Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Vergelijkbare documenten
Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Gemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services

Norm ICT-beveiligingsassessments DigiD

ENSIA guidance DigiD-assessments

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

^insiteaudit. DigiD-beveiligingsassessment. Third Party Mededeling SIMgroep. Referentie H a a r l e m, 29 n o v e m b e r 2017

Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet

a> GEMEENTE vve E RT ]'il-s 1392 Inleiding ! Gewijzigde versie ! Anders, nl.: Beslissing d.d.: 2e - O3.?ætS Voorstel Onderwerp Beoogd effect/doel

HANDREIKING DIGID-ZELFEVALUATIE

HANDREIKING ENSIA EN DIGID

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

ENSIA guidance DigiD-assessments

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

DigiD beveiligingsassessment Decos Information Solutions

Nadere toelichting: De organisatie dient een, door beide partijen ondertekend, contract te hebben

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Bijeenkomst DigiD-assessments

Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

DigiD beveiligingsassessment

Nieuw DigiD assessment

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Naast een beperkt aantal tekstuele verbeteringen en verduidelijkingen zijn de belangrijkste wijzigingen:

Assurancerapport DigiD assessment Justis

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Jacques Herman 21 februari 2013

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

HANDREIKING. Bij het DigiD assessment 2.0 geldig vanaf 1 juli BKBO B.V. Voorstraat CP Vlijmen

NOTITIE. Aan : IT auditors Datum : 19 december 2016 Van : NOREA Werkgroep DigiD assessments Betreft : Handreiking bij DigiD-assessments V2.

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Norm ICT-beveiligingsassessments DigiD

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Concept HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Nieuw normenkader ICT Beveiligingsassessments DigiD

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

BABVI/U Lbr. 12/015

ENSIA voor informatieveiligheid

Sr. Security Specialist bij SecureLabs

Handleiding uitvoering ICT-beveiligingsassessment

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

makkelijke en toch veilige toegang

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Concept-HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Jaarverslag Informatiebeveiliging en Privacy

ADVIES DIGID ASSESSMENT DIGITAAL ONDERTEKENEN MBO

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

MKB Cloudpartner Informatie TPM & ISAE

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet. Gemeente Gooise Meren

Partnering Trust in online services AVG. Vertrouwen in de keten

Toetsingskader digitaal Ondertekenen (pluscluster 9)

Handreiking DigiD ICT-beveiligingsassessment voor RE's

Handreiking Implementatie Specifiek Suwinetnormenkader

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Verantwoordingsrichtlijn

Factsheet Penetratietest Informatievoorziening

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

IT Auditor en de ENSIA-normen

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Databeveiliging en Hosting Asperion

Assurancerapport van de onafhankelijke IT-auditor

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Aanbevelingen en criteria penetratietest

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Factsheet Penetratietest Webapplicaties

Verwerkersovereenkomst

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Welkom bij parallellijn 1 On the Move uur

Verschillen en overeenkomsten tussen SOx en SAS 70

Handleiding ENSIA-tool. voor gemeenten

Transcriptie:

DigiD aansluiting no.1 - Bijlage B + C Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C gemeente Renswoude Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel assessmentplichtige DigiD aansluitingen heeft u? Antwoord 1 assessmentplichtige DigiD aansluiting Gegevens DigiD aansluiting(en) Nummer DigiD aansluiting: Vul het Logius aansluitnummer in: Naam DigiD aansluiting: Vul de aansluitnaam in van de aansluiting: Externe infrastructuur-leverancier: Maakt u voor deze DigiD aansluiting gebruik van een externe infrastructuur-leverancier? Naam leveranciers: Geef de namen op van alle leveranciers die betrokken zijn bij deze DigiD aansluiting. TPM datum: Voer hier de datum in van het TPM rapport. Applicatieleverancier: Maakt u voor deze DigiD aansluiting gebruik van een externe leverancier voor de applicatie? Naam leverancier: Geef de naam op van de applicatieleverancier. TPM datum: Vult u hier de datum in van het TPM rapport van de applicatieleverancier. TPM kenmerk: Vul hier het kenmerk in van het TPM rapport van de applicatieleverancier. Bij applicatieleverancier: U kunt de TPM's hier uploaden. SaaS-leverancier: Maakt u voor deze DigiD aansluiting gebruik van een SaaS-leverancier? Antwoord 1002427 Gemeente Renswoude

Naam leverancier: Geef de naam op van de SaaS-leverancier. TPM datum: Voer hier de datum in van het TPM rapport. TPM kenmerk: Voer hier het kenmerk in van het TPM rapport. Bij SaaS-leverancier: U kunt de TPM's hier uploaden TPM aanwezigheid: Leveren alle leveranciers een TPM op? Heeft uw eigen auditor vastgesteld dat deze leverancier aan de DigiD normen voldoet? Reikwijdte TPM: Hebben de TPM's dezelfde scope als de DigiD aansluiting? Reikwijdte TPM: Hanteren de TPM's hetzelfde normenkader als het DigiD normenkader 2.0? Reikwijdte TPM: Zijn de TPM's maximaal 1 jaar oud? Reikwijdte TPM: Heeft u als coördinator vastgesteld dat de overige normen, buiten de 5 waar u verantwoordelijk voor bent, door de TPM worden afgedekt? Reikwijdte TPM: Zijn de TPM's eerder gebruikt voor een DigiD assessment voor dezelfde aansluiting? Externe auditor bedrijf: Vul de namen in van het bedrijf van de externe auditors: Externe auditor: Vul de namen in van de externe auditors: Heeft de auditor opmerkingen gemaakt in de TPM van de leverancier over normen die bij de aansluithouder moeten worden onderzocht? Kunt u aangeven over welke normen opmerkingen zijn gemaakt in alle aanwezige TPM's en waar u dus zekerheid over moet verkrijgen? SIMgroep 29-11-2017 2017.277 Insite audit bv drs. F.W. Hanekamp RE drs. M.C. Dusink RE Object van onderzoek Het object van onderzoek was de webomgeving van de DigiD aansluiting 1002427 Gemeente Renswoude, gehost bij serviceorganisatie SIMgroep. Gemeente Renswoude biedt de functionaliteit aan voor het invullen van de volgende digitale formulieren, waarvoor DigiD-aansluiting gemeente Renswoude ter authenticatie wordt gebruikt: Bezwaar indienen; Bezwaar belastingen; Uittreksel/afschrift burgerlijke stand aanvragen; Uittreksel/afschrift BRP aanvragen;

Verhuizing doorgeven; Bewijs Nederlanderschap; Geheim persoonsgegevens; Hoofdbewoner verklaring; Naamgebruik; Huur opzeggen. De hiervoor gebruikte webapplicatie SIMSite (CMS) is te benaderen via https://www.renswoude.nl/. De webapplicatie SIMSite betreft een standaard applicatie en wordt onderhouden en gehost door SIMgroep. Met serviceorganisatie SIMgroep BV is een service overeenkomst afgesloten. In dat kader is een aantal maatregelen belegd bij deze serviceorganisatie. Het onderzoeken van deze maatregelen is dan ook uitgevoerd door de IT auditor van deze serviceorganisatie. De richtlijnen waar deze maatregelen betrekking op hebben zijn door ons dan ook niet onderzocht. Waar relevant geven wij, per richtlijn, specifieke verwijzingen naar het rapport van de service organisatie. Totaaloverzicht getoetste normen ICT-beveiligingsassessment DigiD-aansluiting van Gemeente Renswoude In deze bijlage brengen wij de oordelen samen, op basis van de diverse uitgevoerde werkzaamheden / uitgebrachte rapportages. Het doel van deze samenvatting is om Logius een totaaloverzicht te verschaffen over de resultaten vanuit de verschillende assessments t.a.v. de DigiD-aansluiting 1002427 en Gemeente Renswoude. Volgens de NOREA-handreiking inzake de DigiD-assessments moeten de volgende normen bij de gebruikersorganisatie worden getoetst: B.05, U/TV.01, 02, 05., 03, 06 en C.08. Als input voor de hierna vermelde samenvatting hebben wij, naast de voorliggende rapportage, gebruik gemaakt van de rapportage van SIMgroep, 2017.277, d.d. 29 november 2017 ondertekend door F.W. Hanekamp RE en M.C. Dusink RE. Wij hebben geen onderzoek uitgevoerd naar de juistheid van de oordelen die zijn vermeld in de rapportage van SIMgroep, 2017.277, d.d. 29 november 2017. Wij kunnen dan ook geen verantwoordelijkheid nemen m.b.t. de in die rapportage vermelde oordelen. Norm Beschrijving van de norm B.05 In een contract met een derde partij voor de uitbestede levering of beheer van een Getoetst bij leveranci er: Voldoet niet/vold oet/ niet van toepassi ng Referentie/ rapportnum mer Aanvullende beheersmaatreg elen gebruikersorgan isatie / Getoetst bij gebruiker Voldoet niet/voldoet /niet van toepassing Referentie/ rapportnum mer Voldoet 2017.277 Voldoet AAS2018-

U/TV. 01 02 03 04 05 webapplicatie (als dienst) zijn de beveiligingseisen en -wensen vastgelegd en op het juiste (organisatorische) niveau vastgesteld. De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken. Het webapplicatiebehee r is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten. De webapplicatie beperkt de mogelijkheid tot manipulatie door de invoer te normaliseren en te valideren, voordat deze invoer wordt verwerkt. De webapplicatie beperkt de uitvoer tot waarden die (veilig) verwerkt kunnen worden door deze te normaliseren. De webapplicatie garandeert de betrouwbaarheid Voldoet 2017.277 Voldoet AAS2018- Voldoet 2017.277 Voldoet AAS2018- Voldoet 2017.277 Voldoet 2017.277 Voldoet 2017.277 Voldoet AAS2018-

02 03 05 07 03 van informatie door toepassing van privacybevorderend e en cryptografische technieken. De webserver garandeert specifieke kenmerken van de inhoud van de protocollen. De webserver is ingericht volgens een configuratiebaseline. Het beheer van platformen maakt gebruik van veilige (communicatie)prot ocollen voor het ontsluiten van beheermechanisme n en wordt uitgevoerd conform het operationeel beleid voor platformen. Voor het configureren van platformen een hardeningsrichtlijn beschikbaar. Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet gepositioneerd is. Voldoet 2017.277 Voldoet 2017.277 Voldoet AAS2018- Voldoet 2017.277 Voldoet 2017.277 Voldoet 2017.277 04 05 De netwerkcomponent en en het netwerkverkeer worden beschermd door middel van detectie- en protectiemechanis men. Binnen de productieomgeving zijn beheer- en Voldoet 2017.277 Voldoet 2017.277

06 productieverkeer van elkaar afgeschermd. Voor het configureren van netwerken is een hardeningrichtlijn beschikbaar. C.03 Vulnerability assesments (security scans) worden procesmatig en procedureel uitgevoerd op de ICT-componenten van de webapplicatie (scope). C.04 Penetratietests worden procesmatig en procedureel, ondersteund door richtlijnen, uitgevoerd op de infrastructuur van de webapplicatie (scope). C.06 In de webapplicatieomge ving zijn signaleringsfuncties (registratie en detectie) actief en efficiënt, effectief en beveiligd ingericht. C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICTsystemen worden regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd. C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT- Voldoet 2017.277 Voldoet AAS2018- Voldoet 2017.277 Voldoet 2017.277 Voldoet 2017.277 Voldoet 2017.277 Voldoet 2017.277 Voldoet AAS2018-

voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd. C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patch es tijdig zijn geïnstalleerd in de ICT voorzieningen. Voldoet 2017.277

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback