (elektronische handtekening); bewijs en bewaren; geschillenbeslechting en toepasselijk recht; etc. Beschikbaarheid Controleerbaarheid Onweerlegbaarheid Authenticiteit Integriteit Exclusiviteit Specifieke eisen van de: OPTA; STE; DNB; Verzekeringskamer; Registratiekamer; etc. I Toelichting juridisch onderzoek Object van onderzoek kunnen zijn: De website van de beoordeelde organisatie: Contracten/SLA s met webhosters, webdesigners, webbouwers, ISP s, betaalorganisaties, leveranciers, adverteerders, transporteurs, businesspartners, etc. Het onderzoek dient te worden uitgevoerd door een juridische specialist met voldoende actuele kennis van de toepasselijke wet- en regelgeving. De eisen dienen periodiek opnieuw te worden beoordeeld. 17

18 Nr. Normen Kwaliteitscriteria 2.2. Concrete eisen: Indien gegevens van bezoekers van de website worden opgeslagen in een database, dan dient deze registratie te worden aangemeld bij de Registratiekamer (tenzij wettelijk vrijgesteld). Op de website dient informatie te staan over de verkoop- en leveringsvoorwaarden en deze dienen expliciet door de afnemer te worden geaccepteerd. Op de website dienen de NAW-gegevens e.d. van de organisatie te zijn vermeld. Het privacybeleid dient eenvoudig toegankelijk op de website te zijn gepubliceerd. Voor het gebruik van logo s, merknamen, plaatjes, foto s, etc. van anderen dient toestemming te zijn gevraagd van de desbetreffende rechthebbende, tenzij deze toestemming wettelijk niet nodig is (o.a. citaten met bronvermelding). Alle kosten inclusief BTW, verzend- en administratiekosten moeten de businesspartner voor het sluiten van de overeenkomst op ondubbelzinnige wijze bekend worden gemaakt. De intellectuele eigendomsrechten ter herkenning van de organisatie (logo s, handelsmerken, etc.) dienen te zijn geregistreerd. Alle eigendomsrechten met betrekking tot de website (denk aan rechten van de betrokken softwarebureaus) dienen in eigen bezit te zijn. Vastgesteld dient te zijn of de e-businessactiviteiten zijn verzekerd. 3. Contractvoorwaarden De voorwaarden uit het contract tussen de businesspartners moeten vertaald worden naar prestatie-eisen die gesteld worden aan de e-businesstoepassing 4. Interne invloeden 4.1. Aanschaf of ontwikkeling Er dient een scheiding te zijn aangebracht tussen de ontwikkelwebsite en de productiewebsite. De technische en functionele systeemdocumentatie dient up-to-date te zijn De E-business software bij voorkeur gecertificeerd is door een onafhankelijke derde partij Bij voorkeur dient een Third Party Mededeling aanwezig te zijn Interne hosting of uitbesteding infrastructuur De prestatie-eisen voor de e-business toepassingen moeten vertaald worden naar eisen aan de e- business infrastructuur 4.3. Systeem ontwikkelmethodiek Voor het ontwikkelen van software dient een gestandaardiseerde methodiek te worden toegepast. Exclusiviteit Integriteit Authenticiteit Onweerlegbaarheid Controleerbaarheid Beschikbaarheid 18

19 Nr. Normen Kwaliteitscriteria 4.4. Systeemontwikkelstandaarden Voor het ontwikkelen van software dienen standaarden te worden gebruikt. 5. Transacties 5.1. On line transacties. Transactiesysteem. De beschikbaarheid van het transactiesysteem moet zijn gewaarborgd. Transacties tijdens transport. De businesspartners moeten vaststellen wie namens beide partijen bevoegd zijn om e- businesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de transacties tijdens transport tegen te gaan. De businesspartners moeten om vernietiging van de transactie tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. De businesspartners moeten maatregelen treffen om replay van transacties tegen te gaan. Transacties binnen het transactiesysteem. De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-business transacties van zaken partners. De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-business transactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan. 5.2 Berichtenverkeer Berichtensysteem De beschikbaarheid van het postbussysteem moet zijn gewaarborgd Bericht Tijdens transport: De businesspartners moeten vaststellen wie namens beiden partijen bevoegd zijn om e- businesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de berichten tijdens transport tegen te gaan. Exclusiviteit Integriteit Authenticiteit Onweerlegbaarheid Controleerbaarheid Beschikbaarheid 19

20 Nr. Normen Kwaliteitscriteria De businesspartners moeten om vernietiging van het bericht tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. De businesspartners moeten maatregelen treffen om replay van transacties tegen te gaan. Binnen het postbussysteem: De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-businessberichten van zaken partners De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-business transactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan. 5.3 Backoffice / logistiek De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd. De bij een transactie betrokken partij dient te kunnen worden geïdentificeerd, bijvoorbeeld door een elektronische handtekening. Alle transacties (berichten) dienen te worden geregistreerd. Alle transacties dienen een uniek volgnummer te worden toegekend. Alle transacties dienen te worden bevestigd. De bestaanbaarheid van elke transactie en de inhoud dienen direct bij ontvangst te worden gecontroleerd. De geweigerde transacties worden in een afzonderlijk bestand vastgelegd. Ontvangen transacties worden beoordeeld aan de hand van de aanwezige transactieprofielen per handelspartner. Er is een speciale autorisatieprocedure voor het wijzigen van transacties. Er is een audit trail met voldoende informatie met bewijs van het bestaan van de transacties alsmede de status van deze transacties. De integriteit van de audit trail dient voldoende te zijn gewaarborgd. De juistheid en volledigheid van de primaire vastlegging van transacties in de e- businessapplicatie dienen te worden vastgesteld. Exclusiviteit Integriteit Authenticiteit Onweerlegbaarheid Controleerbaarheid Beschikbaarheid 20