Assurance-rapport en Verantwoording 2012

Maat: px
Weergave met pagina beginnen:

Download "Assurance-rapport en Verantwoording 2012"

Transcriptie

1 Assurance-rapport en Verantwoording 2012 Producten van Logius Producten DigiD van Logius Haagse Ring (onderdeel van Diginetwerk) Datum 19 december 2013 Versie Definitief

2 Colofon Projectnaam Assurance-rapport en Verantwoording 2012 Versienummer 1.0 Organisatie Servicecentrum Logius Postbus JE Den Haag T Bijlage(n) Auteurs Lijst met afkortingen Beheersdoelstellingen Verantwoording: Logius Assurance-rapport: Auditdienst Rijk Pagina II

3 Woord vooraf Logius, dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, biedt publieke dienstverleners een samenhangende ICT-infrastructuur, zodat burgers en bedrijven eenvoudig, snel, groen en betrouwbaar elektronisch zaken met hen kunnen doen. Logius geeft haar klanten sinds 2008 door middel van een Assurancerapport en Verantwoording inzicht in de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de belangrijkste uitontwikkelde producten. Het Assurance-rapport en de Verantwoording die voor u liggen, hebben betrekking op de opzet, het bestaan en de werking van DigiD voor Burgers (hierna: DigiD) en Haagse Ring (onderdeel van Diginetwerk) in de periode 1 januari 2012 tot en met 31 december 2012 (hierna: onderzoeksperiode). Het Assurance-rapport en de Verantwoording worden later dan gebruikelijk gepubliceerd, omdat de voorbereidende werkzaamheden bij de leveranciers veel langer duurden dan gepland. In de Verantwoording is de conclusie van Logius weergegeven, mede gebaseerd op de uitkomsten van onderzoeken die in opdracht van Logius zijn uitgevoerd. De Verantwoording wordt geverifieerd en dit komt tot uiting in het Assurance-rapport, waarin Auditdienst Rijk (ADR) een oordeel geeft over de juistheid en volledigheid van de Verantwoording van Logius. De Verantwoording en het Assurance-rapport zijn onlosmakelijk met elkaar verbonden. Voor Logius is het Assurance-traject ook een drijfveer om de dienstverlening te blijven verbeteren. De resultaten van het Assuranceonderzoek over 2012 zijn uiterst serieus genomen en hebben geleid tot een intensief verbetertraject met onze leveranciers om de dienstverlening te borgen die van Logius mag worden verwacht. Dat verbetertraject is een continu proces. Met vriendelijke groet, Steven Luitjens Directeur Logius Pagina III

4 Definitief Assurance-rapport en Verantwoording december 2013 Assurance-rapport Auditdienst Rijk Geadresseerde Dit Assurance-rapport is bestemd voor de huidige en potentiële afnemers van Logius van de producten DigiD en Haagse Ring (onderdeel van Diginetwerk). Het rapport dient uitsluitend in samenhang met de Verantwoording over de periode 1 januari tot en met 31 december 2012 over deze producten te worden verstrekt en heeft als doelstelling aanvullende zekerheid te geven over de juistheid en volledigheid van deze Verantwoording. Opdracht Ingevolge de opdracht van Logius hebben wij de Verantwoording van Logius van 19 december 2013, waarin de in de periode 1 januari tot en met 31 december 2012 beoogde en geïmplementeerde maatregelen en procedures bij Logius en betrokken leveranciers zijn opgenomen ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD en het tactisch beheer van Haagse Ring (onderdeel van Diginetwerk) beoordeeld. Reikwijdte en gehanteerde normen In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten: beschikbaarheid: de mate waarin een object conform afspraken beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; integriteit: de mate waarin de verwerking van de ingevoerde gegevens juist, volledig en tijdig verloopt en de programma s en bestanden ongeschonden blijven; exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen; controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is om vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. Bij deze opdracht zijn wij uitgegaan van de door Logius vastgestelde beheerdoelstellingen en normen (op te vragen bij Logius). Deze sluiten aan op algemeen aanvaarde uitgangspunten en op de contracten tussen Logius en haar leveranciers. Logius heeft zorg gedragen voor de afstemming van de beheerdoelstellingen en normen met een vertegenwoordiging van haar Programmaraad. Tevens zijn maatregelen ten aanzien van de normen van de ICT-beveiligingsassesments DigiD getoetst. De normen zijn voldoende concreet en volledig om uitgaande hiervan de inhoud van de Verantwoording te kunnen onderzoeken. Verantwoordelijkheden en werkzaamheden De Verantwoording is opgesteld onder verantwoordelijkheid van de directeur van Logius. Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel over deze Verantwoording te geven. Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de Nederlandse richtlijnen voor Pagina IV

