HANDREIKING ENSIA EN DIGID
|
|
- Veerle van Dijk
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 HANDREIKING ENSIA EN DIGID
2 Datum December 2017 Versie 2.0 2
3 INHOUDSOPGAVE 1 Inleiding en achtergrond DigiD in relatie tot ENSIA DigiD en de ENSIA-tool DigiD en de auditor DigiD en ENSIA, de bouwstenen Praktische uitvoering hoe te beginnen Bijlagen Omnummertabel oude en nieuwe vormen Mogelijke verdeling normen Overzicht te verzamelen documentatie Documentstructuur voor structurering DigiD-documentatie Achtergrond DigiD
4 1 Inleiding en achtergrond 1.1 DigiD in relatie tot ENSIA Vanaf 2017 wordt voor het eerst gebruik gemaakt van de ENSIA-verantwoordingsprocedure. De grootste verandering, is dat de verantwoording over DigiD onderdeel is geworden van de ENSIAzelfevaluatie en de horizontale verantwoording. Daarnaast is het DigiD-normenkader geactualiseerd. DigiD als onderdeel van ENSIA-zelfevaluatie Het opnemen van DigiD in de ENSIA-zelfevaluatie heeft een aantal effecten: 1) De rol van de gemeente ten aanzien van de DigiD-verantwoording wijzigt. 2) Het tijdspad is veranderd. Veranderde rol van de gemeente De gemeente vult zelf de DigiD-vragenlijst in als onderdeel van de ENSIA-zelfevaluatie (in de ENSIA-tool). Voorheen voorzag de auditor de gemeenten in een DigiD-assessmentrapportage en maakte de auditor de afweging op welke manier bepaalde normen moeten worden getoetst (en welke bewijslast daarbij hoort). Voortaan gaan gemeenten dit zelf uitvoeren. De beoordeling van de normen vindt nu in eerste instantie plaats door de ENSIA-coördinator. Ook draagt de gemeente/ensia-coördinator zorg voor het samenstellen van de bijlagen B en C en het tijdig verkrijgen van een of meerdere Third Party Mededelingen (TPM-verklaring). Bijlage B en C werden voorheen door de auditor verstrekt als onderdeel van het DigiD-assesmentrapport. De ENSIAcoördinator stelt tijdens de zelfevaluatie het dossier samen en benadert en contracteert een auditor. De DigiD-zelfevaluatie in de ENSIA-tool is de basis voor de collegeverklaring. In deze verklaring verantwoordt de gemeente zich onder andere over DigiD aan de gemeenteraad. De DigiDassessmentrapportage, die de auditor voorheen uitbracht, is vervangen door een assurancerapport bij de collegeverklaring van een bevoegde auditor. Net als voorheen is dit een IT-auditor met een RE-kwalificatie. Deze auditor geeft door middel van een assurance-rapport aanvullende zekerheid. Hetgeen ook van belang is voor het voldoen aan de aansluitvoorwaarden voor DigiD. Zie 1.3 DigiD en de auditor voor een nadere toelichting Ander tijdspad Doordat DigiD onderdeel is van de ENSIA-zelfevaluatie, is in vergelijking met voorgaande jaren een ander tijdspad van toepassing. In het ENSIA-tijdspad is tussen 1 juli 2017 en 31 december 2017 de periode van zelfevaluatie. Voor 1 mei 2018 heeft de gemeente de collegeverklaring opgesteld en heeft de auditor het assurance-rapport gereed. Zo kan de gemeente dit uiterlijk 1 mei 2018 inleveren bij Logius. Het gewijzigde tijdspad heeft gevolgen voor de gemeenten die een deel van de DigiD-applicatie hebben uitbesteed. Veel gemeenten maken gebruik van een serviceorganisatie. Deze voert vaak, voor de gemeente, een deel van de activiteiten in het DigiD-domein uit. In dat geval legt de serviceorganisatie veelal verantwoording af door middel van een TPM-verklaring. Daar waar deze TPM s de voorgaande jaren pas beschikbaar waren in het nieuwe jaar, zijn ze momenteel eerder noodzakelijk voor gemeenten vanwege de ENSIA-zelfevaluatie. De gemeenten hebben de TPM( s) namelijk nodig om de vragenlijst te completeren. De streefdatum voor het opleveren van de TPM s, door de leverancier aan de gemeenten is 15 oktober Dit zodat de gemeenten voldoende tijd 4
5 hebben voor de afronding van de zelfevaluatie. 5
6 1.2 DigiD en de ENSIA-tool In de ENSIA-tool is een aparte vragenlijst opgenomen over DigiD. Deze is opgenomen naast de generieke vragenlijst over informatiebeveiliging, op basis van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten). Dit is omdat de DigiD- normen uitgebreider zijn dan de BIG-normen. Daarnaast vindt de verantwoording over DigiD per DigiD-aansluiting plaats. De DigiD-vragenlijst bestaat uit zelfevaluatievragen waarbij de ENSIA-tool gemeenten ondersteunt bij het invullen. De ENSIA-tool helpt de gemeenten bij het uitvoeren van de benodigde acties en het verzamelen van de benodigde documentatie. De vormgeving en structuur van de DigiDvragenlijst is gericht op de veelal kleinere maximaal ontzorgde gemeenten die binnen het DigiDdomein taken hebben uitbesteed. De ENSIA-tool helpt gemeenten bij het bepalen aan welke normen de gemeente moet voldoen en welke normen voor serviceorganisaties of andere dienstverleners van toepassing zijn. Daarnaast ondersteunt de tooling bij de levering van bijlage B en C (die de basis vormt, en input geeft, voor de collegeverklaring). De ENSIA-tool ondersteunt u bij de zelfevaluatie tot en met het aanleveren van de benodigde informatie aan Logius. Per DigiD-aansluiting dienen de vragen beantwoord te worden en de benodigde documenten te worden geüpload. Het uploaden van de documentatie kan pas na het sluiten van de vragenlijst. De vragenlijst sluit nadat deze is ingevuld. Zie Handreiking tooling op ENSIA.nl voor meer informatie over het gebruik van de ENSIA-tool. Afhankelijk van het aantal DigiD-aansluitingen van uw gemeente, dient u mogelijk meerdere TPM s te uploaden. Na het sluiten van de vragenlijst en het uploaden van de benodigde documentatie (collegeverklaring, assurancerapport bij de collegeverklaring, bijlage B + C en TPM s) hoeft u niet afzonderlijk nog een DigiD assessmentrapportage op te sturen naar Logius. Indien niet voldaan wordt aan één of meerdere normen, dan komt uw gemeente terecht in het reguliere hersteltraject van Logius. U communiceert dan rechtstreeks met Logius over het verbeterplan en de verbeterrapportage, buiten de ENSIA-tool om. 1.3 DigiD en de auditor Naast de rol van de gemeenten in relatie tot DigiD, verandert ook de rol van de auditor. In plaats van een DigiD-assessmentrapportage, op het niveau van een DigiD-aansluiting, levert de auditor een assurancerapport dat aanvullende zekerheid geeft over informatiebeveiliging. Het assurancerapport en onderliggende collegeverklaring gaan over DigiD en Suwinet. Niet alleen het onderzoeksobject en de op te leveren rapportage verandert, maar ook de auditmethodiek van de auditor. De methodiek verschuift van direct reporting naar assertion based. De auditor geeft in de collegeverklaring aan of de collegeverklaring waarheidsgetrouw is of niet. Daartoe neemt de auditor kennis van de ingevulde zelfevaluatie voor DigiD, inclusief de door de gemeente verzamelde documentatie. 6
7 1.4 DigiD en ENSIA, de bouwstenen Doelstelling en scope DigiD-assessment Het ministerie van BZK heeft een algemene doelstelling voor de DigiD-assessment geformuleerd: Het verschaffen van aanvullende zekerheid over de opzet en het bestaan in een DigiDwebomgeving van een aantal beveiligingsmaatregelen die zijn gebaseerd op een selectie uit de actuele ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC en die gericht zijn op enerzijds de preventie van het optreden van bedreigingen vanaf internet en anderzijds de detectie en de incident response indien deze bedreigingen zich toch manifesteren. De DigiD-assessment beperkt zich tot het beoordelen van de opzet en het toetsen van het bestaan van de beheersmaatregelen. Met opzet wordt de beschrijving van het stelstel van informatiebeveiligings- en beheersingsmaatregelen bedoeld. Het bestaan is gedefinieerd als het daadwerkelijk functioneren van een stelsel van informatiebeveiligings- en beheersingsmaatregelen, conform beschrijving op of rond een peildatum. Het kan voorkomen dat bij het uitvoeren van de audit wel voldaan is aan de opzet van beheersingsmaatregel (de maatregel is beschreven), maar dat het bestaan niet kan worden beoordeeld. Bijvoorbeeld omdat in de onderzochte periode de relevante gebeurtenis zich niet heeft voorgedaan. In dat geval wordt dit weergegeven als voldoet in het assurance-rapport en voorzien van een toelichting Alleen assessmentplichtige aansluitingen vallen binnen de ENSIA-zelfevaluatie De ENSIA-zelfevaluatie betreft alleen assessmentplichtige DigiD-aansluitingen. Nieuwe aansluitingen vallen buiten de ENSIA-zelfevaluatie, daarvoor geldt de bestaande aansluitprocedure. Assessmentplichtige DigiD-aansluitingen zijn actieve bestaande DigiD-aansluitingen die per 1 mei 2018 actief zijn. Dit roept de vraag op wanneer een DigiD-aansluiting als een nieuwe aansluiting wordt gekenmerkt. Dat ligt aan het moment waarop de betreffende DigiD-aansluiting is geactiveerd. De activatiedatum is dus van belang om te bepalen wanneer een nieuwe DigiDaansluiting onder het reguliere regime valt. Onderstaande voorbeelden maken dit duidelijk: Voorbeeld 1: Een bestaande DigiD-aansluiting wordt naar verwachting niet meer gebruikt en afgesloten voor 1 mei Deze aansluiting valt in de vrijstellingsperiode en hoeft niet te worden verantwoord richting Logius. In het de ENSIA-systematiek telt deze aansluiting niet mee; er hoeft geen DigiDvragenlijst te worden ingevuld voor deze aansluiting. Voorbeeld 2: Een nieuwe DigiD-aansluiting is geactiveerd op 2 februari De assessmentplicht voor een nieuwe aansluiting is twee maanden na activatie, in dit geval dus per 2 april 2017, met een vrijstelling voor 12 maanden (tot 2 april 2018). De vrijstellingsdatum van 2 april valt in de reguliere audit periode, die loopt van 1 januari tot 1 mei 2018, en daarmee valt de betreffende DigiD-aansluiting onder de ENSIA-systematiek. Dit betekent: uiterlijk voor 1 mei 2018 een assesment-rapportage indienen over
8 Voorbeeld 3: Een nieuwe DigiD-aansluiting is geactiveerd op 15 april De assessmentplicht voor een nieuwe aansluiting is twee maanden na activatie, in dit geval dus per 15 juni 2017 met een vrijstelling voor 12 maanden (tot 15 juni 2018). De vrijstellingsdatum van 15 juni valt buiten de reguliere audit periode, die loopt van 1 januari tot 1 mei 2018, en daarmee valt de betreffende DigiD-aansluiting niet onder de ENSIA-verantwoordingsplicht. Dit betekent: niet opnemen in de collegeverklaring, geen audit door de auditor en vrijstelling voor een jaar; uiterlijk voor 1 mei 2019 een assurancerapport indienen over Er zijn ook gedeactiveerde DigiD-aansluitingen. Dat zijn aansluitingen die bijvoorbeeld niet voldoen aan de assessmentplicht of op verzoek van de gemeente zelf zijn gedeactiveerd. Om bestaande gedeactiveerde aansluitingen te activeren moet eerst een assessmentrapport worden ingediend. Daarbij ontvangt u een brief van Logius waarin de vrijstellingsperiode staat aangegeven. Op basis daarvan kunt u bepalen of uw aansluiting wel of niet binnen de ENSIA-systematiek valt. 8
9 Samengevat: alleen voor bestaande actieve DigiD-aansluitingen geldt de verantwoordingsplicht conform ENSIA. Bestaande aansluitingen zijn vroegere aansluitingen, aansluitingen die actief zijn geworden tussen 1 november 2016 en 1 maart 2017 én aansluiting die nog actief zijn op 1 mei Aansluitingen geactiveerd na 1 maart 2017 worden geclassificeerd als nieuwe aansluitingen en vallen vanwege de vrijstellingsperiode buiten de scope van de ENSIA verantwoordingsplicht. Dat laatste geldt ook voor bestaande aansluitingen die niet meer actief zijn op 1 mei 2018 of eerder. Ook voor deze aansluitingen geldt dat de ENSIA verantwoordingsplicht vervalt. Bovenstaande casuïstiek geldt bij het indienen van groene assessmentrapportages, waarvan Logius vaststelt dat de gemeente voldoet aan de gestelde normen. Indien sprake is van een situatie waarin niet aan alle normen is voldaan, dan komt de gemeente terecht in een regulier verbetertraject, zie Logius.nl voor de betekenis hiervan. Het verbetertraject gaat buiten ENSIA en het ENSIA tool om. Praktische tip: Indien bij uw gemeente sprake is van een nieuwe DigiDaansluitingen, achterhaal de activatiedatum en bepaal of de betreffende DigiD-aansluiting binnen of buiten de ENSIA-verantwoording valt. Achterhaal tevens of de DigiD aansluitingen van uw gemeente nog actief zijn per 1 mei Let op bij geactiveerde (van voorheen gedeactiveerde) aansluitingen, raadpleeg in die gevallen de begeleidende brief van Logius. 9
10 Gebruik van meer dan één DigiD-aansluiting De ENSIA-zelfevaluatie dient te worden ingevuld per DigiD-aansluiting. Dit omdat u zich als aansluithouder per aansluiting dient te verantwoorden. U verantwoordt zich in één Collegeverklaring over al uw assessmentplichtige DigD-aansluitingen. Wel stelt u per DigiDaansluiting de bijlagen B en C op. Het assurancerapport komt in enkelvoud en geeft assurance over de in de Collegeverklaring verantwoorde DigiD-aansluitingen Verschillende soorten gemeenten vanuit DigiD-perspectief Gemeenten kiezen zelf of ze de taken in het DigiD-domein uitbesteden of niet. Veel gemeenten kiezen voor maximaal ontzorgen en nemen de DigiD-applicatie af bij een service-organisatie. Dat kan een SAAS-oplossing zijn, maar de combinatie van een hosting- en applicatieleverancier komt ook voor. Bij dit laatste kan het voorkomen dat meerdere leveranciers participeren. Een aantal (veelal) grotere gemeenten heeft gekozen voor een eigen webserver en nemen alleen applicatiediensten af. De ENSIA-systematiek is gericht op het ontzorgen van de gemeenten die gekozen hebben voor maximaal uitbesteden. Het is van belang om per DigiD-aansluiting te weten welk model uw gemeente heeft gekozen. Praktische tip: Breng in kaart over hoeveel DigiD-aansluitingen uw gemeenten beschikt en waarvoor u als aansluithouder geregistreerd staat. Breng daarnaast per aansluiting in kaart welk model uw gemeente heeft gekozen. Indien uw gemeente zelf voorziet in de hosting van de DigiD-applicatie, dient u aanvullende vragen te beantwoorden. Het ENSIA-tool helpt u hierbij. 10
11 Positionering, stakeholders en verdeling van verantwoordelijkheden Het komt regelmatig voor dat de aansluithouder van DigiD gebruik maakt van een serviceorganisatie. Dat betekent dat de gemeente een deel van de DigiD-applicatie (inclusief beheer) heeft uitbesteed aan een leverancier. De DigiD-applicatie is de website of de webapplicatie die gebruik maakt van DigiD voor authenticatie. Er zijn verschillende varianten als het gaat om de taken en activiteiten die zijn uitbesteed binnen het domein van de DigiD-applicatie. De mate van uitbesteding is belangrijk voor de afweging wie van de partijen verantwoordelijk is voor welke werkzaamheden. Dit in relatie tot het DigiDassessment (zie verderop in dit hoofdstuk, onderdeel Verdeling van verantwoordelijkheden bij DigiD-assesment ). De meest voorkomende varianten zijn: Zowel hosting, applicatiebeheer als de implementatie zijn in handen van de gemeente. Hosting bij de gemeente en applicatiebeheer bij de leverancier, die geen verantwoordelijkheid heeft voor de implementatie. Hosting bij de gemeente en applicatiebeheer bij de leverancier, die bepaalde verantwoordelijkheid heeft voor de implementatie en beheerrechten heeft in de productieomgeving. Uitbesteding van applicatiebeheer en hosting onder aansturing van de gemeente (geen SAASomgeving) aan één of twee leveranciers. Volledige uitbesteding als SAAS-oplossing, waarbij wijzigingenbeheer volledig onder de leverancier valt met betrokkenheid van een gebruikersgroep. Ook andere varianten en vormen van ketensamenwerking zijn mogelijk. Het DigiD-assessment is gebaseerd op een normenset (webrichtlijnen NCSC), zie Norm ICTbeveiligingsassessments DigiD. Bij het uitvoeren van het DigiD-assessment moet per norm worden bepaald welke partij verantwoordelijk is voor een norm. Ruwweg wordt deze indeling aangehouden: Normen waarvoor de aansluithouder/gemeente verantwoordelijk is; Normen waarvoor de serviceorganisatie/leverancier verantwoordelijk is; Normen waarvoor beiden een gedeelde verantwoordelijkheid hebben. Bijlage 2 bevat een overzicht van de meest voorkomende verdeling van normen over de verschillende partijen. Een apart aandachtspunt daarbij vormen de normen waarvan de serviceorganisatie/leverancier aanneemt dat ook de aansluithouder/gemeente verantwoordelijk is (ook wel de user control considerations genoemd). Dit omdat de normen bij de serviceorganisatie alleen geen voldoende zekerheid bieden voor de beheersing van de DigiD-beveiligingsrisico s. Over deze normen dient goede afstemming te bestaan tussen de partijen. Het overzicht in bijlage 2 geeft inzicht in de normen waarvoor mogelijk zowel de aansluithouder/gemeente als de serviceorganisatie/leverancier verantwoordelijk zijn. De tabel in bijlage 2 bevat, naast de kolom voor de aansluithouder, twee kolommen: hostingpartij en softwareleverancier. Het komt voor dat een gemeente gebruik maakt van twee leveranciers, een voor de hosting en een voor applicatiebeheer. Veelal wordt dit door dezelfde leverancier uitgevoerd, in dat geval worden alle normen van de serviceorganisatie/leverancier ondergebracht 11
12 in één TPM. Indien gebruik gemaakt wordt van twee verschillende partijen, zullen twee TPM s opgeleverd moeten worden. Praktische tip: Breng voor uw situatie per DigiD-aansluiting de verdeling van de activiteiten in kaart en daarop gebaseerd de verdeling van de normen. De tabel in bijlage 2 kan daarbij als vertrekpunt dienen in combinatie met bijlage B uit het DigiD-assessmentrapport over
13 TPM s als onderdeel van DigiD-verantwoording De leverancier of serviceorganisatie kan een deel van de vragen beantwoorden vanuit een TPM (Third Party Mededeling of memorandum). Deze dient aan te sluiten op de vragen uit de ENSIAtool. Het is belangrijk om tijdig afspraken te maken met uw leverancier over de inhoud van de TPM (volgens het carve-out model). Deze zullen afhankelijk zijn van de diensten die u afneemt. KING heeft tijdens het leveranciersoverleg (van 31 maart en 30 juni 2017) met leveranciers afgesproken dat de TPM s over 2017 uiterlijk op 15 oktober 2017 aan gemeenten worden opgeleverd. Alle leveranciers hebben daarnaast een brief ontvangen met aanvullende informatie. Het is wenselijk dat gemeenten uiterlijk 15 oktober 2017 over de TPM beschikken. Dit zodat de gemeenten tijdig de TPM inhoudelijk beoordelen en vaststellen welke normen door de TPM zijn afgedekt. U kunt voor bestaande aansluitingen niet de bestaande TPM (over de DigiD-aansluiting in 2016) gebruiken. De TPM over 2017 dient gebaseerd te zijn op versie 2 van het DigiD-normenkader, daarnaast mogen TPM s niet worden hergebruikt. Praktische tip: Maak zo snel mogelijk afspraken met uw leverancier/serviceorganisatie over het ontvangen van de TPM, waarbij 15 oktober 2017 de streefdatum is. 13
14 2 Praktische uitvoering hoe te beginnen Dit hoofdstuk beschrijft de te nemen stappen, afhankelijk van uw specifieke situatie kunnen bepaalde stappen niet van toepassing zijn: 1 Aansluithouder zijn en het aantal DigiD-aansluitingen Ga na of uw gemeente DigiD-aansluithouder is en over hoeveel DigiD-aansluitingen uw gemeente beschikt. Het laatste DigiD-assesment rapport kan u hierbij verder helpen. Uw gemeente is DigiD-aansluithouder als u een contract heeft met Logius. Dit contract staat op naam van de gemeente en is voor de levering van de DigiD-snelkoppeling. 2 Uitbestede taken/activiteiten Breng per DigiD-aansluiting, waarvoor u aansluithouder bent, in kaart welke activiteiten zijn uitbesteed aan welke partij(en)/serviceorganisatie(s). Per DigiDaansluiting kan dit één partij zijn, die zowel de hosting van de webapplicatie aanbiedt als het applicatiebeheer, maar ook twee partijen/leveranciers zijn mogelijk. 3 Verdeling van DigiD-normen over de partijen Maak per DigiD-aansluiting, waarvoor u aansluithouder bent, een verdeling van de te beoordelen normen over de betrokken partijen. Maak hierbij gebruik van de tabel in bijlage 2. Bekijk per norm bij welke partij deze getoetst dient te worden. Een aantal normen raakt meer dan één partij. Voor deze normen dient met de betrokken partijen afgestemd te worden wie van de partijen welke onderdelen toetst. Dit zodat daarover geen misverstand kan bestaan. Zie ook de Norea handreiking DigiD voor toelichting bij de normen, de testaanpak en de toelichting per vraag in de DigiD-vragenlijst op ENSIA.nl. 4 Vraag leveranciers/serviceorganisaties om de TPM( s) Benader bij DigiD-aansluitingen betrokken partijen over de op te leveren TPM( s). De streefdatum is 15 oktober Op deze manier heeft u voldoende tijd om de uitkomsten van de TPM te verwerken in de zelfevaluatie. De TPM dient gebaseerd te zijn op versie 2.0 van het normenkader (zie Norm DigiD-assessments ). 5 Maak afspraken met een auditor Benader een daartoe bevoegde (RE-)auditor voor afspraken over het op te leveren DigiD-assessmentrapport en de assurance-rapportage. Let op, het assurance-rapport gaat indirect over DigiD. De auditor stelt een assurance-rapport op met betrekking tot de door de gemeente opgestelde collegeverklaring. Deze collegeverklaring gaat over informatiebeveiliging bij het gebruik van DigiD én Suwinet. Het Format Assurance rapport en Format Collegeverklaring dienen als voorbeeld. Maak afspraken met de auditor over de timing van de werkzaamheden, de opleverdatum van de assurancerapportage (uiterlijk april 2018) en de wederzijdse verwachtingen ten aanzien van op te leveren documenten en uit te voeren acties. 6 Ga aan de slag met de normen voor de aansluithouder/gemeente Ga aan de slag met de eigen normen die van toepassing zijn voor u als aansluithouder/gemeente. Beoordeel de normen, breng in kaart waar u staat als gemeente en zet eventuele to-do s op een rij. Neem passende acties indien van toepassing. De Norea handreiking DigiD en de toelichting in de ENSIA-tool (bij de vragen in de DigiD-vragenlijst) bieden handreiking over de interpretatie van de normen. Deze kunnen u helpen bij de zelfevaluatie. 7 Vul de vragenlijst in en verzamel de benodigde documentatie Vul de vragenlijst in en verzamel de benodigde documentatie. Zie bijlage 3 voor een overzicht van benodigde documentatie en vergeet niet ervoor te zorgen dat de TPM s 14
15 tijdig worden ontvangen. Bijlage 3 bevat een overzicht van de op te leveren documentatie. Indien een norm wordt afgedekt door een toereikende TPM-verklaring en niet ook van toepassing is voor de gemeente, vervalt de documentatieplicht voor de aansluithouder/gemeente. Bijlage 4 bevat een voorbeeld van een documentstructuur die u kunt toepassen om de verzamelde documentatie overzichtelijk te archiveren. 8 Beoordeel de TPM( s) Beoordeel na ontvangst de TPM( s) en weeg af welke normen voor welk gedeelte zijn afgedekt. Wellicht heeft dit gevolgen voor de acties en beantwoording van de vragen bij uw eigen normen. Hiervoor heeft u de tijd in de periode tussen 15 oktober 2017 en 31 december Completeer de vragenlijst en upload de documentatie Completeer indien nodig de vragenlijst voor de zelfevaluatie. Download bijlage B en C uit de ENSIA-tool, en vul deze aan. In Bijlage B dient u een overzicht van de DigiDarchitectuur op te nemen. U kunt hierbij het overzicht uit de DigiD-assurancerapportage van afgelopen jaar als vertrekpunt nemen. Deze kan zelfs overgenomen worden indien er geen wijzigingen zijn geweest in en rondom de DigiD-applicatie. Upload de benodigde documentatie: bijlage B en C DigiD-assessmentrapportage, het assurancerapport en de onderliggende TPM s en de collegeverklaring. 15
16 3 Bijlagen 3.1 Omnummertabel oude en nieuwe vormen Voor bestaande DigiD-aansluitingen wordt een nieuw normenkader gehanteerd: Norm ICT-beveiligingsassessments DigiD versie 2.0. Deze is gebaseerd op nieuwe beveiligingsrichtlijnen voor webapplicaties (zoals opgesteld door het NCSC en in combinatie met de uitkomsten van de analyse van de resultaten van ICT-beveiligingsassessments DigiD van de afgelopen jaren). Ten opzichte van de Norm v1.0, zijn in de Norm v2.0 een aantal normen vervangen. Daarnaast zijn de nummering en terminologie van de nieuwe beveiligingsrichtlijnen gehanteerd is de reikwijdte per norm op onderdelen aangepast. Onderstaande tabel bevat de omnummering voor de oude en nieuwe normen. Onderstaande tabel geeft een globaal inzicht in de omnummering, maar dekt niet de gehele lading. Op specifieke elementen kan de vertaling tussen oude en nieuwe normen afwijken. Oude norm Nieuwe norm Omschrijving norm B0-14 B.05 In een contract met een derde partij, voor de uitbestede levering of beheer van een webapplicatie (als dienst), zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. B0-12 U/TV.01 De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen op voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. geen U/WA.02 Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. B3-1 U/WA.03 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. B3-4 U/WA.04 De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. B5-3 U/WA.05 De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. B3-2 U/PW.02 De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. B3-16 U/PW.03 De webserver is ingericht volgens een configuratie-baseline. B2-1 U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. B0-6 U/PW.07 Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. 15
17 B1-1 U/NW.03 Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. B7-1 U/NW.04 De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. B1-2 U/NW.05 Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. B0-6 U/NW.06 Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. B0-9 C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). B0-8 C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). B7-1 C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. B7-8 C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. B0-5 C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. B0-7 C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen. 16
18 3.2 Mogelijke verdeling normen Onderstaande tabel geeft een mogelijke verdeling van de normen weer over de partijen die betrokken zijn bij een DigiD-aansluiting. Afhankelijk van een specifieke inrichting kan een andere verdeling van toepassing zijn. Norm Omschrijving norm Aansluithouder /gemeente Hostingpartij Softwareleverancier B.05 In een contract met een derde partij voor de uitbestede levering U/TV.01 U/WA.02 U/WA.03 U/WA.04 U/WA.05 U/PW.02 of beheer van een webapplicatie (als dienst) zijn de beveiligingseisen en-wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. 17 U/PW.03 De webserver is ingericht volgens een configuratie-baseline. U/PW.05 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van
19 U/PW.07 U/NW.03 U/NW.04 U/NW.05 U/NW.06 beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. 18
20 C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. 19
21 3.3 Overzicht te verzamelen documentatie Onderstaande tabel bevat een totaal overzicht van de mogelijk op te leveren documentatie. Indien een norm wordt afgedekt door een toereikende TPM verklaring, vervalt uiteraard de documentatieplicht voor de aansluithouder/gemeente. Disclaimer: kijk in ENSIA tool naar de toelichting opnieuw bekijken! Norm Omschrijving norm Op te leveren documentatie B.05 In een contract met een derde partij, voor de uitbestede levering U/TV.01 U/WA.02 of beheer van een webapplicatie (als dienst), zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. 20 De organisatie dient een, door beide partijen ondertekend, contract te hebben waarin tenminste de volgende zaken zijn opgenomen: een beschrijving van de diensten die onder het contract vallen; de van toepassing zijnde leveringsvoorwaarden; informatiebeveiligingeisen met de relevante eisen vanuit het beveiligingsbeleid; het melden van beveiligingsincidenten en datalekken; de behandeling van gevoelige gegevens; wanneer en hoe de leverancier toegang tot de systemen/data van de gebruikersorganisatie mag hebben; Service Level Reporting; het jaarlijks uitvoeren van audits bij de leverancier(s); beding dat deze voorwaarden back-to-back worden doorgegeven aan mogelijke subleveranciers. Het beveiligingsbeleid, joiners/movers/leavers-procedure, de autorisatieprocedure, afspraken met leveranciers met betrekking tot de toegang tot systemen & data en andere gerelateerde documenten. Inspecteer de functie/taakbeschrijvingen van beheerders, de autorisatiematrix en het autorisatiebeheerproces.
22 U/WA.03 U/WA.04 U/WA.05 U/PW.02 De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. Resultaten penetratietest. Resultaten penetratietest. Overzicht van de classificatie van gegevens en daaraan gerelateerde risicoanalyse, de netwerkarchitectuur (HTTPS en TLS-configuraties) en het inrichtingsdocument waar de encryptie van gegevens in staat beschreven. Resultaten penetratietest. U/PW.03 De webserver is ingericht volgens een configuratie-baseline. De configuratie-baseline van de webserver. U/PW.05 U/PW.07 U/NW.03 U/NW.04 U/NW.05 U/NW.06 Het beheer van platformen maakt gebruik van veilige (communicatie)protocollen voor het ontsluiten van beheermechanismen. Daarnaast wordt het beheer uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van platformen is een hardeningrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet is gepositioneerd. De netwerkcomponenten en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanismen. Binnen de productieomgeving zijn beheer- en productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. Het (operationele) beleid met betrekking tot het gebruik van beheervoorzieningen en de daarbij vereiste authenticatie. Bewijs van toepassing hardeningsrichtlijn. Netwerkarchitectuurschema, inclusief een overzicht van de toegestane verkeersstromen tussen netwerksegmenten. Het netwerkarchitectuurschema, de inrichtingsdocumentatie en de beheerprocedure van de IDS/IPS. Inrichtingsdocument waaruit blijkt op welke wijze contentbeheer (web- en databasecontent), applicatiebeheer en technisch beheer worden uitgeoefend en het netwerkarchitectuurschema. Bewijs van toepassing hardeningsrichtlijn. 21
23 C.03 Vulnerabilityassesments (security scans) worden procesmatig en procedureel uitgevoerd. Dit op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomgeving zijn signaleringsfuncties (registratie en detectie) actief, efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt en geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICTvoorzieningen. Vulnerabilityassessmentrapport, het actieplan naar aanleiding van de vulnerabilityassessment en het statusrapport met betrekking tot de bevindingen. Penetratietestrapport, het actieplan naar aanleiding van de penetratietest en het statusrapport met betrekking tot de bevindingen. Configuratiedocument waarin de alarmsituaties en drempelwaarden in het IDS/IPS staan beschreven, inclusief het genereren van de bijbehorende alerts. Het incidentbeheerproces inclusief de inbedding van alert-afhandeling en de escalatieprocedure. De procedurebeschrijving met betrekking tot de logging, vastlegging van de periodiek review van de logging, periodieke rapportage aan het management en follow-up acties naar aanleiding van de review en analyse van de logging. De wijzigingsprocedure en documentatie over de inrichting van de OTAP-omgeving. Patchmanagementbeleid. 22
24 3.4 Documentstructuur voor structurering DigiD-documentatie De documentenstructuur is een handreiking voor het bewaren van de evidence bij de DigiD-vragenlijst in de ENSIA-tool. Een mogelijke structuur is: Algemeen (evidence die hoort bij vragen voor alle aansluitingen). Aansluiting 1 (evidence bij de vragen per aansluiting, met apart mapje per aansluiting): o Norm: B.05 o Norm: U/TV.01 o Norm: U/WA.02 o Norm: U/WA.03 o Norm: U/WA.04 o Norm: U/WA.05 o Norm: U/PW.02 o Norm: U/PW.05 o Norm: U/PW.07 o Norm: U/NW.03 o Norm: U/NW.04 o Norm: U/NW.05 o Norm: U/NW.06 o Norm: C.03 o Norm: C.04 o Norm: C.06 o Norm: C.07 o Norm: C.08 o Norm: C.09 Aansluiting 2 (eventueel aparte submappen voor de U-groep, C-groep, et cetera.) o Norm: B.05 o Norm: U groep Norm: U/TV.01 Norm: U/WA.02 Norm: U/WA.03 Norm: U/WA.04 Norm: U/WA.05 Norm: U/PW.02 Norm: U/PW.05 Norm: U/PW.07 Norm: U/NW.03 23
25 Norm: U/NW.04 Norm: U/NW.05 Norm: U/NW.06 o Norm: C Norm: C03 Norm: C.04 Norm: C.06 Norm: C.07 Norm: C.08 Norm: C.09 o Norm: groep PM Aansluiting 3. Geef in de mapnamen de referentie van de norm weer, zoals in de titel van de vraag in de ENSIA-tool staat. Mogelijk is een clustering handig. Een voorstel voor clustering is weergegeven onder Aansluiting 2. Voor mapvolgorde is de volgorde aangehouden zoals die van de normen in de vragenlijst. 24
26 3.5 Achtergrond DigiD Met DigiD kunnen burgers online zakendoen met de overheid en organisaties met een publieke taak. DigiD geeft burgers gemakkelijk, betrouwbaar en veilig toegang tot uw digitale dienstverlening. Veel gemeenten maken gebruik van DigiD. Aan het gebruik van DigiD worden eisen gesteld voor de aansluithouders. Eén daarvan is dat alle DigiD gebruikende organisaties hun ICTbeveiliging getoetst dienen te hebben op basis van een ICT-beveiligingsassessment (bron: Brief minister van BZK aan de Tweede Kamer: Lekken in een aantal gemeentelijke websites, d.d. 11 oktober 2011, kenmerk: ). Dit ICT-beveiligingsassessment dient jaarlijks te worden herhaald. Het assessment wordt uitgevoerd op basis van een normenset die is samengesteld door NCSC in overleg met VNG/KING. De normenset gaat in op alle aspecten die van belang zijn bij het vaststellen van veilige informatie-uitwisseling (zie document Norm DigiD assessments DigiD ). De hoofddoelstelling van het verplichte assessment en onderliggende normen is het waarborgen van het vertrouwen van de burger in de elektronische overheidsdienstverlening. Op hoofdlijnen zijn hierbij drie aspecten van belang: a. De beveiliging van een webapplicatie die gebruik maakt van DigiD moet op orde zijn; b. Detectieve maatregelen moeten aanwezig zijn, waarmee misbruik van een eventuele kwetsbaarheid in de webapplicatie wordt gedetecteerd; c. Een toereikende incidentmanagementprocedure dient aanwezig te zijn, waarmee adequaat kan worden gereageerd op een incident en gevolgschade kan worden beperkt. 25
HANDREIKING DIGID-ZELFEVALUATIE
HANDREIKING DIGID-ZELFEVALUATIE Datum 2 augustus 2017 Versie 1 2 INHOUDSOPGAVE 1 Inleiding en achtergrond... 4 1.1 DigiD in relatie tot ENSIA... 4 1.2 DigiD en de ENSIA-tool... 5 1.3 DigiD en de auditor...
Nadere informatieENSIA guidance DigiD-assessments
ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments 31 oktober 2017 Agenda Het nieuwe DigiD normenkader 2.0 De eerste inzichten ENSIA en DigiD 2 DigiD assurance Richtlijn 3000 Opdrachtaanvaarding
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 2.0 Datum 16 december 2016 Status Definitief Colofon Projectnaam DigiD Versienummer 2.0 Contactpersoon Servicecentrum Organisatie Logius Bezoekadres Wilhelmina
Nadere informatieBijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum
Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel
Nadere informatieRapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C
DigiD aansluiting no.1 - Bijlage B + C Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C gemeente Renswoude Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen?
Nadere informatieGemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services
Gemeente Renswoude ICT-beveiligingsassessment DigiD DigiD-aansluiting 1002427 Gemeente Renswoude Datum rapport: 29 maart 2018 Dit rapport heeft 20 pagina s Rapportnummer: AAS2018-256-A Inhoudsopgave 1
Nadere informatieTHIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2
THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 7.2 KENMERK: 1709R.AH117 DATUM: 29 SEPTEMBER 2017 Third Party Mededeling 2017 Applicatie: CityPermit Release:
Nadere informatie^insiteaudit. DigiD-beveiligingsassessment. Third Party Mededeling SIMgroep. Referentie H a a r l e m, 29 n o v e m b e r 2017
DigiD-beveiligingsassessment Third Party Mededeling SIMgroep Referentie 2017.277 H a a r l e m, 29 n o v e m b e r 2017 Dit assurancerapport heeft 12 pagina's ^insiteaudit Rapport voor Gemeente Renswoude
Nadere informatieGemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS
Gemeente Renswoude ENSIA 2017 Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS2018-389 Assurancerapport van de onafhankelijke IT-auditor Aan: College van burgemeester en wethouders
Nadere informatieENSIA guidance DigiD-assessments
ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments v 31 oktober 2018 Agenda De testaanpak 2018 DigiD normenkader 2.0 Nieuwe bijlage DigiD Vooruitzichten 2019 2 DigiD assurance Richtlijn
Nadere informatieCollegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet
Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet Het college van burgemeester en wethouders van de gemeente Olst-Wijhe legt met deze verklaring verantwoording
Nadere informatieWat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.
Alles over ENSIA UITVOERING Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA heeft tot
Nadere informatieWat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.
Alles over ENSIA UITVOERING Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA heef tot doel
Nadere informatieNaast een beperkt aantal tekstuele verbeteringen en verduidelijkingen zijn de belangrijkste wijzigingen:
NOTITIE Aan : Betrokkenen bij de testaanpak DigiD -assessments Datum : 12 juni 2018 Van Status : NOREA Werkgroep DigiD assessments Definitief Betreft : Update 2018 Handreiking bij DigiD-assessments 2.0,
Nadere informatieNadere toelichting: De organisatie dient een, door beide partijen ondertekend, contract te hebben
Pagina 1 van 10 Toelichting: In de onderstaande tabel is aangegeven bij welke beveiligingsrichtlijnen zich de situatie kan voordoen dat wel voldaan is aan de opzet van de interne beheersmaatregel, maar
Nadere informatiea> GEMEENTE vve E RT ]'il-s 1392 Inleiding ! Gewijzigde versie ! Anders, nl.: Beslissing d.d.: 2e - O3.?ætS Voorstel Onderwerp Beoogd effect/doel
o P >L to åt a> GEMEENTE vve E RT ]'il-s 1392 Afdeling Naam opsteller voorstel Portefeuillehouder D&I - Dienstverlen ng &Informatie Harr e van Helvoort (0621876848) A.A.M.M. (Jos) Heijmans B&W-voorstel:
Nadere informatieVersie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.
Notitie Verantwoordingsstelsel ENSIA Versie: 21 december Inleiding Doel van deze notitie is het bieden van een eenduidige beschrijving van het verantwoordingsstelsel ENSIA voor alle partijen en personen
Nadere informatieBijeenkomst DigiD-assessments
Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen
Nadere informatieNieuw DigiD assessment
Nieuw DigiD assessment Programma 09.30 uur - Inloop en koffie/thee 10.00 uur - Opening door dagvoorzitter 10.05 uur - Duopresentatie door René IJpelaar en Martijn Mol 11.15 uur - Pauze 11.30 uur - Presentatie
Nadere informatieNOTITIE. Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.
NOTITIE Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.0 Aanleiding Naar aanleiding van een analyse van de resultaten
Nadere informatieHANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN
HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN Datum 3 augustus 2017 Versie 0.5 2 INHOUDSOPGAVE 1 VERANTWOORDEN VANUIT SAMENWERKING... 4 2 EEN VERANTWOORDINGSSTELSEL & VERSCHILLENDE TOEZICHTHOUDERS...
Nadere informatieGemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services
Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave
Nadere informatieVersie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.
Notitie Verantwoordingsstelsel ENSIA Versie: 2 november 2018 Inleiding Doel van deze notitie is het bieden van een eenduidige beschrijving van het verantwoordingsstelsel Eenduidige Normatiek Single Information
Nadere informatieHANDREIKING. Bij het DigiD assessment 2.0 geldig vanaf 1 juli BKBO B.V. Voorstraat CP Vlijmen
HANDREIKING Bij het DigiD assessment 2.0 geldig vanaf 1 juli 2017 WWW.BKBO.NL BKBO B.V. Voorstraat 20 5251 CP Vlijmen Pagina 2 van 32 NOTITIE Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep
Nadere informatieDigiD beveiligingsassessment
DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 2 1.1 Achtergrond 2 1.2 Opdrachtomschrijving 2 1.3 Reikwijdte
Nadere informatieTHIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1
THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 KENMERK: 1603R.AH46 DATUM: 30 MAART 2016 INHOUDSOPGAVE 1. Assurancerapport van de onafhankelijke auditor...
Nadere informatieVoordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:
Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit
Nadere informatieConcept HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten
Concept HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten Versie 0.9, 30 oktober 2017 Inhoud Inhoud 2 Over deze handreiking ENSIA 3 Aanleiding 4 Achtergrond
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieHandreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten
Handreiking Opstellen collegeverklaring ENSIA 2018 Versie 2.0 Vereniging van Nederlandse Gemeenten Nassaulaan 12 2514 JS Den Haag Versie 2.0 Januari 2019 Versie Datum Aanpassing 1.0 16 januari 2019 2.0
Nadere informatieENSIA voor informatieveiligheid
ENSIA voor informatieveiligheid Introductie ENSIA 2018 Handreiking voor ENSIA coördinatoren 2018 Agenda Welkom & introductie ENSIA ENSIA stelsel & participanten Rol ENSIA coördinator Fasen verantwoording
Nadere informatieDigiD beveiligingsassessment Decos Information Solutions
DigiD beveiligingsassessment 2016-2017 Information Solutions DigiD groepsaansluiting Burgerberichten Kenmerk BKBO/161216/AR Dit assurancerapport heeft 10 pagina s www.bkbo.nl Information Solutions Inhoudsopgave
Nadere informatieConcept-HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten
Concept-HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten Versie 0.94, 5 december 2017 Inhoud Inhoud 2 Over deze handreiking ENSIA 3 Aanleiding 4 Achtergrond
Nadere informatieHandleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
Nadere informatieDIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND
DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT
Nadere informatieVersie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.
Notitie Verantwoordingsstelsel ENSIA Versie: 29 juni 2017, definitief Inleiding Doel van deze notitie is het bieden van een eenduidige beschrijving van het verantwoordingsstelsel ENSIA voor alle partijen
Nadere informatieHANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten
HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten Versie 1.0, 31 januari 2018 Inhoud Inhoud 2 Over deze handreiking ENSIA 3 Aanleiding 4 Achtergrond
Nadere informatieVersie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.
Notitie Verantwoordingsstelsel ENSIA Versie: 11 juni 2019 Definitief 1.0 Inleiding Doel van deze notitie is het bieden van een eenduidige beschrijving van het verantwoordingsstelsel Eenduidige Normatiek
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieRapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën
Object Totaaloverzicht - Auditdienst Rijk Minhterie van Financiën Rapportage ICT beveiligingsassessment DigiD 2014 /d. Aan Ministerie van VWS CIBG Datum : 27januari 2015 Van Aansluiting Ministerie van
Nadere informatieIT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018
IT Auditor en ENSIA NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA 31 oktober 2018 Agenda Audit object Pre-Audit Beroepsregels Content, verantwoording Afwerking Kwaliteitsstreven
Nadere informatieBrief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)
Brief aan de leden T.a.v. het college en de raad Datum 21 maart 2017 Ons kenmerk ECIB/U201700182 Lbr. 17/017 Telefoon (070) 373 8338 Bijlage(n) 1 Onderwerp nieuw verantwoordingsproces informatieveiligheid
Nadere informatieHANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten
HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten Versie 2.0, 25 oktober 2018 Inhoud Inhoud 2 Over deze handreiking ENSIA 3 Aanleiding en achtergrond
Nadere informatieH t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging
Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting
Nadere informatieENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017
ENSIA Het audit perspectief René IJpelaar Achmed Bouazza Werkgroep ENSIA 4 juli 2017 Agenda Even voorstellen Uitgangspunten ENSIA Auditproces ENSIA voor de IT auditor Aandachtspunten bij het auditproces
Nadere informatieHandreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017
Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Versie 2.0 van mei 2019 Inhoud 1 Inleiding... 3 Waarom een handreiking voor de implementatie van het nieuwe normenkader?... 3 2 Algemene
Nadere informatieRapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018
Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van
Nadere informatieAssurancerapport DigiD assessment Justis
Auditdienst Rijk Ministerie van Financiën Assurancerapport DigiD assessment Justis Voor Logius Colofon Titel Uitgebracht aan DigiD assessment Justis Ministerie van Veiligheid en Justistie * Justis Datum
Nadere informatieAuditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag
Io,.Z.e 2500 EA Den Haag Postbus-ziju i to Afdeling IT-beheer Raad van State Korte Voorhout 7 www.rljksoverheilj.nl 2500 EE Den Haag Postbus 20201 2511CW Oen Haag Audïtdlenst Rijk Ministerie van Fincuicièn
Nadere informatieHandreiking Implementatie Specifiek Suwinetnormenkader
Handreiking Implementatie Specifiek Suwinetnormenkader Afnemers 2017 Inhoud 1 Inleiding 3 1.1 Waarom een handreiking voor de implementatie van het nieuwe normenkader? 3 2 Algemene verschillen Verantwoordingsrichtlijn
Nadere informatieToepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur
Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD
Nadere informatieENSIA voor Informatieveiligheid. Informatie voor Auditors
ENSIA voor Informatieveiligheid Informatie voor Auditors 04072017 2 ENSIA: Wat vooraf ging Resolutie Informatieveiligheid een randvoorwaarde voor professionele dienstverlening Implementatie Baseline informatieveiligheid
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Nadere informatieIT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017
IT Auditor en ENSIA Bijdrage Maarten Mennen 31 oktober 2017 IT auditor, auditproject IT auditor en zijn verantwoordelijkheid in het kader van ENSIA: (*) Centraal staat het adequaat voorbereiden en inrichten
Nadere informatieConclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging
Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging Achtergrond In 2016 zijn de normenkaders voor de informatiebeveiliging van de
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810
Nadere informatieVer V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics
In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics Wat betekent ENSIA voor uw College Wat betekent ENSIA voor uw Raad Gemeentelijk organiseren ENSIA: Wat vooraf ging Waarom
Nadere informatieENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017
ENSIA en Assurance Van concept naar praktijk Drs. ing. Peter D. Verstege RE RA 31 oktober 2017 Agenda Traject tot 31 oktober 2017 Assurance 2017 Stip aan de horizon Organisatie aan de zijde van NOREA Status
Nadere informatieINHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE
Rapportage ENSIA Aan : Gemeente Olst- Wijhe College van B&W Van : M. Hommes Datum : Betreft : Collegeverklaring gemeente Olst- Wijhe d.d. 24 april 2018 INHOUD 1 Conclusie... 3 2 Basis voor de conclusie...
Nadere informatieENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018
ENSIA en Assurance Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA NOREA-werkgroep ENSIA 31 oktober 2018 Agenda Lessons learned 2017 Aangepaste handreiking ENSIA 2018 en
Nadere informatieBABVI/U201200230 Lbr. 12/015
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari
Nadere informatieJaarverslag Informatiebeveiliging en Privacy
Jaarverslag Informatiebeveiliging en Privacy Jaarverslag informatieveiligheid en privacy Inleiding De gemeente Nederweert onderstreept het belang van informatieveiligheid en privacy. De grote hoeveelheid
Nadere informatieNieuw normenkader ICT Beveiligingsassessments DigiD
DGOBR Logius Contactpersoon Eelco van Vliet M 06 22429643 eelco.van.vliet@logius.nl Datum 5 februari 2016 Nieuw normenkader ICT Beveiligingsassessments DigiD Doel van dit memo is de Directie Burgerschap
Nadere informatieFormat assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]
Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Opdrachtbevestiging Versie [1.0] Datum [ ] Status [ ] 1 Colofon Titel Assurance over de juistheid van
Nadere informatieOndersteuning op de toetsing van Suwinet uit de Collegeverklaring
27 augustus 2018 ENSIA Nieuwsbrief In deze nieuwsbrief de volgende onderwerpen: Formats Collegeverklaringen Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring Nieuwe ENSIA-coördinator? Geef
Nadere informatieHandreiking uitvoering ENSIA verantwoording 2018
Handreiking uitvoering ENSIA verantwoording 2018 1 Versiebeheer Versie Wijzigingen Datum 1.0 Eerste versie september 2018 2.0 Kruisjestabel DigiD toegevoegd oktober 2018 3.0 1. Suwinet normen versus BIG-vragen
Nadere informatieBABVI/U201300696 Lbr. 13/057
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting
Nadere informatieHet ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013
Het ICT beveiligingsassessment DigiD Bas Colen CISSP CISA Eindhoven 17 september 2013 Deze dertig minuten Onze situatie Hoe? En welke aanpak is gevolgd De normen / beveiligingsrichtlijnen Ervaringen, lessen
Nadere informatieHandreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten
Bijlage 1 Versie 2015 Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten
Nadere informatieHandreiking DigiD ICT-beveiligingsassessment voor RE's
Bijlage 1 Handreiking DigiD ICT-beveiligingsassessment voor RE's Het doel van deze tabel is de IT-auditor een handreiking te verstrekken ten aanzien van het toepasingsgebied, de scope en een testaanpak,
Nadere informatieAssurancerapport van de onafhankelijke IT-auditor
Assurancerapport van de onafhankelijke IT-auditor Aan: College van burgemeester en wethouders van gemeente Renswoude Ons oordeel Wij hebben de bijgevoegde Collegeverklaring ENSIA 2017 inzake informatiebeveiliging
Nadere informatieOverzicht Informatiebeveiliging Inlichtingenbureau GGK
Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende
Nadere informatiemakkelijke en toch veilige toegang
voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieYouri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA
Even voorstellen Youri Lammerts van Bueren CISO BUCH-gemeenten Stuurgroeplid 1 Wat is ENSIA ENSIA: Eenduidige Normatiek Single Information Audit Nieuwe verantwoordingssystematiek voor gemeenten ten aanzien
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieFormat presentatie Kick-off
Format presentatie Kick-off Dit format kan worden gebruikt om een presentatie te geven bij de kick-off. De eerste sheets gaan in op achtergrond en effecten van ENSIA die voor alle gemeenten vergelijkbaar
Nadere informatieNORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013
NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met
Nadere informatieHandleiding ENSIA-tool. voor gemeenten
Eén slimme verantwoording voor informatieveiligheid Handleiding ENSIA-tool voor gemeenten September 2017, versie 2.5 ENSIA is een initiatief van de VNG en de ministeries van BZK, I&M en SZW Inhoud Inleiding...
Nadere informatieChecklist informatieveiligheid. 12 januari versie 1.1
Checklist informatieveiligheid 12 januari 2017 - versie 1.1 ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in
Nadere informatieENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS
ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS Datum 29 juni 2017 Versie 1 Status: Definitief Inhoud 1 Inleiding 3 2 Taken en verantwoordelijkheden van gemeentelijke stakeholders 4 2.1 College
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatie/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk
Beschrijving Object - BIG register, Auditdienst Auditdienst Rijk Ministerie van Financiën Rapportage ICT beveiligingsassessment DigiD 2014 /011 Aan Ministerie van Volksgezondheid, Welzijn en Sport CIBG
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven
ENSIA door gemeenten 31 oktober 2017 Edith van Ruijven ensia@kinggemeenten.nl 2 3 Boodschap voor gemeenten Gemeenten verantwoorden zich aan de eigen toezichthouder. Gemeenten voeren zelfevaluatie informatieveiligheid
Nadere informatieACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS
Bijlage gemeente Houten: IS18.00915 Gemeente Houten ENSIA 2017 Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS2018-252 Assurancerapport van de onafhankelijke IT-auditor Aan:
Nadere informatieHandreiking uitvoering ENSIA verantwoording 2018
Handreiking uitvoering ENSIA verantwoording 2018 1 Versiebeheer Versie Wijzigingen Datum 1.0 Eerste versie september 2018 Inhoudsopgave Leeswijzer... 5 ENSIA verantwoording 2018... 5 ENSIA stelsel... 5
Nadere informatieDigikoppeling adapter
Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555
Nadere informatieo n k Ö A fia* V/ \ ^ * f
- JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten
Nadere informatieBABVI/U201201301 Lbr. 12/081
-3700 MG //oor Brief aan de leden T.a.v. het college en de raad Vereniging van Nederlandse landse Gemeenten Gemeenten U. *^ ' :3ort. A;nt.;.; 076101 Stre.-ttJat.: informatiecentrum tel. uw kenmerk bijlage
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag
> Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl
Nadere informatieDIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT
DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT Service Level Agreement (SLA) - BC Online Boekhouden Artikel 1. Definities Leverancier: BusinessCompleet.nl
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieDatabeveiliging en Hosting Asperion
Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatie