Verantwoordingsrichtlijn

Transcriptie

1 Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet Conceptversie 2.0 definitief

2 Inhoudsopgave 0. Managementsamenvatting 3 1. Inleiding Achtergrond Leeswijzer Onderhoud Verantwoordingsrichtlijn edp-audit Suwinet en Suwinet- Normenkader 6 2. Toelichting bij de edp-audit Opdracht en opdrachtgever Betrokkenen Doelstelling Uitgangspunten Afbakening object van onderzoek Te gebruiken kwaliteitscriteria Frequentie en diepgang van het onderzoek Uitvoeringsnormen aan de edp-audit Inleiding Kwaliteitseisen onderzoek edp-auditor Oordeelsvorming en weging Uitbesteding ICT, controle en oordeelsvorming Toetsen van opzet, bestaan en werking Toetsingsnormen Uitgangspunten Normenkader Opbouw Normenkader Niveau Normenkader Bronnen / best practices Rapportage Eisen rapportage beveiliging Suwinet Jaarlijkse rapportage Publieke versie jaarlijkse rapportage Samenvattende Rapportage Openbaarmaking rapportages Bijlagen Verantwoordingsrichtlijn edp-audit Suwinet 26 Bijlage A: Model Oordeel edp-audit Suwi-partijen 27 Bijlage B: Model Oordeel edp-audit BKWI 32 Bijlage C: Elementen Samenvattende Rapportage 36 Bijlage D: Suwinet-Normenkader 40 Bijlage E: Handreiking tot de werking in context van opzet en bestaan 65 Bijlage F: Begrippen, definities & afkortingen 69 Bijlage G: Wijzigingen ten aanzien van vorige versies 71 Bijlage H: Literatuurlijst 73 Bijlage I: Samenstelling Werkgroep Verantwoordingsrichtlijn 73 Verantwoordingsrichtlijn v2.0.doc - 2 van 73

3 0. Managementsamenvatting Het Suwinet vervult een essentiële functie bij de uitwisseling van gegevens door de partijen binnen het Suwidomein. Het niet of in onvoldoende mate functioneren van het Suwinet heeft grote invloed op het deel van de bedrijfsprocessen bij de Suwi-partijen dat gebruik maakt van bij een andere Suwipartij beschikbare informatie. In het licht hiervan, alsmede gezien de aard van de uitgewisselde informatie (privacy gevoelige persoonsgegevens), dient door de Suwi-partijen die gebruik maken van Suwinet een uniform niveau van betrouwbaarheid in termen van beschikbaarheid, integriteit en vertrouwelijkheid te worden gewaarborgd. De Regeling SUWI d.d. 21 december 2001 (hierna te noemen Regeling SUWI) en vooral Bijlage XIV van deze Regeling ( Beveiliging Suwinet, versie 1.0, hierna te noemen Bijlage XIV) bevatten afspraken en eisen die de Suwi-partijen moeten naleven om de beveiliging van Suwinet op een gelijkwaardig niveau te verwezenlijken. Ook zijn in deze documenten bepalingen opgenomen over het verantwoordingsstelsel. Met dit stelsel beogen de Suwi-partijen elkaar transparantie te verschaffen over de mate waarin hun onderdeel van de Suwiketen aan de wettelijke beveiligingseisen voldoet. Op deze wijze kunnen de Suwi-partijen aan de wettelijke eis voldoen dat het uitwisselen van persoonsgegevens alleen mag plaatsvinden indien de verantwoordelijke zich ervan heeft overtuigd dat de ontvanger de informatie zorgvuldig en volgens de eisen in de wet behandelt. De in de Regeling SUWI en Bijlage XIV genoemde afspraken en eisen zijn echter niet zodanig geformuleerd dat er operationeel een gelijkwaardig oordeel 1 uit kan voortvloeien. Daarom hebben de Suwi-partijen het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging alsmede de jaarlijkse verantwoording daarvan naar het ministerie van Sociale Zaken en Werkgelegenheid (hierna te noemen SZW), de Inspectie Werk & Inkomen (hierna te noemen IWI) en naar elkaar (via de Samenvattende Rapportage van het BKWI). Deze onder de verantwoordelijkheid van de Domeingroep Privacy & Beveiliging (hierna te noemen: DPB) opgestelde verantwoordingsrichtlijn (hierna te noemen Verantwoordingsrichtlijn edp-audit Suwinet) gaat in op de wijze waarop de verplichte edp-audit van de beveiliging van Suwinet (hierna te noemen: edp-audit Beveiliging Suwinet) vorm en inhoud moet worden gegeven. Naast een eenduidig inzicht maakt de voorgeschreven rapportagevorm het tegelijkertijd mogelijk om op evenwichtige wijze het totaaloverzicht over de beveiliging van het Suwinet (hierna te noemen Samenvattende Rapportage), dat de Security Officer van het BKWI jaarlijks, in overleg met de DPB, moet uitbrengen aan de Minister van SZW en IWI, samen te stellen. IWI ziet namens de Minister van SZW toe op de kwaliteit van de edp-audits en het niveau van beveiliging. 1 Een gelijkwaardig oordeel houdt in dat de edp-auditors zodanige normen en werkwijzen hanteren dat, rekening houdend met de specifieke situatie bij het object van onderzoek / de opdrachtgever, de uitkomsten leiden tot een gelijkluidend oordeel ongeacht de edp-auditor die de audit heeft uitgevoerd. Verantwoordingsrichtlijn v2.0.doc - 3 van 73

4 Het oordeel van de edp-auditor houdt een uitspraak in over de bij een Suwi-partij aangetroffen situatie in relatie tot de norm zoals is gedefinieerd in Bijlage XIV. Deze verantwoordingsrichtlijn bevat als bijlage D een normenkader voor de beveiliging van het Suwinet (hierna te noemen Suwinet- Normenkader) dat meer aansluit op de operationele bedrijfsvoering dan de inhoud van Bijlage XIV en dat deze bijlage vervangt bij de uitvoering van de edp-audit Beveiliging Suwinet. Deze verantwoordingsrichtlijn met bijlagen dient daarom onderdeel te zijn van de opdracht aan de edpauditor. Gestreefd is in het oordeel zoveel als mogelijk nuances in te bouwen. Daarom is van de totale normenset een beperkt aantal normen tot essentieel benoemd. Aan deze essentiële normen dient in elk geval te worden voldaan, in de overige normen is ruimte voor `niet materiele tekortkomingen. Voor de goede orde wordt opgemerkt dat: Deze verantwoordingsrichtlijn uitsluitend betrekking heeft op de beveiliging van de gegevensuitwisseling via het Suwinet (conform Artikel 6.4 van de Regeling SUWI). De beveiliging van de gegevensverwerking (conform Artikel 5.22 van de Regeling SUWI), valt onder een ander verantwoordingsregime. De Samenvattende Rapportage geen inzicht biedt in het door de gemeenten gerealiseerde beveiligingsniveau, omdat niet is voorgeschreven dat daarover aan het BKWI wordt gerapporteerd. Het kan nodig blijken dat van jaar tot jaar verschillende accenten kunnen of moeten worden gelegd ten opzichte van de in deze verantwoordingsrichtlijn en de bijlagen opgenomen uitgangspunten. Deze accenten zullen in een jaarlijks addendum worden opgenomen. Dat addendum moet altijd worden bezien in relatie tot deze richtlijn. Het totstandkomen van het addendum doorloopt het goedkeuringproces dat ook voor deze richtlijn is gevolgd. Deze verantwoordingsrichtlijn is door de werkgroep Verantwoordingsrichtlijn ontwikkeld en op advies van het PPI door het Algemeen Ketenoverleg (verder genoemd: AKO ) op 29 oktober 2004 vastgesteld en heeft de instemming van het ministerie van SZW en IWI. Onderhoud vindt, in afstemming met de ICT auditors van de ketenpartijen en IWI, plaats in de DPB. Nieuwe versies worden ter vaststelling voorgelegd aan AKO. Verantwoordingsrichtlijn v2.0.doc - 4 van 73

5 1. Inleiding 1.1. Achtergrond De Regeling SUWI bevat de basis voor de edp-audit Beveiliging Suwinet, die verder uitgewerkt is in Bijlage XIV. Deze basis is abstract geformuleerd en geeft onvoldoende sturing en inhoud aan de elementen die moeten leiden tot een voor elke Suwi-partij en het BKWI gelijkwaardig oordeel. Daarnaast is in de praktijk gebleken dat de beveiligingseisen in Bijlage XIV in onvoldoende mate en/of evenwichtige wijze zijn geformuleerd in relatie tot functies en bedrijfsprocessen van het Suwidomein. Bovenstaande is de aanleiding voor het samenstellen van deze verantwoordingsrichtlijn en het hierin opgenomen normenkader. Met deze richtlijn wordt de inhoud van de uit te voeren edp-audit Beveiliging Suwinet nader gedefinieerd en met het Suwinet-Normenkader wordt een meer op de praktijk bij de Suwi-partijen toegesneden normenkader geformuleerd. Bij het samenstellen van deze verantwoordingsrichtlijn en de bijlagen is er van uitgegaan dat de uitwerking partij- en maatregelonafhankelijk moet worden geformuleerd zodat ook eventuele nieuwe Suwi-partijen de richtlijn en normen kunnen toepassen. Daarbij heeft deze verantwoordingsrichtlijn tot doel richtlijnen te geven om de uitkomsten van de edp-audit Beveiliging Suwinet bij de diverse Suwi-partijen en het BKWI te aggregeren en te presenteren ten behoeve van de Samenvattende Rapportage. Dit document is samengesteld door de Werkgroep Verantwoordingsrichtlijn (hierna te noemen: WGV) die onder de verantwoordelijkheid valt van de DPB. De DPB heeft geconcludeerd dat de beschreven beveiligingseisen in Bijlage XIV door het aantal te toetsen onderwerpen en een verschil in het niveau van de eisen niet geschikt is als directe basis voor de edp-audit Beveiliging Suwinet. Daarom heeft de WGV een normenkader samengesteld dat is opgebouwd uit normen die zijn gerelateerd aan binnen de Suwi-partijen herkenbare organisatorische aspecten, beheerprocessen, toepassingen en componenten. Deze normen zijn gebaseerd op best practices en zijn voorzien van accenten waarin tegelijkertijd de eisen zijn verwerkt die zijn opgenomen in Bijlage XIV. Het op deze wijze ontwikkelde normenkader maakt het door de Suwi-partijen gerealiseerde beveiligingsniveau transparant en vormt daarmee de basis voor het creëren van een onderlinge vertrouwensbasis die wordt versterkt via de oordelen met bijbehorende rapportages van de edpauditor van de Suwi-partijen. De eisen die gelden voor de beveiliging van het Suwinet zoals die zijn uitgewerkt in Bijlage XIV zijn ontleend aan: Code voor Informatiebeveiliging 2000: Achtergrondstudies en Verkenningen 23 Beveiliging van Persoonsgegevens (uitgegeven in april 2001 door het College Bescherming Persoonsgegevens); Specifieke eisen die samenhangen met de (beveiliging)structuur van het Suwinet. Uit de eis om een zelfde beveiligingsniveau voor het Suwinet te realiseren vloeit voort dat het ontwikkelde normenkader onderling is afgestemd in de daartoe ingerichte overlegorganen, te weten de DPB en het AKO. Verantwoordingsrichtlijn v2.0.doc - 5 van 73

6 Het Suwinet-Normenkader is integraal van toepassing op alle (toekomstige) partijen die gebruik maken van het Suwinet. De delen van dit normenkader, die bij een Suwi-partij niet van toepassing zijn, worden buiten de edp-audit Beveiliging Suwinet en daarmee buiten het oordeel gehouden. In de toelichting op het oordeel wordt gemotiveerd welke delen dit betreft. Het niet van toepassing verklaren van delen van dit normenkader mag uitsluitend zijn gebaseerd op het niet vervullen van bepaalde Suwinet functies. Andere motieven (zoals schaalgrootte van een organisatie) zijn geen geldig motief, omdat daarmee het beveiligingsniveau van het Suwinet als geheel in het geding kan komen. Het Suwinet-Normenkader is opgenomen als bijlage D en nader toegelicht in hoofdstuk 4. In deze verantwoordingsrichtlijn zijn naast de normen ook de richtlijnen opgenomen voor de uit te voeren edp-audit en voor de jaarlijkse verantwoording, waardoor de rapportages eenduidig en eenvormig zijn en de oordelen zijn gebaseerd op uniforme weging en afspraken Leeswijzer Deze verantwoordingsrichtlijn bevat informatie voor de edp-auditor die noodzakelijk is voor het uitvoeren van de edp-audit Beveiliging Suwinet, voor het formuleren van het oordeel over de beveiliging van Suwinet bij de afzonderlijke Suwi-partijen en voor het samenstellen van de rapportage bij dat oordeel. Het BKWI heeft in haar hoedanigheid van netwerkbeheerder een afwijkend object van onderzoek. Het Suwinet-Normenkader bevat de eisen die gelden als leidraad voor het operationeel management bij het inrichten van de organisatorische en technische infrastructuur voor de beveiliging van de gegevensuitwisseling via het Suwinet. Deze eisen moeten worden uitgewerkt in de vorm van procedures en maatregelen, die passend zijn in relatie tot de door de betreffende Suwi-partij gemaakte keuzes voor de inrichting en beheersing van de bedrijfsprocessen. Voor de edp-auditor van de Suwi-partij en het BKWI vormen de bijlagen de norm waaraan wordt getoetst of de opzet, het bestaan en de werking van de feitelijke beveiligingsmaatregelen voldoen aan de gestelde eisen Onderhoud Verantwoordingsrichtlijn edp-audit Suwinet en Suwinet- Normenkader De verdere ontwikkeling en gebruik van het Suwinet-Normenkader en ook de ervaringen bij het gebruik van de Verantwoordingsrichtlijn edp-audit Suwinet zullen leiden tot de noodzaak om deze verantwoordingsrichtlijn en de bijlagen te onderhouden. De Verantwoordingsrichtlijn edp-audit Suwinet inclusief bijlagen is in beheer bij de DPB. Onderhoud vindt, in afstemming met de ICT auditors van de ketenpartners en IWI, plaats in de DPB en gewijzigde versies worden vastgesteld door het AKO. Aanvulling- of wijzigingsvoorstellen kunnen worden ingediend bij het secretariaat van de Domeingroep op het volgende adres: Het BKWI T.a.v. secretariaat Domeingroep Privacy en Beveiliging Postbus AA AMSTERDAM Verantwoordingsrichtlijn v2.0.doc - 6 van 73

7 2. Toelichting bij de edp-audit 2.1. Opdracht en opdrachtgever De opdracht voor het uitvoeren van de edp-audit als bedoeld in Artikel 6.4 Regeling SUWI wordt verstrekt door: De Raad van Bestuur van CWI, SVB, respectievelijk UWV; Het Stichtingsbestuur van het Inlichtingenbureau; De gemeenteraad voor de gemeentelijke sociale diensten; De Algemeen Directeur van de Arbeidsinspectie; De Directeur van, respectievelijk de SIOD; De Directeur van het BKWI. Deze verantwoordingsrichtlijn met de bijlagen moet een integraal onderdeel uitmaken van de opdrachtverstrekking aan de edp-auditor, ook ingeval van uitbesteding van (een deel van) de werkzaamheden van de edp-audit Beveiliging Suwinet. Indien wenselijk, kunnen de uitgangspunten voor de edp-audit Beveiliging Suwinet jaarlijks bijgesteld worden. Deze bijstelling wordt door het AKO bekrachtigd Betrokkenen De werkzaamheden in het kader van deze verantwoordingsrichtlijn zijn gebaseerd op de Regeling SUWI. Deze regeling maakt onderdeel uit van de Wet SUWI. Deze wet is tot stand gekomen onder de verantwoordelijkheid van de Minister van SZW, die de (politieke) verantwoordelijkheid draagt voor de uitvoering van deze wet. Voor het toezicht op het functioneren en de naleving van de Wet SUWI maakt de Minister van SZW gebruik van de onafhankelijke, toezichthoudende werkzaamheden van IWI, die toeziet op de uitvoering en naleving van deze verantwoordingsrichtlijn en hierover rapporteert aan SZW. De strategische aspecten die samenhangen met de Wet SUWI worden behandeld in het AKO. Het overleg in het AKO wordt mede gevoed vanuit diverse gremia op het tactische niveau. Het voor deze verantwoordingsrichtlijn verantwoordelijke gremium op dit niveau is de DPB. In alle gremia hebben medewerkers van de Suwi-partijen en het BKWI zitting. Het BKWI is de ondersteunende instantie die ten dienste staat van de organisaties in de Suwiketen. Naast het zorgen voor het tot stand komen van afspraken om de Suwiketen te laten functioneren, is het BKWI ook verantwoordelijk voor het beheer van het Suwinet: het stelsel van technische voorzieningen waarmee de Suwi-partijen bij elkaar gegevens kunnen opvragen en uitwisselen Doelstelling Op grond van Artikel 6.4 Regeling SUWI moeten de Suwi-partijen jaarlijks voor 15 maart aan SZW en IWI rapporteren over de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensuitwisseling via het Suwinet. In paragraaf 2.4 wordt de opdracht nader toegelicht. Deze rapportage moet zijn vergezeld van een oordeel en een rapport van bevindingen Verantwoordingsrichtlijn v2.0.doc - 7 van 73

8 van een register edp-auditor. In haar jaarlijkse rapportage doet de Auditdienst van SZW verslag van de beveiliging van de AI en de SIOD. De publieke versie van deze rapportages vormt mede de basis voor de jaarlijks door de Security Officer van het BKWI in overleg met de DPB uit te brengen Samenvattende rapportage van de beveiliging van Suwinet (verder genoemd Samenvattende Rapportage). Deze rapportage is bestemd voor de Minister van SZW en IWI. De Suwi-partijen hebben een eigen verantwoordelijkheid voor het beheer van hun bedrijfsprocessen, de wijze waarop zij die beheersen en de wijze waarop zij daarover verantwoording afleggen. Ook hebben de Suwi-partijen de plicht om de edp-audit te laten verrichten door een door hen aan te wijzen persoon die is toegelaten tot de Nederlandse Orde van Register EDP-Auditors (NOREA). Deze uitgangspunten leiden ertoe dat de verschillende Suwi-partijen voor de bedrijfsvoering die onder hun verantwoordelijkheid valt, verschillende organisatorische, functionele en technologische keuzes voor de inrichting van de beveiliging van het Suwinet hebben gemaakt. Ook wordt de edpaudit bij elke Suwi-partijen door verschillende interne en externe (edp-audit)organisaties uitgevoerd. Daardoor is het noodzakelijk dat voor de edp-audit Beveiliging Suwinet afspraken worden gemaakt over: De doelstelling van het onderzoek; De afbakening van het object van onderzoek; De mate van zekerheid dat het oordeel moet bieden; De frequentie en de diepgang van het onderzoek; De weging van afwijkingen; Het te gebruiken normenkader; De vorm en inhoud van het oordeel en de bijbehorende rapportage. De hiervoor genoemde elementen zijn in deze verantwoordingsrichtlijn uitgewerkt. Aangezien edp-auditors bij een edp-audit toetsen aan normen en omdat het in de situatie van het Suwinet belangrijk is dat er sprake is van een gelijkwaardig oordeel, dienen de edp-auditors van alle Suwi-partijen zich te baseren op hetzelfde normenkader, te weten het Suwinet-Normenkader dat door de WGV is ontwikkeld en dat op advies van het PPI is vastgesteld door het AKO Uitgangspunten De doelstelling van de beveiliging van Suwinet luidt: het creëren van waarborgen ten aanzien van de kwaliteit van gegevens, bescherming van privacy en andere beveiligingsmaatregelen binnen het Suwidomein en de zeggenschap van elke org anisatie over de eigen onderdelen van het Suwinet. Het realiseren van deze doelstelling heeft tot gevolg dat elke 2 partij die van het Suwinet gebruik maakt moet beschikken over een oordeel met de strekking Het stelsel van maatregelen voldoet aan de norm, uitgesproken over de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via Suwinet. Het ontbreken van een dergelijk oordeel over een of meerdere delen van de Suwiketen leidt ertoe dat geen evenwichtige Samenvattende Rapportage kan worden samengesteld over de beveiliging van de Suwiketen als geheel. 2 De grondslag voor de audit verplichtingen van partijen die recent zijn aangesloten op Suwinet wordt in de actualisering van de verantwoordingsrichtlijn van volgend jaar opgenomen. Verantwoordingsrichtlijn v2.0.doc - 8 van 73

9 Voor de uitvoering van de edp-audit zal aan de edp-auditor toereikende informatie verstrekt moeten worden om in voldoende mate vast te kunnen stellen dat de beveiliging van (een deel van) de gegevensuitwisseling via het Suwinet voldoet aan de geformuleerde kwaliteitscriteria. De wetgever heeft in de Artikelen 5.22 (betrouwbaarheid gegevensverwerking) en 6.4 (beveiliging gegevensuitwisseling) van Regeling SUWI de opdracht voor het uitvoeren van edp-audits gedefinieerd. De inhoud van deze artikelen luidt als volgt: Artikel Verantwoording gegevensverwerking 1. De CWI, het UWV, de SVB en het IB rapporteren vóór 15 maart van elk jaar over de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. 2. De rapportage wordt vergezeld van een oordeel en een rapport van bevindingen van een tot de Nederlandse Orde van Register EDP-Auditors toegelaten persoon. Artikel 6.4. Beveiliging Suwinet 1. De Suwinet-partijen dragen zorg voor de beveiliging van de gegevensuitwisseling tegen inbreuken op de beschikbaarheid, de integriteit en de vertrouwelijkheid, overeenkomstig hetgeen over de voor het stelsel van maatregelen en procedures te hanteren normen wordt bepaald in de bij deze regeling behorende Bijlage XIV (`Beveiliging Suwinet 1.0'). 2. De Suwinet-partijen geven ieder in een beveiligingsplan aan op welke wijze zij invulling geven aan het eerste lid. 3. Artikel 5.22 is van overeenkomstige toepassing op het gebruik en de inrichting van Suwinet. De objecten van onderzoek van deze edp-audits en het daarbij te gebruiken normenkader zoals dat is gedefinieerd in deze artikelen en de toelichting daarop, sluiten niet logisch aan op de organisatorische verdeling van de bedrijfsprocessen over de Suwi-partijen en het BKWI. Daarom is in overleg met IWI en het ministerie van SZW voorgesteld om vooralsnog de volgende scope voor het onderzoek naar de beveiliging van de gegevensuitwisseling via Suwinet te gebruiken: Het oordeel van de edp-auditor omvat de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de beveiliging van de bedrijfsprocessen: Bij de Suwi-partijen wat betreft de beheerde onderdelen van het koppelvlak (zie B in het schema in 2.5) Bij het BKWI wat betreft: o De beheerde onderdelen van de koppelvlakken (zie B in het schema in 2.5) o Het beheer van het Suwinet (zie C in het schema in 2.5) Deze omschrijving van het object van onderzoek wordt in deze verantwoordingsrichtlijn samengevat onder de noemer de beveiliging van de gegevensuitwisseling via het Suwinet Afbakening object van onderzoek De reikwijdte van het onderzoek is het beoordelen van de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via Suwinet. Verantwoordingsrichtlijn v2.0.doc - 9 van 73

10 De scope van het onderzoek omvat de beveiliging van de gegevensuitwisseling via het Suwinet. Deze scope is, gegeven de functie van het Suwinet (het beschikbaar stellen van de infrastructuur voor gegevensuitwisseling tussen aanleverende en afnemende systemen), beperkt tot de roze vlakken B en het gele vlak C van onderstaand schema. Niet tot de scope van de edp-audit Beveiliging Suwinet wordt gerekend: De tijdigheid en kwaliteit van de gegevensverstrekkingen; De gegevensverwerking bij de Suwi-partijen; De verzending van Meldingen via RINIS 3 ; De gegevensuitwisseling anders dan via Suwinet (bijvoorbeeld de uitwisseling via post). A: In dit gebied vindt de gegevensverwerking door de primaire bedrijfsprocessen en systemen bij de Suwi-partijen 4 plaats. De gegevensverwerking in dit gebied omvat zowel de gegevens die zijn verkregen via het Suwinet als uit andere omgevingen. In dit gebied vallen bovendien de (ondersteunende) bedrijfsprocessen en systemen die gegevens verwerken die niet onder de Wet SUWI vallen. Voorbeelden hiervan zijn de financiële processen, het beheer van personeel, materieel beheer, etc. De blauwe vlakken A vallen buiten de scope van de edp-audit Beveiliging Suwinet. B: In dit gebied (de koppelvlakken) vallen alle bedrijfsprocessen en systemen en ook de ondersteunende processen en systemen die specifiek voor de gegevensuitwisseling met Suwinet zijn ontwikkeld. Als voorbeelden van deze specifieke systemen kunnen worden genoemd: De Meldingenadapter bij de Suwi-partijen; De webservices voor Suwinet-Inkijk; De webportals voor Suwinet toepassingen. Deze specifieke systemen voor Suwinet en de (eerste) koppeling (de interfaces) naar de primaire systemen van de Suwi-partijen (zie A) vallen onder de scope van de beveiliging van Suwinet. De roze vlakken B vallen geheel binnen de scope van de edp-audit Beveiliging Suwinet. 3 Routeringsinstituut voor (inter)nationale Informatie Stromen 4 Bij de actualisering van de verantwoordingsrichtlijn volgend jaar worden bij de scope de gebieden van de aangesloten partijen, die tot het Suwi domein behoren opgenomen. Verantwoordingsrichtlijn v2.0.doc - 10 van 73

11 C: In dit gebied bevinden zich de centrale processen en systemen die nodig zijn voor de gegevensuitwisseling via Suwinet en die niet integraal aan een van de Suwi-partijen zijn toe te wijzen. Het beheer van dit centrale domein ligt bij het BKWI. Het gele vlak C valt geheel binnen de scope van de edp-audit Beveiliging Suwinet Te gebruiken kwaliteitscriteria Voor de edp-audit Beveiliging Suwinet wordt het volgende samenstel van kwaliteitscriteria en de betekenis daarvan gebruikt: Beschikbaarheid (continuïteit): De mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. Integriteit (volledigheid, juistheid, tijdigheid): De mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is. Vertrouwelijkheid (exclusiviteit): De mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. Controleerbaarheid: De mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid Frequentie en diepgang van het onderzoek De jaarlijkse rapportage over de beveiliging van Suwinet door de Suwi-partijen, en daarmee het onderzoek door de edp-auditor, moet betrekking hebben op de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen. De edp-auditor moet toereikende informatie verkrijgen zodat met hoge mate van zekerheid geconcludeerd kan worden dat de beveiliging van de gegevensuitwisseling via Suwinet in alle van materieel belang zijnde opzichten voldoet aan de kwaliteitscriteria, te weten: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. De eis tot het uitvoeren van een edp-audit die leidt tot het kunnen doen van een uitspraak met een hoge mate van zekerheid is gebaseerd op de volgende omstandigheden: De aard van de gegevens. Uit de toelichting op de Regeling SUWI blijkt dat een analyse is gemaakt van de gegevens die worden uitgewisseld via Suwinet. Deze analyse heeft geleid tot de conclusie dat sprake is van het verwerken van persoonsgegevens die vallen onder de risicoklassen II (verhoogd risico) en in concrete gevallen zelfs onder risicoklasse III (hoog risico). Deze classificatie is ontleend aan het document Beveiliging persoonsgegevens Achtergrond en Verkenningen 23, in april 2001 uitgegeven door het CBP. Het maatschappelijke belang van de processen. De gegevens die via Suwinet worden uitgewisseld vormen de invoer voor processen die leiden naar werk of het toekennen en uitbetalen van uitkeringen. Het niet tijdig en correct uitwisselen of verwerken van gegevens kan leiden tot voor de maatschappij onacceptabele gevolgen. Verantwoordingsrichtlijn v2.0.doc - 11 van 73

12 Het juridische belang van de procedure. Het niet of niet tijdig voldoen aan de wettelijke vereisten kan bij de Suwi-partijen leiden tot een aansprakelijkheidsstelling door de benadeelde. Het politieke belang. Het niet of niet juist en tijdig functioneren van de uitkeringsprocessen kan leiden tot de situatie dat de Minister van SZW ter verantwoording wordt geroepen door de Tweede Kamer van de Staten-Generaal. De gevolgen van de processen voor de bedrijfsvoering. De bedrijfsvoering van de Suwi-partijen is in hoge mate geautomatiseerd. Uitval van het Suwinet leidt tot stagnatie in de bedrijfsprocessen en het niet kunnen functioneren van een groot aantal medewerkers. Dit kan onder meer leiden tot het niet tijdig verstrekken van (politiek) gevoelige informatie. Verantwoordingsrichtlijn v2.0.doc - 12 van 73

13 3. Uitvoeringsnormen aan de edp-audit 3.1. Inleiding In dit hoofdstuk worden de eisen en normen beschreven waaraan de edp-auditor zich dient te houden bij de uitvoering van de edp-audit Beveiliging van Suwinet Kwaliteitseisen onderzoek edp-auditor Het onderzoek naar de beveiliging van de gegevensuitwisseling via Suwinet moet plaatsvinden op een zodanige wijze dat de uitspraak in het oordeel een hoge mate van zekerheid biedt, dat in alle van materieel belang zijnde opzichten is voldaan aan de kwaliteitscriteria. Dit uitgangspunt, in combinatie met het feit dat de edp-audit Beveiliging Suwinet door verschillende edp-auditors en (edp-audit)organisaties wordt uitgevoerd, is aanleiding voor het op hoofdlijnen vastleggen van een aantal uitgangspunten waarmee bij het uitvoeren van de edp-audit Beveiliging Suwinet rekening moet worden gehouden. De invulling van de edp-audit Beveiliging Suwinet in de concrete situatie bij een Suwi-partij wordt niet uitgewerkt. De aanpak van de edp-audit Beveiliging Suwinet dient door de edp-auditor te worden uitgewerkt in het controleplan en werkprogramma die aansluiten op de verstrekte opdracht. De edp-auditor moet bij het verrichten van het onderzoek rekening houden met de volgende uitgangspunten: De edp-auditor is ingeschreven als RE. Daaruit vloeit voort dat de GBRE van toepassing is; De richtlijnen in het kader van de attestfunctie van toepassing zijn (opdrachtformulering en aanvaarding; dossiervorming en beheer; rapportage); De edp-audit Beveiliging Suwinet beperkt zich tot datgene wat in de opdracht beschreven staat en de opdracht omvat minimaal de Verantwoordingsrichtlijn edp-audit Suwinet en het Suwinet- Normenkader 5. De opdracht van de edp-auditor voor het beoordelen van de beveiliging van de gegevensuitwisseling via het Suwinet omvat het beoordelen van de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen. Het begrip stelsel brengt tot uitdrukking dat de getroffen procedures en maatregelen moeten worden bezien in hun onderlinge samenhang. De edp-auditor stelt een plan op waarin voor opzet en reikwijdte van de edp-audit Beveiliging Suwinet wordt gemotiveerd welke systemen, procedures, etc. worden betrokken in de edp-audit Beveiliging Suwinet. In dit controleplan moet ook een analyse met motivering zijn opgenomen over de frequentie van de edp-audit Beveiliging Suwinet. Het is de taak van de edp-auditor om vast te stellen dat de opzet, het bestaan en de werking van het stelsel van maatregelen zodanig van structuur en samenstelling is dat aan de normen die zijn gedefinieerd in het Suwinet-Normenkader wordt voldaan. De edp-audit kan slechts leiden tot het signaleren van structurele inbreuken op het stelsel van procedures en maatregelen en niet van incidentele afwijkingen. 5 Eventueel kan de edp-audit Beveiliging Suwinet gecombineerd worden met andere edp-audits, mits hierbij deze Verantwoordingsrichtlijn en het Suwinet-Normenkader onverminderd wordt gebruikt. Verantwoordingsrichtlijn v2.0.doc - 13 van 73

14 Tijdens de uitvoering van de edp-audit kan de edp-auditor constateren dat er geen of onvoldoende informatie kan worden verkregen, waardoor niet of in onvoldoende mate kan worden vastgesteld dat de beveiliging van (een deel van) de gegevensuitwisseling via het Suwinet voldoet aan de geformuleerde kwaliteitscriteria. De oorzaak voor deze constatering kan zijn gelegen in: Een objectieve verhindering, dat wil zeggen een situatie die niet in positieve zin kan worden beïnvloed door de opdrachtgever. De edp-auditor moet deze verhindering, mits van materieel belang, gemotiveerd in het oordeel tot uitdrukking brengen. (Een voorbeeld van een objectieve verhindering is het niet voldoen aan het criterium beschikbaarheid als gevolg van het onverwachte faillissement van een als gegoed bekend staande leverancier.) Een subjectieve verhindering, dat wil zeggen een situatie die wel in positieve zin kan worden beïnvloed door de opdrachtgever. De edp-auditor constateert bijvoorbeeld dat de werking (voor een deel) van het auditobject niet voldoet aan het criterium controleerbaarheid. Bij materieel van belang zijnde elementen in het stelsel van procedures en maatregelen zal deze constatering moeten leiden tot het oordeel: Het stelsel van maatregelen voldoet niet aan de norm. (Een voorbeeld van een subjectieve verhindering is het gebrek aan, of het handhaven van, voldoende functiescheiding.) 3.3. Oordeelsvorming en weging Inleiding De edp-audit inzake de beveiliging Suwinet wordt bij de verschillende Suwi-partijen door verschillende edp-auditors uitgevoerd. Met behoud van organisatiespecifieke aspecten is onderstaande richtlijn voor de oordeelsvorming door de edp-auditor opgesteld om zoveel mogelijk te komen tot een gelijkwaardige oordeelsvorming bij gelijksoortige omstandigheden Uitgangspunten Oordeelsvorming en Weging edp-auditor Algemene uitgangspunten Het jaarlijkse oordeel van de edp-auditor over de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via het Suwinet is een volkomen oordeel. Dat wil zeggen dat alle materieel van belang zijnde bedrijfsprocessen en de daaronder ressorterende (ondersteunende) processen en componenten in de controle moeten worden betrokken. De vraag of en de mate waarin (delen van) de bedrijfsprocessen gedeeltelijk roulerend binnen een periode van drie jaar in de controle kunnen worden betrokken, moet worden geanalyseerd en gemotiveerd in het controleplan en zal vooraf in de opdracht worden benoemd. De uitspraak van de edp-auditor over de opzet, het bestaan en de werking van de beschikbaarheid van het stelsel van procedures en maatregelen houdt mede in, dat mag worden verwacht dat de beschikbaarheid het komende jaar is gewaarborgd. Het oordeel van de edp-auditor is gebaseerd op een deugdelijke grondslag. Met andere woorden er is voldoende bewijs verzameld om de bevindingen waarop het eindoordeel is gebaseerd te onderbouwen Verantwoordingsrichtlijn v2.0.doc - 14 van 73

15 Het oordeel van de edp-auditor schept een verwachting die op basis van het verrichte onderzoek gerechtvaardigd is. Met andere woorden het geeft de lezers van het oordeel een duidelijk beeld over de status van de beveiliging en over de voor dat onderwerp getroffen maatregelen. Om te komen tot een oordeel weegt de edp-auditor de consequenties van alle bevindingen die bij de edp-audit naar voren zijn gekomen. Naast de aard en ernst van de bevindingen en de op grond daarvan getrokken conclusies, wordt in dit afwegingsproces ook rekening gehouden met het gebruik van het oordeel en de hoge mate van zekerheid dat aan het oordeel ontleend mag worden. De edp-auditor maakt hiervoor gebruik van zijn professional judgment. Een oordeel van de edp-auditor is een kwalitatief oordeel in hoeverre het onderzoeksobject voldoet aan de normen. De relatie met het proces/product waarin het onderzoeksobject speelt is daarbij van belang. Als het onderzoeksobject niet of slechts ten dele aan de gestelde eisen voldoet, moet worden nagegaan welke invloed dit heeft op het betreffende proces of product. Specifieke uitgangspunten De edp-auditor voert de edp-audit Beveiliging Suwinet uit op basis van het Suwinet- Normenkader dat door het AKO is vastgesteld. Indien daar aanleiding voor is zal elk jaar een addendum voorgelegd worden aan het AKO met de specifieke uitgangspunten voor de edp-audit Beveiliging Suwinet voor dat betreffende verantwoordingsjaar. Bij de edp-audit Beveiliging Suwinet geeft de edp-auditor één totaaloordeel over de beveiliging van Suwinet, waar alle vier de kwaliteitsaspecten (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) onder vallen. Het oordeel zal niet naar afzonderlijke kwaliteitsaspecten worden verbijzonderd. In de toelichting op het oordeel zal de edp-auditor op basis van de uitkomst van het onderzoek risico s signaleren. Bij het formuleren van deze risico s worden de gevolgen voor de verschillende kwaliteitsaspecten beschreven. Het oordeel van de edp-auditor inzake de Beveiliging van Suwinet kan drie verschillende strekkingen hebben: o Een Oordeel Het stelsel van maatregelen voldoet aan de norm. o Een Oordeel Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect. De bevinding mag niet materieel zijn omdat dan sprake is van het oordeel Het stelsel van maatregelen voldoet niet aan de norm. o Een Oordeel Het stelsel van maatregelen voldoet niet aan de norm. De edp-audit Beveiliging Suwinet op grond van Artikel 6.4 Regeling SUWI kan binnen de Suwipartijen veelal worden uitgevoerd in combinatie met de edp-audit van de gegevensverwerking op grond van Artikel 5.22 Regeling SUWI, of met de integrale edp-audit van de beveiliging bij van die organisatie. De uitkomsten van de edp-audits kunnen voor beide opdrachten worden aangewend onder voorwaarde dat: o Het onderzoek leidt tot een aparte, zelfstandig leesbare rapportage. o Het oordeel over de beveiliging van het Suwinet kan worden herkend uit de resultaten van het algemene onderzoek. In het geval van een oordeel Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect of van een oordeel Het stelsel van maatregelen voldoet niet aan de norm, zal de edp-auditor in een Verantwoordingsrichtlijn v2.0.doc - 15 van 73

16 toelichtende paragraaf aangeven ten aanzien van welke normen en in welke mate een afwijking is geconstateerd. Bij deze motivering dient het noodzakelijk geachte inzicht geen afbreuk te doen aan het eventueel vertrouwelijke karakter van de oorzaak van de afwijking. Bij een oordeel Het stelsel van maatregelen voldoet aan de norm mag de edp-auditor ook een toelichtende paragraaf geven. De toelichtende paragraaf mag bij een oordeel Het stelsel van maatregelen voldoet aan de norm of bij een oordeel Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een nietmaterieel kwaliteitsaspect, geen afbreuk doen aan de positieve strekking van het oordeel van de edp-auditor. Voor de Suwi-partijen en het BKWI zijn afzonderlijke modellen opgenomen voor het door de edpauditor af te geven oordeel, en de daarbij te verstekken toelichting. Deze modellen zijn respectievelijk opgenomen als bijlage A en bijlage B. Het gebruikte model is voor het overgrote deel gebaseerd op de NOREA-handreiking 6 Oordelen van gekwalificeerde IT -auditors, versie juni Wanneer het oordeel: Het stelsel van maatregelen voldoet aan de norm Van de totale normenset uit het normenkader zijn 25 normen als van essentieel belang gekenmerkt voor de beveiliging van Suwinet. Deze essentiële normen zijn in het Suwinet-Normenkader (bijlage D) met een E gemarkeerd. De normen die als essentieel worden gezien voor de beveiliging van Suwinet zijn voor de edpauditor normen waar in ieder geval aan voldaan moet worden. Aangezien de edp-auditor een oordeel geeft over het geheel van de normen, geeft edp-auditor pas een oordeel Het stelsel van maatregelen voldoet aan de norm indien uit de bevindingen van alle 26 als essentieel onderkende normen blijkt dat voldaan wordt aan de norm én bovendien eventuele afwijkingen in de overige normen niet materieel zijn. Of een afwijking in de overige normen materieel is, wordt afgewogen vanuit het professional judgment van de edp-auditor. In de praktijk kan het dus voorkomen dat voor de Suwi-partij, ondanks het feit dat voldaan wordt aan alle essentiële normen, toch een oordeel Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect of zelfs een oordeel Het stelsel van maatregelen voldoet niet aan de norm afgegeven wordt, wanneer in de overige normen een of meer materiele afwijkingen worden geconstateerd. Wanneer het oordeel: Het stelsel van maatregelen voldoet niet aan de norm Het Oordeel Het stelsel van maatregelen voldoet niet aan de norm wordt door de edp-auditor gegeven wanneer de Suwi-partij aan één of meer van de voor de beveiliging als essentieel onderkende normen niet voldoet of als er sprake is van een of meer materiele tekortkomingen bij de overige normen. Wanneer het oordeel: Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect 6 NOREA: Beroepsvereniging van Register EDP-auditors Verantwoordingsrichtlijn v2.0.doc - 16 van 73

17 De bevindingen ten aanzien van de overige normen, die niet materieel van aard zijn, kunnen leiden tot het aanbrengen van een uitzondering in positieve strekking van het oordeel. Een oordeel Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect mag volgens de NOREA-handreiking alleen worden gegeven wanneer de geconstateerde afwijking van de norm niet materieel is. Het is vooraf niet goed mogelijk om strikt voor te schrijven wanneer dit oordeel wordt gegeven. Ook hier moet gesteund worden op het professional judgment van de edp-auditor. Wanneer is sprake van materieel belang: De vraag of een afwijking van materieel belang is hangt af van de volgende aspecten: de ernst van de geconstateerde afwijking; de relatie van de afwijking met de beveiliging van Suwinet (essentieel of minder van belang); de attitude van de organisatie ten aanzien van beveiliging (wordt het probleem onderkend); de actiebereidheid van de organisatie om de afwijking op korte termijn aan te pakken (zijn er concrete acties gepland of acties reeds in gang gezet maar nog niet afgerond om het probleem op te lossen); de aard van het Suwinet-proces en van de verwerkte gegevens; het betrouwbaarheidsniveau van de functie; het gemeenschappelijke belang bij en verantwoordelijkheid voor de beveiliging via Suwinet in de Suwiketen Uitbesteding ICT, controle en oordeelsvorming Een Suwi-partij kan om haar moverende redenen overgaan tot uitbesteding van (een deel van) de activiteiten die betrekking hebben op de gegevensuitwisseling via Suwinet. Veelal is dit van toepassing bij ICT-activiteiten. In die situatie moet de inhoud van deze verantwoordingsrichtlijn met bijlagen onverkort van toepassing worden verklaard op deze uitbesteding (zie essentiële norm 4.2), althans voor normen die relevant zijn voor de afgesproken diensten. De controle op naleving van de afspraken door de ICT-leverancier vindt plaats door de Suwi-partij en is gedefinieerd in de essentiële norm 4.3. De invulling en uitwerking van de onverkort van toepassing verklaarde set relevante normen kan op verschillende manieren worden ingevuld door de Suwi-partij. Dit kan plaatsvinden door middel van mantelovereenkomsten, SLA s, beveiligingsovereenkomsten met onderliggende afspraken, etc. Bij uitbesteding moet vanuit de ICT-leverancier inzicht verschaft worden in de mate waarin wordt voldaan aan beheer- en beveiligingseisen. De ICT-leverancier rapporteert hierover aan de Suwipartij en deze controleert de naleving van de gemaakte afspraken. De controle door de Suwi-partijen op de naleving van de afspraken kan op verschillende manieren plaatsvinden, zoals blijkt uit de richtinggevende accenten bij essentiële norm 4.3. De Suwi-partij kan bijvoorbeeld controle uitvoeren door middel van een leveranciersoverleg, het beoordelen van aangereikte rapportages (onder andere rapportages over geleverd dienstenniveau en incidentenrapportages), de uitkomsten van interne controle van kwaliteitsprocessen en ook door middel van audits. Verantwoordingsrichtlijn v2.0.doc - 17 van 73

18 Bij audits zijn de twee bekendste vormen het door de Suwi-partij zelf bij de ICT-leverancier (laten) uitvoeren van een edp-audit of het aan de Suwi-partij afgeven van een TPM (Third Party Mededeling) door de ICT-leverancier. De oordeelsvorming over de uitbestede dienst maakt integraal onderdeel uit van het oordeel van de Suwi-partij over de beveiliging van Suwinet als geheel. Voor de oordeelsvorming over de uitbesteding wordt dan ook aangesloten bij hetgeen is opgenomen in paragraaf : voor een oordeel Het stelsel van maatregelen voldoet aan de norm mogen geen tekortkomingen optreden in de als essentieel benoemde normen en geen materiele afwijkingen voorkomen in de overige normen. De edp-auditor van de Suwi-partij zal het oordeel over het realiseren van de normen door de ICTleverancier onder andere baseren op de set van door de Suwi-partij met de ICT-leverancier overeengekomen controlemiddelen die genoemd zijn bij norm 4.3. Cruciaal is dat de inzet van de genoemde controlemiddelen de edp-auditor voldoende zekerheid biedt over de effectiviteit van maatregelen om een oordeel, gebaseerd op een deugdelijke grondslag, af te kunnen geven Toetsen van opzet, bestaan en werking Zoals in paragraaf is weergegeven dient de edp-auditor bij de edp-audit Beveiliging Suwinet de opzet, bestaan en werking van het stelsel van procedures en maatregelen die onder het onderzoeksobject vallen te beoordelen. In dit verband wordt verstaan onder: de opzet: Dit begrip omvat de formele inrichting en beschrijving van de wijze waarop de organisatie het proces wil gaan uitvoeren. Veelal treft de edp-auditor de opzet aan in handboeken, beleidspla nnen, architectuurbeschrijvingen, etc. het bestaan: Dit begrip omvat de wijze waarop processen en maatregelen daadwerkelijk in de organisatie zijn geïmpleme nteerd. Deze situatie kan afwijken van hetgeen in de aanwezige beschrijvingen en plannen (de opzet) is vermeld. de werking: Dit begrip omvat het bestaan van processen gedurende een bepaalde periode. Hierbij wordt vastgesteld op welke wijze een organisatie een proces bij voortduring heeft uitgevoerd. Zie ook de handreiking m.b.t. de werking in bijlage E De opzet wordt veelal beoordeeld tijdens de ontwerpfase, het bestaan tijdens de implementatiefase en de werking tijdens de uitvoering van de processen. De controle op de werking wordt periodiek (veelal jaarlijks) uitgevoerd. Hierbij wordt eerst beoordeeld of opzet en bestaan ten opzichte van het voorgaande jaar zijn gewijzigd. Het vaststellen van de werking vereist dat gedurende de controleperiode bij de Suwi-partij wordt nagegaan of de procedures en maatregelen worden nageleefd. De wijze waarop deze controle wordt ingericht en de frequentie waarmee die wordt uitgevoerd, worden door de edp-auditor uitgewerkt in het controleplan. Ten aanzien van een aantal normen zullen in een addendum richtlijnen gegeven worden, hoe de werking van deze normen kan worden getoetst. Verantwoordingsrichtlijn v2.0.doc - 18 van 73

19 4. Toetsingsnormen Het Suwinet-Normenkader omvat de normen voor de uitvoering van de edp-audit en waaraan de edp-auditors van de Suwi-partijen, van de gemeenten, van de AD van SZW (wat betreft de AI en de SIOD), en van het BKWI dienen te toetsen Uitgangspunten Normenkader Het Suwinet-Normenkader is nader onderverdeeld in normen voor De Suwi-partijen, de gemeenten, de AI en de SIOD Het BKWI, deze normen zijn in het normenkader gemarkeerd met een B. Bij het uitwerken van het normenkader zijn de volgende uitgangspunten gebruikt. De Suwinet-functies (Suwinet-Inkijk, Suwinet-Inlezen, Suwinet-Melding en Suwinet-Mail) worden gerealiseerd via bedrijfsprocessen in het Suwidomein en het Suwinet. De bedrijfsprocessen vallen uiteen in: o Organisatorische aspecten (beveiligingsplan, organisatie van de beveiliging, etc.) o Beheerprocessen (ITIL-processen, logische toegangbeveiliging, etc.) o Toepassingen (Suwinet-Inkijk, Suwinet-Inlezen, Suwinet-Melding, Suwinet-Mail) o Componenten (server, firewall, toegangbeveiligingspakket, etc.) Voor een volledig overzicht van de indeling van de bedrijfsprocessen wordt verwezen naar 4.2. De uitwerking is opgenomen in bijlage D. Het realiseren van de beveiligingseisen vindt plaats door het treffen van procedures en maatregelen in relatie tot de organisatorische aspecten, beheerprocessen, toepassingen en componenten. Verantwoordingsrichtlijn v2.0.doc - 19 van 73

20 4.2. Opbouw Normenkader Een van de gebruikte uitgangspunten voor het Suwinet-Normenkader is, dat de normen transparant zijn en pragmatisch moeten kunnen worden toegepast. Daarom is in deze verantwoordingsrichtlijn een analyse opgenomen van het object waarop het normenkader moet zijn toegesneden. Dit object, de koppelvlakken (= B in het schema in 2.5) en de centrale systemen en processen (=C in het schema in 2.5), is opgedeeld in 22 onderwerpen. Deze onderwerpen zijn gegroepeerd naar organisatorische aspecten, beheerprocessen, toepassingen en componenten. Deze groepering is weergegeven in de volgende tabel: Organisatorische aspecten Beheerprocessen Componenten Toepassingen 1 Beveiligingsbeleid en beveiligingsplan 4 Dienstenniveau Beheer 20 Server 15 Suwinet-Inkijk 2 Organisatie 5 Capaciteitsbeheer 21 Netwerk 16 Suwinet-Inlezen 3 Architectuur / Standaarden 6 Continuïteitsbeheer 22 Koppelingen / 17 Suwinet-Meldingen koppelpunten 7 Configuratiebeheer 18 Suwinet-Mail 8 Incidentbeheer 19 Toegangbeveiligingspakket 9 Probleembeheer 10 Wijzigingbeheer 11 Testen 12 Netwerkbeheer 13 Logische toegangbeveiliging 14 Fysieke beveiliging De onderverdeling sluit waar mogelijk aan op binnen de organisaties herkenbare (ITIL) processen De relatie tussen deze aspecten, processen, toepassingen en componenten is weergegeven in het volgende model: Bedrijfsprocessen van de afzonderlijke betrokken organisaties Koppelvlak Organisatorische aspecten Beheerprocessen Componenten Toepassingen Ter verheldering van het normenkader volgt hieronder een toelichting van de betekenis van de diverse elementen: Verantwoordingsrichtlijn v2.0.doc - 20 van 73

21 a) In de kop is na het Volgnummer het Onderwerp vermeld. De onderwerpen zijn ontleend aan een analyse van de bedrijfsprocessen bij alle afzonderlijke organisaties. b) In de kop is onder het volgnummer de Doelstelling van het onderwerp opgenomen. Deze doelstelling bevat de belangrijkste elementen die met het onderwerp moeten worden gerealiseerd. c) Het onderwerp is onderverdeeld in een aantal normen genummerd 1 tot en met X. d) De normen met de letter B achter het nummer zijn alleen van toepassing op het BKWI. Deze normen zijn gerelateerd aan de rol van het BKWI als beheerder van het Suwinet. e) De normen met de letter E zijn als essentieel aangemerkt f) Een normenregel kan zijn voorzien van een of meer bullets (?). Deze bullets zijn accenten die dienen als hulpmiddel voor de edp-auditor bij de beoordeling van de mate waarin de norm is ingevoerd. Deze accenten kunnen worden beschouwd als elementen die onderdeel uitmaken van het werkprogramma van de edp-auditor en zijn richtinggevend van aard Niveau Normenkader De inschaling van de gegevens die via het Suwinet worden uitgewisseld (risicoklasse II of III) heeft tot gevolg dat het niveau van de normering moet voldoen aan hoge eisen. Voor het realiseren van het Suwinet-Normenkader geldt verder dat de maatregelen in verhouding moeten staan met de normen. Verder wordt opgemerkt dat de volgende onderwerpen uit Bijlage XIV algemeen geldend zijn en moeten worden betrokken in elke edp-audit: Het op elkaar laten aansluiten van de technische en organisatorische maatregelen; Het in acht nemen van functiescheidingen; Documentatie. Deze basisprincipes zijn niet expliciet in het normenkader opgenomen maar worden geacht impliciet te worden beoordeeld bij de edp-audit Bronnen / best practices Het ontwikkelen van normen (dat zijn de eigenschappen die de waarde tot uitdrukking brengen) voor het toepassen van ICT en de omgevingen waarop ICT van invloed is, vormt een activiteit waarmee veel gremia zich bezig hebben gehouden en zich nog bezighouden. De diversiteit qua invalshoek van waaruit normen door die gremia zijn of worden ontwikkeld, leidt bij gelijknamige normen tot verschillen in inhoud en/of diepgang. Het Suwinet-Normenkader is, rekeninghoudend met wet- en regelgeving, ontleend aan diverse toonaangevende publicaties die best practice als uitgangspunt hebben. Naast de Code voor Informatiebeveiliging en studierapport AV23 van het CBP waarop Bijlage XIV mede is gebaseerd, zijn de belangrijkste van de gebruikte bronnen: CobiT van het IT Governance Institute; IT Infrastructure Library (ITIL) opgesteld in opdracht van de Britse overheid; Basisnormen Beveiliging en Beheer ICT-infrastructuur van het Platform Informatiebeveiliging. Verantwoordingsrichtlijn v2.0.doc - 21 van 73