5 Definitief Assurance-rapport en Verantwoording december 2013 assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid. Onze belangrijkste werkzaamheden waren: het verkrijgen van inzicht in relevante kenmerken van Logius en haar leveranciers; het reviewen van de werkzaamheden, het dossier en de rapportage van de auditor van het consortium, bestaande uit twee externe leveranciers, dat verantwoordelijk is voor het beheer van de IT-infrastuctuur en de applicatie DigiD. De werkzaamheden van de auditor waren gericht op het beoordelen van de opzet en op het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures bij deze externe leveranciers; het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico s in de externe omgeving en de betrokken organisaties en het onderzoeken in hoeverre deze risico s worden afgedekt door maatregelen en procedures en het beoordelen van de plausibiliteit van de informatie in de Verantwoording; het beoordelen van de opzet en het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures; het onderzoeken van de juistheid en volledigheid van de informatie in de Verantwoording, mede gelet op de informatiebehoeften van de huidige en potentiële afnemers van de producten van Logius; het evalueren van het algehele beeld van de Verantwoording, inclusief het beoordelen van de consistentie van de informatie, aan de hand van de bovengenoemde normen. Oordeel Op grond van ons onderzoek zijn wij van oordeel dat de in de Verantwoording van Logius opgenomen informatie over de maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD en Haagse Ring bij Logius en haar leveranciers betreffende het tijdvak 1 januari 2012 tot en met 31 december 2012 juist en volledig is. Toelichting op het oordeel De producten DigiD en Haagse Ring zijn bouwstenen voor de realisatie van betrouwbare digitale diensten. Organisaties dienen zich ervan bewust te zijn dat het toepassen van één of meerdere van deze bouwstenen alleen niet voldoende is om een betrouwbare digitale dienst te realiseren. Hiervoor dient de betreffende organisatie een analyse uit te voeren van de beveiligingseisen die samenhangen met het karakter van de eigen digitale dienstverlening. Vervolgens dient de organisatie vast te stellen dat de in de digitale dienstverlening gebruikte componenten gezamenlijk toereikend invulling geven aan de beveiligingseisen. Voor de producten DigiD en Haagse Ring kan hiervoor gebruik worden gemaakt van de informatie van Logius, waaronder de informatie die in deze Verantwoording is opgenomen. Pagina V

6 Definitief Assurance-rapport en Verantwoording december 2013 Ondanks dat ons oordeel zich positief uitspreekt over de juistheid en volledigheid van deze Verantwoording, wijzen wij de lezer erop dat gedurende de verantwoordingsperiode op een aantal onderdelen niet voldoende invulling is gegeven aan de afgesproken normen voor DigiD. Voor nadere informatie verwijzen wij voor DigiD naar paragraaf 3.4 van de Verantwoording. In de verantwoording wordt een aantal verbetermaatregelen vermeld voor Wij benadrukken dat wij de implementatie van deze verbetermaatregelen niet hebben onderzocht, daar onze werkzaamheden de periode 1 januari 2012 tot en met 31 december 2012 betroffen. De implementatie en effectiviteit van deze verbetermaatregelen zullen worden beoordeeld in het onderzoek over Den Haag, 19 december 2013 Auditdienst Rijk mr. drs. J. Roodnat RE RA Clustermanager ADR mw. drs. C.N. de Vette RE Audit Manager Pagina VI

7 Inhoud Colofon... II Woord vooraf... III Assurance-rapport Auditdienst Rijk... IV Inhoud Managementsamenvatting Algemeen DigiD Haagse Ring Inleiding Algemeen Normstelling Totstandkoming van de Verantwoording Leeswijzer Bevindingen DigiD Algemeen Tactisch beheer Operationeel beheer Applicatie- en infrastructuurbeheer Print- en maildienstverlening Callcenter Ondersteuning SMS-authenticatie Conclusie Bevindingen Haagse Ring Algemeen Rolverdeling en inrichting beheer Aansluitvoorwaarden en informatiebeveiliging Haagse Ring RON Conclusie Bijlage I Lijst met afkortingen Bijlage II Beheersdoelstellingen Pagina 1

8 1 Managementsamenvatting 1.1 Algemeen Logius is verantwoordelijk voor het beheer en de (door)ontwikkeling van de producten DigiD en Haagse Ring. Voor de klanten binnen de overheid en gelieerde organisaties is het betrouwbaar en veilig functioneren van deze producten van groot belang in hun keten van dienstverlening aan burgers en bedrijven. Met het publiceren van een jaarlijkse Verantwoording inclusief Assurance-rapport geeft Logius zekerheid aan haar klanten over de kwaliteit van haar producten DigiD en Haagse Ring. De Verantwoording van Logius is mede gebaseerd op de uitkomsten van onderzoeken die in opdracht van Logius zijn uitgevoerd. De in de Verantwoording beschreven situatie heeft betrekking op de periode 1 januari 2012 tot en met 31 december De onderzoeken zijn uitgevoerd aan de hand van normenkaders met als doel geïmplementeerde maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de producten DigiD en Haagse Ring vast te stellen. Voor het opstellen van de normenkaders is gebruik gemaakt van wet- en regelgeving, contracten met leveranciers en algemeen aanvaarde standaarden. Met ingang van 2012 zijn in aanvulling op het standaard normenkader ook de normen voor ICT-beveiligingsassessments getoetst. 1.2 DigiD Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. Op 21 mei 2012 is een volledig nieuw gebouwde DigiD applicatie live gegaan, die gebruik maakt van een nieuwe infrastructuur. Het Assurance-rapport en de Verantwoording over 2011 waren gericht op de oude DigiD applicatie en infrastructuur. Het Assurance-rapport en de Verantwoording over 2012 gaat zowel over de oude DigiD applicatie en infrastructuur als de nieuwe DigiD applicatie en infrastructuur. De DigiD dienstverlening heeft in 2012 deels aan de gestelde beheersdoelstellingen voldaan. Het tactisch beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer, de print- en maildienstverlening, de callcenteractiviteiten, de smsauthenticatie en de dienstspecifieke beheersingsmaatregelen met betrekking tot de applicatie DigiD geven over het algemeen voldoende invulling aan de daaraan gestelde eisen. Echter voor applicatie- en infrastructuurbeheer zijn er belangrijke tekortkomingen op het gebied van Configuratiebeheer, Wijzigingenbeheer en Logisch Beveiligingsbeheer (bestaande uit Access Management, Infrastructure Management en Security Management). Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD heeft de auditor vastgesteld dat niet wordt voldaan aan zeven normen voor ICTbeveiligingsassessments. Voor zes van de zeven afwijkingen worden maatregelen getroffen. Voor één afwijking wordt in overleg met expertgroepen gezocht naar een oplossing. De afhandeling van de verbeterpunten is door Logius nauwgezet gemonitord. De leverancier heeft aangegeven dat de aanpassingen van processen en objecten die nodig zijn om de Pagina 2

9 verbeterpunten te realiseren grotendeels hebben plaatsgevonden. De auditor zal tijdens het onderzoek over controlejaar 2013 toetsen of de aangegeven aanpassingen daadwerkelijk zijn geïmplementeerd en worden nageleefd, inclusief het voldoen aan het normenkader voor ICTbeveiligingsassessments. 1.3 Haagse Ring Logius is verantwoordelijk voor het tactisch beheer van Haagse Ring. De basis voor Haagse Ring is een mantelovereenkomst tussen alle 'aangesloten organisaties', Logius en de bedrijfsgroep Informatievoorziening en -technologie (IVENT) van het ministerie van Defensie. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. De beheersdoelstellingen voor het tactisch beheer van Haagse Ring zijn in voldoende mate gehaald. Gedurende de jaren dat Logius het tactisch aansluitbeheer van de Haagse Ring verzorgt, zijn pragmatische keuzes gemaakt ten aanzien van aansluitvoorwaarden en de rolverdeling tussen IVENT en Logius. Pagina 3

10 2 Inleiding 2.1 Algemeen Als onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is Logius de regieorganisatie die samen met klanten, partners en leveranciers bouwt aan de e-overheid. Dit doet Logius door te zorgen voor overheidsbrede, samenhangende ICTproducten. Logius werkt in opdracht van verschillende ministeries, die opdracht geven tot het in beheer nemen, beheren en doorontwikkelen van producten. Logius stimuleert organisaties met een publieke taak om de producten breed toe te passen. Zij laat zich adviseren door de Programmaraad, een adviesorgaan waarin klanten zijn vertegenwoordigd. Twee belangrijke, op zichzelf staande, producten die Logius aanbiedt zijn: 1. DigiD. DigiD is het digitale authenticatiesysteem voor de overheid en publieke dienstverleners. DigiD zorgt ervoor dat zij betrouwbaar zaken kunnen doen met burgers via hun website. 2. Haagse Ring. Haagse Ring is een netwerk voor datatransport tussen de aangesloten netwerken van de departementen, de Hoge Colleges van Staat en andere organisaties die op voordracht van departementen zijn aangesloten. Het beheerdomein van Logius beperkt zich tot de regie en uitvoering van onderdelen van het tactisch beheer voor Haagse Ring. Klanten van deze producten hebben behoefte aan zekerheid over de kwaliteit van de dienstverlening van Logius. Gehanteerde kwaliteitsaspecten zijn beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid. Logius geeft invulling aan deze klantbehoefte door deze Verantwoording op te stellen en te laten voorzien van een Assurance-rapport. In het Assurance-rapport is de conclusie van ADR opgenomen, waarin in dit geval met een redelijke mate van zekerheid -dit is tevens de hoogst mogelijke mate van zekerheid- een uitspraak wordt gedaan over de juistheid en volledigheid van de Verantwoording. De Verantwoording gaat in op de opzet en het bestaan per 31 december 2012 en op de werking van de beheersmaatregelen en -procedures van de twee genoemde producten gedurende het jaar Normstelling Logius heeft een normenkader opgesteld met als doel een objectief beeld te kunnen geven van de kwaliteit van (het beheer van) de producten. Dit normenkader beschrijft op hoofdlijnen aan welke eisen (het beheer van) de producten moet voldoen en vormt de basis voor deze Verantwoording. Het normenkader is samengesteld op basis van de relevante wet- en regelgeving, met name het Tijdelijk besluit nummergebruik overheidtoegangsvoorziening, de Wet bescherming persoonsgegevens, het Voorschrift Informatiebeveiliging Rijksdienst (VIR 2007) en algemeen aanvaarde kaders voor IT-omgevingen zoals Business Information Services Library (BiSL) en Normen voor de beheersing van uitbestede ICT-beheerprocessen van de NOREA (de beroepsorganisatie voor ITauditors). Het normenkader is risicogebaseerd en richt zich voor een belangrijk deel op tactische en operationele beheerprocessen. Daarnaast zijn bijvoorbeeld voor de DigiD applicatie en voor de onderliggende ITinfrastructuur specifieke normen geformuleerd. Ook de normen voor ICT- Pagina 4

11 beveiligingsassessments, gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC), zijn getoetst. De directeur van Logius heeft het normenkader in 2008 vastgesteld na afstemming met een vertegenwoordiging van de Programmaraad. Logius heeft het Assurance-traject eind 2011, begin 2012 geëvalueerd met een aantal leden/vertegenwoordigers van de Programmaraad en op basis daarvan zijn de reikwijdte, scope en diepgang van het onderzoek gehandhaafd. Wel is afgesproken om, waar mogelijk en verantwoord, niet meer integraal, maar revolverend te toetsen, waardoor niet noodzakelijkerwijs alle controle-objecten bij een partij jaarlijks hoeven te worden getoetst. Ten slotte is de Verantwoording korter en bondiger opgesteld. In 2012 zijn de beheersdoelstellingen opnieuw voorgelegd aan een vertegenwoordiging van de Programmaraad. 2.3 Totstandkoming van de Verantwoording De auditor heeft op basis van de beheersdoelstellingen en daarvan afgeleide normenkaders onderzoeken uitgevoerd bij Logius en de leveranciers. De uitkomsten van deze onderzoeken zijn mede gebruikt als basis voor deze Verantwoording en het Assurance-rapport. De directeur van Logius is verantwoordelijk voor de inhoud van de Verantwoording. De Auditdienst Rijk is verantwoordelijk voor het Assurance-rapport. 2.4 Leeswijzer De lezer die globaal kennis wil nemen van de inhoud van het rapport kan zich beperken tot het Assurance-rapport, de managementsamenvatting van deze Verantwoording en de inleiding. In de hoofdstukken drie en verder wordt in meer detail ingegaan op het beheer en de doorontwikkeling van de producten. In bijlage I is een overzicht opgenomen van de meest gebruikte afkortingen en begrippen. In bijlage II is een overzicht opgenomen van de getoetste beheersdoelstellingen. Pagina 5

12 3 Bevindingen DigiD 3.1 Algemeen DigiD staat voor Digitale Identiteit. DigiD is het digitale authenticatiemiddel voor de overheid en dienstverleners met een publieke taak. Met DigiD kunnen deze partijen betrouwbaar zaken doen met burgers via hun website. Eind 2012 hadden ruim 9,8 miljoen burgers al een persoonlijke DigiD. Deze kunnen ze gebruiken voor steeds meer diensten bij ruim 500 organisaties. In 2012 zijn ruim 75 miljoen authenticaties gedaan. Op 21 mei 2012 is de DigiD applicatie live gegaan, een volledig nieuw gebouwde applicatie die gebruik maakt van een nieuwe infrastructuur. Burgers kunnen nu gebruik maken van meer functionaliteiten. Het Assurance-rapport van 2012 richt zich voor wat betreft DigiD op versie 2.17, die van 1 januari 2012 tot en met 20 mei 2012 in productie was en op de nieuwe DigiD applicatie, die sinds 21 mei 2012 in productie is. Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. Het operationeel beheer, dat bestaat uit infrastructuur- en applicatiebeheer, print- en mail-, callcenter- en sms-dienstverlening, is uitbesteed aan externe leveranciers. Logius heeft een regiefunctie en bewaakt de kwaliteit van de dienstverlening van externe leveranciers door middel van periodieke rapportages, overleggen en assurance onderzoeken. In onderstaande figuur is weergegeven welke onderdelen van de DigiD dienstverlening onderdeel zijn van de scope van het Assurance-rapport en de Verantwoording. Logius is niet verantwoordelijk voor de webdiensten en Gemeentelijke Basisadministratie Verstrekkingen (GBA-V). De leverancier van GBA-V heeft afspraken afgegeven over het niveau van de GBA-V-dienstverlening. Logius stelt eisen aan de webdiensten die aansluiten op DigiD. In oktober 2011 heeft de minister van BZK de Tweede Kamer geïnformeerd over de aanpak van de geconstateerde beveiligingslekken bij een aantal gemeentelijke websites. De feitelijke uitvoering van het beleid is door de minister opgedragen aan Logius. Pagina 6

13 3.2 Tactisch beheer Logius heeft een aantal tactische processen ingericht voor het beheer van haar producten. Doelstelling van deze processen is om de kwaliteit van de producten van Logius op een voldoende niveau en in overeenstemming met wet- en regelgeving te borgen. Het tactisch beheer heeft over 2012 over het algemeen in voldoende mate invulling gegeven aan de beheersdoelstellingen. De belangrijkste aandachtspunten zijn: het verbeteren en actualiseren van het interne informatiebeveiligingsplan (IB-plan) voor de kantoorautomatisering en de productspecifieke IB-plannen, waaronder het IB-plan voor DigiD (Security Management); het verbeteren van het toezicht op de dienstverlening van de kantoorautomatisering en de applicaties die gebruikt worden in ondersteunende processen voor DigiD (Security Management en Continuïteitsmanagement); het opstellen van een beheerplan voor middelen die ondersteunend dan wel randvoorwaardelijk zijn voor de processen van Logius (inrichting van een afgestemde informatievoorzieningsorganisatie). Door een goede informatievoorziening kunnen risico s binnen processen die ondersteunend zijn aan DigiD verkleind worden (Behoeftemanagement); het beschrijven en formaliseren van de toegangsrechten (Access Management). 3.3 Operationeel beheer Applicatie- en infrastructuurbeheer Logius heeft het beheer van de applicatie en IT-infrastructuur van de nieuwe DigiD applicatie en infrastructuur uitbesteed aan externe leveranciers. De leveranciers hebben IT-beheerprocessen ingericht om de afgesproken dienstverlening te realiseren. Er is onderzoek gedaan naar zowel het algemeen beheer als naar (het beheer van) de IT-infrastructuur. Het applicatie- en infrastructuurbeheer is voor DigiD 2.17 beoordeeld tot en met 20 mei. Sinds 21 mei is sprake van een nieuwe DigiD applicatie en infrastructuur die in 2012 voor het eerst is onderworpen aan een audit. Voor de oude DigiD 2.17-omgeving geldt dat voor applicatie- en infrastructuurbeheer over het algemeen voldoende invulling is aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Een aantal belangrijke beheersdoelstellingen is echter niet gehaald. Voor applicatie- en infrastructuurbeheer waren er tekortkomingen op het gebied van Access Management, Security management en Infrastructure management. Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD was sprake van tekortkomingen met betrekking tot de wijze van inloggen door de beheerders van Logius, applicatielogging en cryptografie. In verband met de voorziene overgang naar een nieuwe infrastructuur en applicatie per 21 mei zijn deze punten niet of beperkt opgepakt. Op basis van onderzoek naar de nieuwe DigiD4-omgeving is de conclusie dat de leveranciers gedeeltelijk invulling hebben gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. Voor de processen Incident Management, Continuity Management, Availability Management, Capacity Management, het onderdeel fysiek beveiligingsbeheer van Security Management, Service Level Management en Applicatiebeheer is in voldoende mate invulling Pagina 7

14 gegeven aan de beheersdoelstellingen. Aan de beheersdoelstellingen voor Problem Management en Release Management is voldoende mate invulling gegeven, met opmerkingen. Aan de beheersdoelstellingen voor het logisch beveiligingsbeheer (Security Management, Infrastructure Management en Access Management), Configuration Management en Change Management is onvoldoende invulling gegeven. De belangrijkste geconstateerde tekortkomingen hebben betrekking op: gebruikersrechten; patch management; security baseline en security settings; wijzigingen op met name de infrastructuur; infrastructuurinstellingen. De tekortkomingen zijn uiterst serieus genomen en hebben geleid tot aanstelling van een taskforce om verbeterpunten op te pakken. De afhandeling van de verbeterpunten is door Logius nauwgezet gemonitord. De leverancier heeft aangegeven dat de aanpassingen van processen en objecten die nodig zijn om de verbeterpunten te realiseren grotendeels hebben plaatsgevonden. Aan de DigiD specifieke eisen is deels invulling gegeven. Op dit moment voldoet Logius voor een belangrijk deel aan het normenkader voor ICTbeveiligingsassessments. De auditor heeft een zevental tekortkomingen gerapporteerd. Voor zes van de zeven tekortkomingen zijn/worden momenteel, in samenwerking met de leverancier, maatregelen getroffen. Uit een voorlopig onderzoek is gebleken dat oplossen van de laatste tekortkoming zeer complex is. Over invulling hiervan is Logius in overleg met expertgroepen. De auditor zal tijdens het onderzoek over controlejaar 2013 toetsen of de aangegeven aanpassingen daadwerkelijk zijn geïmplementeerd en worden nageleefd, inclusief het voldoen aan het normenkader voor ICTbeveiligingsassessments. De beschikbaarheid van de DigiD-dienstverlening was over geheel 2012 gemiddeld 99,78%; dat is boven de met klanten afgesproken norm van 99,5%. De verstoringen die zijn opgetreden betroffen incidenten in mei rondom de livegang van de nieuwe DigiD applicatie en infrastructuur en een incident in december. De beschikbaarheid was na livegang in mei 98% en in december 99,4% Print- en maildienstverlening Logius heeft de print- en maildienstverlening uitbesteed aan een externe leverancier (verder: print- en mailleverancier). Hiertoe is een overeenkomst afgesloten tussen Logius en deze print- en mailleverancier. Er is een onderzoek uitgevoerd naar (de beheersing van) het print- en mailproces. De print- en mailleverancier heeft in voldoende mate invulling gegeven aan het primaire print- en mailproces en de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en beschikbaarheid. Een aandachtspunt is de aantoonbaarheid van de (controle)activiteiten die door de leverancier zijn uitgevoerd, met name voor Access Management Callcenter Logius heeft de callcenteractiviteiten voor de eerste lijn DigiD ondersteuning uitbesteed. Er is een onderzoek uitgevoerd naar de beheersing van het callcenterproces. De conclusie is dat het telefoonafhandelingsproces en de daaraan gerelateerde dienstverlening bij Pagina 8

15 de callcenterleverancier in voldoende mate invulling geven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid Ondersteuning SMS-authenticatie Logius heeft de SMS-dienstverlening uitbesteed aan een externe leverancier. Voor de DigiD dienstverlening vindt voor het 'zekerheidsniveau midden' authenticatie plaats op basis van een combinatie van naam, wachtwoord en een per sms-bericht verzonden code. De conclusie is dat de sms- dienstverlening en de daaraan gerelateerde beheerprocessen in voldoende mate invulling hebben gegeven aan de daaraan gestelde eisen met betrekking tot de betrouwbaarheid en de beschikbaarheid. Ondanks verbeteringen in de vastleggingen van autorisaties ten opzichte van het controlejaar 2011 is Access management nog een punt van aandacht, met name met betrekking tot de aantoonbaarheid van uitgevoerde (controle)werkzaamheden. 3.4 Conclusie Logius is verantwoordelijk voor het tactisch en operationeel beheer van DigiD. De DigiD dienstverlening heeft in 2012 deels de gestelde beheersdoelstellingen gehaald. Het tactisch beheer geeft over het algemeen voldoende invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Het operationeel beheer printen maildienstverlening, callcenteractiviteiten, sms-authenticatie en dienstspecifieke beheersingsmaatregelen met betrekking tot de applicatie DigiD geeft over het algemeen voldoende mate invulling aan de daaraan gestelde eisen. Echter voor applicatie- en infrastructuurbeheer zijn er belangrijke tekortkomingen op het gebied van Configuratiebeheer, Wijzigingenbeheer en Logisch Beveiligingsbeheer (bestaande uit Access Management, Infrastructure Management en Security management). Ten aanzien van de dienstspecifieke beheersingsmaatregelen inzake de applicatie DigiD is sprake van zeven tekortkomingen met betrekking tot de norm voor ICT-beveiligingsassessments. De afhandeling van de verbeterpunten is door Logius nauwgezet gemonitord. De leverancier heeft aangegeven dat de aanpassingen van processen en objecten die nodig zijn om de verbeterpunten te realiseren grotendeels hebben plaatsgevonden. Op dit moment voldoet Logius voor een belangrijk deel aan het normenkader voor ICTbeveiligingsassessments. Over invulling van de laatste tekortkoming is Logius in overleg met expertgroepen. De auditor zal tijdens het onderzoek over controlejaar 2013 toetsen of de aangegeven aanpassingen daadwerkelijk zijn geïmplementeerd en worden nageleefd, inclusief het voldoen aan het normenkader voor ICT-beveiligingsassessments. Pagina 9

16 4 Bevindingen Haagse Ring 4.1 Algemeen Haagse Ring is een netwerk voor datatransport tussen de aangesloten netwerken van: de 'aangesloten organisaties' en de daaronder ressorterende baten-lastendiensten (waarbij is afgesproken dat de aangesloten organisaties zorgen voor de koppeling van deze diensten); de Hoge Colleges van Staat (voor zover zij dat wensen) en andere direct aan de rijksoverheid gelieerde organisaties. Binnen Haagse Ring wordt gebruik gemaakt van virtuele private netwerken (VPN's) waarmee naar wens verbindingen tussen aangesloten organisaties kunnen worden gerealiseerd. Logius is verantwoordelijk voor het tactisch beheer van Haagse Ring. Logius vervult namens de aangesloten organisaties de rol van opdrachtgever richting IVENT. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. IVENT behoort tot het ministerie van Defensie en onder rechtstreekse verantwoordelijkheid van de minister van Defensie. In onderstaande figuur is weergegeven welke onderdelen van de Haagse Ring vallen in de scope van het Assurance-rapport en de Verantwoording. 4.2 Rolverdeling en inrichting beheer De basis voor Haagse Ring is een mantelovereenkomst tussen ministeries, Logius en de bedrijfsgroep Informatievoorziening en -technologie (IVENT) van het Commando Diensten Centrum van het ministerie van Defensie. Logius is verantwoordelijk voor uitvoering van de strategische en tactische beheerprocessen. Logius is tevens verantwoordelijk voor het tactische aansluitproces op Haagse Ring. De juiste en volledige uitvoering van het aansluitproces en de generieke tactische processen vormt één van de randvoorwaarden voor de betrouwbare werking van Haagse Ring. IVENT is opdrachtnemer voor Haagse Ring en realiseert de daadwerkelijke dienstverlening inclusief het technisch en operationeel beheer. Pagina 10

17 IVENT is verantwoordelijk voor het handhaven van het afgesproken beschikbaarheidsniveau en de afgesproken performance en capaciteit, het afhandelen van incidenten en doorvoeren van wijzigingen. Logius is verantwoordelijk voor bewaking van de dienstverlening. Logius bewaakt de dienstverlening van IVENT. IVENT levert conform de Service Level Agreement maandelijks Service Level Rapportages over de beschikbaarheid, responsetijd en professionaliteit/tijdigheid (zijnde de incidenten en wijzigingen). Logius bespreekt deze rapportages en toekomstige ontwikkelingen periodiek met IVENT. De rapportages worden ook geplaatst in een samenwerkingsruimte op Rijksweb, zodat de 'aangesloten organisaties' hiervan kennis kunnen nemen. De beschikbaarheid van Haagse Ring is over geheel % geweest. 4.3 Aansluitvoorwaarden en informatiebeveiliging Haagse Ring Organisaties kunnen aansluiten op de Haagse Ring na goedkeuring van de beveiligingsambtenaar (BVA) van het departement dat de aanvraag ondersteunt. Logius ziet hier op toe. In een bijlage van de mantelovereenkomst Haagse Ring is aangegeven dat een organisatie die aansluit, moet voldoen aan de aansluitvoorwaarden Haagse Ring. De essentie van deze aansluitvoorwaarden is dat de organisatie die aansluit een adequaat niveau van beveiliging hanteert. 4.4 RON2.0 De contracten en afsprakenkaders inzake de Haagse Ring zijn enkele jaren oud, terwijl er in de afgelopen jaren veel is veranderd. Zo zijn er nieuwe bedreigingen voor de beveiliging. De Baseline Informatiebeveiliging Rijksdienst (BIR) is van kracht geworden, deze zal in 2013 door alle ministeries moeten worden geïmplementeerd. Daarnaast is per 1 januari 2013 de Rijks-BVA (Beveiligingsambtenaar) aangesteld, die samen met de CIO Rijk zal toezien op de naleving van afspraken en kaders. Tenslotte is in oktober 2012 de Visie op connectiviteit RON2.0 vastgesteld door de ICCIO. Deze visie betreft de verdere ontwikkeling van netwerkconnectiviteit als onderdeel van de Generieke ICT voorzieningen van de rijksdienst in het kader van de I-strategie. Met RON2.0 wordt binnen de rijksoverheid gestreefd naar een netwerk van netwerken (waaronder de Haagse Ring) waar de vigerende baseline BIR:2012 is. In 2013 zal het besturingsmodel van RON2.0 worden uitgewerkt en zullen daarin ook de taken, rollen en verantwoordelijkheden inzake Haagse Ring worden gespecificeerd. De ADR zal in de controle over 2013 aandacht schenken. 4.5 Conclusie De beheersdoelstellingen voor het tactisch beheer van Haagse Ring zijn in voldoende mate gehaald. Gedurende de jaren dat Logius het tactisch aansluitbeheer van de Haagse Ring verzorgt, zijn pragmatische keuzes gemaakt ten aanzien van aansluitvoorwaarden en de rolverdeling tussen IVENT en Logius. Pagina 11

18 Bijlage I Lijst met afkortingen ADR BIR BiSL BVA BZK CBIB DigiD GBA-V ICT IVENT NCSC SLA SMS VIR VIR-BI VPN s Auditdienst Rijk Baseline Informatiebeveiliging Rijksdienst Business Information Services Library Beveiligingsambtenaar Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Coördinerend Beraad Integrale Beveiliging Digitale Identiteit Gemeentelijke Basis Administratie Verstrekkingen Informatie- en communicatietechnologie De bedrijfsgroep Informatievoorziening en -technologie van het Commando Diensten Centrum van het ministerie van Defensie Nationaal Cyber Security Centrum Service Level Agreement Short Message Service Voorschrift Informatiebeveiliging Rijksdienst Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie Virtuele Private Netwerken Pagina 12

19 Bijlage II Beheersdoelstellingen Tactisch beheer Behoeftemanagement Bedrijfsprocessen van een organisatie worden ondersteund of ingevuld door een goede informatievoorziening en een functionele beheerorganisatie. Bestaande en nieuwe behoeften binnen het bedrijfsproces worden onderkend en hierover vindt besluitvorming plaats. Incident Management Incidenten dienen tijdig, volledig en effectief te zijn afgehandeld. Change Management De juiste besluiten, gebaseerd op de kenmerken van de wijzigingen, worden genomen over het aanbrengen van wijzigingen of vernieuwingen in de informatievoorziening; Wijzigingen in de informatievoorziening worden geïnventariseerd, geprioriteerd, ten uitvoer gebracht, gemonitord en geëvalueerd. Capacity Management De ICT-dienst dient de overeengekomen werklast te kunnen verwerken. Continuity Management De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Access Management Toegang tot ICT-diensten en -middelen dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Security Management: De samenhang tussen de individuele Security Management processen is geborgd. DigiD specifiek Het stelsel van application en user controls waarborgt het betrouwbaar functioneren van de authenticatiedienst DigiD in overeenstemming met wet- en regelgeving op het voorgeschreven niveau (WBP gegevensklasse II en Tijdelijk besluit nummergebruik overheidstoegangsvoorziening). Het stelsel van application en user controls bestaat uit het authenticatieprotocol inclusief de bijbehorende cryptografie en geautomatiseerde en handmatige procedures en (controle)maatregelen. Het protocol is logisch sluitend en maakt gebruik van algemeen aanvaarde (cryptografische) standaarden. Het voorziet in een veilige en betrouwbare authenticatie via Internet. De gegevens die binnen DigiD worden opgeslagen dienen door de getroffen maatregelen te worden beschermd. De authenticatievoorziening biedt de mogelijkheid belanghebbenden volledig en juist te informeren over de prestaties inclusief de werking van de controles. Pagina 13

20 Norm voor ICT-beveiligingsassessments: Nr. Beschrijving van beveiligingsrichtlijn B0-5 Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. B0-6 Maak gebruik van een hardeningsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen. B0-7 De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. B0-8 Penetratietests worden periodiek uitgevoerd. B0-9 Vulnerability assessments (security scans) worden periodiek uitgevoerd. B0-12 Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. B0-13 Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. B0-14 Leg afspraken met leveranciers vast in een overeenkomst. B1-1 Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. B1-2 Beheer- en productieverkeer zijn van elkaar gescheiden. B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. B2-1 Maak gebruik van veilige beheermechanismen. B3-1 De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt. B3-2 De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. B3-3 De webapplicatie normaliseert invoerdata voor validatie. B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer. B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries. B3-6 De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. B3-7 De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). B3-15 Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. B3-16 Zet de cookie attributen HttpOnly en Secure. B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. B5-2 Maak gebruik van versleutelde (HTTPS) verbindingen. B5-3 Sla gevoelige gegevens versleuteld of gehashed op.2 B5-4 Versleutel cookies. B7-1 Maak gebruik van Intrusion Detection Systemen (IDS). B7-8 Voer actief controles uit op logging B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld. Pagina 14

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Assurance-rapport en Verantwoording 2011 Producten van Logius

Assurance-rapport en Verantwoording 2011 Producten van Logius Assurance-rapport en Verantwoording 2011 Producten van Logius DigiD Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Haagse Ring (onderdeel van Diginetwerk) Datum 18 mei 2012 Status Definitief Definitief

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD

Nadere informatie

Assurance-rapport en Verantwoording 2010

Assurance-rapport en Verantwoording 2010 Assurance-rapport en Verantwoording 2010 Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 30 juni 2011 Status Concept Colofon Projectnaam Assurance-rapport en Verantwoording 2010 Versienummer 1

Nadere informatie

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Bijlage 1 Versie 2015 Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013 Het ICT beveiligingsassessment DigiD Bas Colen CISSP CISA Eindhoven 17 september 2013 Deze dertig minuten Onze situatie Hoe? En welke aanpak is gevolgd De normen / beveiligingsrichtlijnen Ervaringen, lessen

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Assurance-rapport en Verantwoording 2010 Producten van Logius

Assurance-rapport en Verantwoording 2010 Producten van Logius Assurance-rapport en Verantwoording 2010 Producten van Logius DigiD voor Burgers Haagse Ring (onderdeel Diginetwerk) Datum 17 mei 2011 Status Definitief Colofon Projectnaam Assurance-rapport en Verantwoording

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Aansluitvoorwaarden Diginetwerk

Aansluitvoorwaarden Diginetwerk Aansluitvoorwaarden Diginetwerk 16 december 2010, versie 1.71 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze Aansluitvoorwaarden de volgende betekenis:

Nadere informatie

Dienstbeschrijving Diginetwerk

Dienstbeschrijving Diginetwerk Dienstbeschrijving Diginetwerk Versie 1.2 Datum 4 oktober 2010 Status Definitief Colofon Projectnaam Diginetwerk Versienummer 1.2 Organisatie Logius Service Management servicecentrum@logius.nl Bijlage(n)

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Handleiding voor aansluiten op Digilevering

Handleiding voor aansluiten op Digilevering Handleiding voor aansluiten op Digilevering Versie 1.0 Datum 1 augustus 2013 Status definitief Colofon Projectnaam Digilevering Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

TPM en Verantwoording 2009 Producten van Logius

TPM en Verantwoording 2009 Producten van Logius TPM en Verantwoording 2009 Producten van Logius DigiD voor Burgers, Digipoort, Haagse Ring en PKIoverheid Datum 30 maart 2010 Status Definitief Definitief Verantwoording en TPM 2009 30 maart 2010 Colofon

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

1. AUDITINSTRUCTIE SCORECARD COPRO 8120

1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1.1. Inleiding DTe vraagt ter verificatie van de aangeleverde cijfers een assurance-rapport van een externe accountant. Een assurance-rapport dient eenmaal per jaar

Nadere informatie

Handreiking Digipoort SMTP, POP3 en FTP Overheden

Handreiking Digipoort SMTP, POP3 en FTP Overheden Handreiking Digipoort SMTP, POP3 en FTP Overheden Versie 1.1.1. Datum 16 september 2010 Status Definitief Colofon Projectnaam Digipoort Versienummer 1.1.1. Organisatie Logius Postbus 96810 2509 JE Den

Nadere informatie

Hulpmiddelen bij implementatie van Digikoppeling

Hulpmiddelen bij implementatie van Digikoppeling Hulpmiddelen bij implementatie van Digikoppeling Versie 1.0 Datum 23/05/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Handleiding voor aansluiten op DigiD

Handleiding voor aansluiten op DigiD Handleiding voor aansluiten op DigiD Versie 4.2.2 Januari 2015 Colofon Projectnaam Contactpersoon Organisatie DigiD Servicecentrum Logius Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl

Nadere informatie

makkelijke en toch veilige toegang

makkelijke en toch veilige toegang voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Controleprotocol subsidies gemeente Amersfoort

Controleprotocol subsidies gemeente Amersfoort Controleprotocol subsidies gemeente Amersfoort Controleprotocol voor de accountantscontrole bij door de gemeente Amersfoort gesubsidieerde organisaties November 2014 # 4174019 Algemeen Op grond van de

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

1. Overzichtsdocument Normenkaders Rijkspas

1. Overzichtsdocument Normenkaders Rijkspas 1. Overzichtsdocument Normenkaders Rijkspas Versie 7.0 Datum September Status Definitief RIJKSPAS definitief 01. Overzicht normenkaders v 7.0 September Colofon Programmanaam Rijkspas Versienummer 7.0 Datum

Nadere informatie

L = Lokaal, R = Regionaal; N = NL, Landelijk. (Het betreft hier de Nederlandse politie) T1 = tussentijds resultaat, Tn = gewenst eindresultaat

L = Lokaal, R = Regionaal; N = NL, Landelijk. (Het betreft hier de Nederlandse politie) T1 = tussentijds resultaat, Tn = gewenst eindresultaat Bron [een deel van; zie ook blz 6]: http://www.aslbislfoundation.org/dmdocuments/bisl_bp051_wie_doet_wat_matrix.doc (BiSL-Procescluster/Proces Informatiecoördinatie) Wie-Doet-Wat-Matrix / WDW-matrix 1.

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Aanbevelingen en criteria penetratietest

Aanbevelingen en criteria penetratietest Aanbevelingen en criteria penetratietest Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

Serviceniveauovereenkomst voor klanten

Serviceniveauovereenkomst voor klanten Serviceniveauovereenkomst voor klanten DigiD Versie 2.5 Datum 1 juli 2015 Status Definitief Colofon Projectnaam DigiD Versienummer 2.5 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

IB-Governance bij de Rijksdienst. Complex en goed geregeld

IB-Governance bij de Rijksdienst. Complex en goed geregeld IB-Governance bij de Rijksdienst Complex en goed geregeld Even voorstellen Carl Adamse Even voorstellen Frank Heijligers Bestaat de Rijksdienst Ministeriële verantwoordelijkheid Grondwet art. 44 lid 1

Nadere informatie

Handreiking Digipoort X400, SMTP, POP3 en FTP Bedrijven

Handreiking Digipoort X400, SMTP, POP3 en FTP Bedrijven Handreiking Digipoort X400, SMTP, POP3 en FTP Bedrijven Versie 1.01 Datum 16 september 2010 Status Definitief Colofon Projectnaam Digipoort Versienummer 1.01 Organisatie Logius Postbus 96810 2509 JE Den

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Voorbeeldexamen. Business Information Management Foundation. Editie augustus 2011

Voorbeeldexamen. Business Information Management Foundation. Editie augustus 2011 Voorbeeldexamen Business Information Management Foundation Editie augustus 2011 Copyright 2011 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen

Nadere informatie

Auditdienst Rijk Ministerie van Financiën. Datum 17 november 2014 Status Definitief (versie 1.0) Aan: minister van VWS. cc.:

Auditdienst Rijk Ministerie van Financiën. Datum 17 november 2014 Status Definitief (versie 1.0) Aan: minister van VWS. cc.: Auditdienst Rijk Ministerie van Financiën Rapport van bevindingen Inzake het uitvoeren van een review naar de juiste vermelding van opgelegde maatregelen Datum 17 november 2014 Status Definitief (versie

Nadere informatie

Leveranciers en Logius een verleidelijke combinatie!

Leveranciers en Logius een verleidelijke combinatie! Leveranciers en Logius een verleidelijke combinatie! NUP leveranciersbijeenkomst 27 oktober 2010 Door Gertie Dullens Leveranciers en Logius een verleidelijke combinatie! Welkom en introductie Even voorstellen;

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Evaluatie en verbetering kwaliteitsysteem

Evaluatie en verbetering kwaliteitsysteem Evaluatie en verbetering kwaliteitsysteem Versie : 00-00-00 Vervangt versie : 00-00-00 Geldig m.i.v. : Opsteller : ------------------- Pag. 1 van 5 Goedkeuringen : Datum: Paraaf: teamleider OK/CSA : DSMH

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1 eid Platform Programma eid www.eidstelsel.nl Contactpersoon Gerrit Jan van t Eind - Carlo Koch T 06-54 33 43 05 Contouren Launching Plan 1e release eid Stelsel door middel van pilots (voorheen pilotplan`,

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Ant: B Dit is het doel van het proces.

Ant: B Dit is het doel van het proces. In welk proces vormt het voor aanpassingen in de informatievoorziening beschikbaar gestelde budget een mandaat voor besluitvorming? A: Contractmanagement B: Financieel management C: Transitie D: Wijzigingenbeheer

Nadere informatie

Service Level Rapportage

Service Level Rapportage Service Level Rapportage Service Level Agreement nummer S115 Service Level Agreement naam HomeWURk Applicaties n.v.t. Naam klant Naam contactpersoon klant Hans van Haren Naam Service manager M.A. Otte

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie