Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Vergelijkbare documenten
Norm ICT-beveiligingsassessments DigiD

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

Bijeenkomst DigiD-assessments

DigiD beveiligingsassessment

DigiD beveiligingsassessment Decos Information Solutions

Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

Assurancerapport DigiD assessment Justis

Checklist informatieveiligheid. 12 januari versie 1.1

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

ADVIES DIGID ASSESSMENT DIGITAAL ONDERTEKENEN MBO

Toetsingskader digitaal Ondertekenen (pluscluster 9)

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Handreiking DigiD ICT-beveiligingsassessment voor RE's

ENSIA guidance DigiD-assessments

Norm ICT-beveiligingsassessments DigiD

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD

Gemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services

BABVI/U Lbr. 13/057

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

ENSIA guidance DigiD-assessments

makkelijke en toch veilige toegang

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Introductie. Contact informatie. Communicatie is de sleutel voor een succesvol project.

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Hoe operationaliseer ik de BIC?

Team Werknemers Pensioen

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

o n k Ö A fia* V/ \ ^ * f

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Onder welke voorwaarden koopt u 1,2 miljard aan ICT in?

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Release management Implementatie. Francine Mallee Sector I&B, Afdeling P&P Juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart Anita van Nieuwenborg

BABVI/U Lbr. 12/081

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Jacques Herman 21 februari 2013

Ieder document direct beschikbaar

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

AVG. Security awareness & ICT beveiliging

Nieuw normenkader ICT Beveiligingsassessments DigiD

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ons kenmerk BB/U

Als je jonger dan 16 jaar bent, dan heb je toestemming van je ouders of wettelijke voogd nodig om onze Website, App en Diensten te gebruiken.

ENSIA voor Informatieveiligheid. Informatie voor Auditors

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

sur strategy, deliverability & infrastructure Authenticatie EMMA-nl Workshop Maarten Oelering

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Informatiebeveiliging bij het Nederlandse Rode Kruis. Martijn Herrmann, Chief Financial Officer 24 november 2016

Databeveiliging en Hosting Asperion

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Whitepaper. Diginetwerk. Versie: 1.0 Datum: Auteur: egem

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

Fraude en Fraudebeheersing

Howto Subversion. 1. Subversion structuur en uitleg

Inrichten. 1. VPN (Virtual Private Network) 2. Zorgmail 3. Online ophalen in de ZorgDomein-applicatie 4. Koppeling met je informatiesysteem

Innovatie in een veranderd risicolandschap

Verklaring van Toepasselijkheid

Outsourcing in een ziekenhuis Klantcase uitbesteden TAB Hix. Las Vegas, 7 maart 2018 Ed de Myttenaere BEng CISA CRISC MBA RI

Bouwstenen voor Shared Services De relatie opdrachtnemer en opdrachtgever

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

Privacyverklaring Scheiden als Gezin

Nulmeting Friese circulaire economie. Prof. Gjalt de Jong

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

HANDREIKING DIGID-ZELFEVALUATIE

Podotherapie Eindhoven verwerkt uw persoonsgegevens uitsluitend voor de volgende doeleinden:

BABVI/U Lbr. 12/015

Privacyverklaring van Enpuls B.V.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Inrichten. Kies hoe je de verwijzingen wilt ontvangen

Intro Achtergrond Keuzes

kwaliteitsmeterplus 4

Op 30 september 2011 heeft de VNG dit bericht naar alle gemeenten verstuurd:

De crisis en Outsourcing. Business as usual or change of roads

Beleidsinformatie in het nieuwe jeugdstelsel. 17 april 2014


VIAG THEMADAG State of the art internet beveiliging

ECIB/U Lbr. 17/010

Privacyverordening gemeente Utrecht. Utrecht.nl

HANDREIKING ENSIA EN DIGID

Privacyverklaring Rho adviseurs voor leefruimte bv

De maatregelen in de komende NEN Beer Franken

Transcriptie:

Het ICT beveiligingsassessment DigiD Bas Colen CISSP CISA Eindhoven 17 september 2013

Deze dertig minuten Onze situatie Hoe? En welke aanpak is gevolgd De normen / beveiligingsrichtlijnen Ervaringen, lessen en tips

Onze situatie Samenwerkingsverband I&A van de gemeenten Nuenen c.a. en Son en Breugel Ook samenwerking op andere onderdelen bedrijfsvoering zoals Digitale Dienstverlening DigiD assesment is onderdeel van project Meerjaren informatiebeveiligingsbeleid en -plan

Onze situatie Twee gemeenten Twee websites Twee DigiD aansluitingen Eén leverancier

Onze aanpak Uitangspunt: Draaiboek van KING Plan van Aanpak Start met selectie auditor Stap 1, 2, 5, 6

Aanpak

Waar komt het op neer?

Onze situatie

Onze situatie

Aanpak

informatiebeveiliging dienen adequaat te zijn vastgesteld Welke beveiligingsrichtlijnen? B0-5, Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd B0-13, Niet (meer) gebruikte websites en/of informatie moet worden verwijderd B0-14, Leg afspraken met leveranciers vast in een overeenkomst B5-3, Sla gevoelige gegevens versleuteld of gehashed op B7-9, Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake

Welke beveiligingsrichtlijnen? B0-5, Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd B0-13, Niet (meer) gebruikte websites en/of informatie moet worden verwijderd B0-14, Leg afspraken met leveranciers vast in een overeenkomst B5-3, Sla gevoelige gegevens versleuteld of gehashed op B7-9, Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld

wijzigingsbeheer doorgevoerd B0-13, Niet (meer) gebruikte websites en/of informatie moet worden verwijderd B0-14, Leg afspraken met leveranciers vast in een overeenkomst B5-3, Sla gevoelige gegevens versleuteld of gehashed op B7-9, Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld B0-12, Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer B1-2, Beheer en productieverkeer zijn van elkaar gescheiden B5-1, Voer sleutelbeheer in waarbij minimaal

B0-5, Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd In SaaS situatie best lastig Wat test je? Onvoldoende tijd voor complete test bij elke release Wel: Nieuwe e-formulieren

B0-13, Niet (meer) gebruikte websites en/of informatie moet worden verwijderd In theorie onderdeel van wijzigingsbeheer Oplossing: Overzicht van alle operationele (sub)websites Elke site een eigenaar Jaarlijks (minimaal) controle

B0-14, Leg afspraken met leveranciers vast in een overeenkomst Voordeel uit koploper gemeente zijn Samen met KING contact met leverancier Uitdaging: Bestaande overeenkomst Inhoud SLA van belang voor dit assessment

B5-3, Sla gevoelige gegevens versleuteld of gehashed op Leverancier verantwoordelijk voor technische maatregelen Gemeente verantwoordelijk voor analyse van gevoelige gegevens Wat zijn gevoelige gegevens? Welke gegevens worden opgeslagen en waar?

B7-9, Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgesteld Was nog niet (voldoende) vastgelegd Is vastgelegd in (nieuwe) informatiebeveiligingsbeleid Uitdaging: Beleid tijdig vaststellen

B0-12, Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer Autorisaties in het CMS Gemeente: Scheiden van beheer en productie; content-beheer applicatiebeheer / definitie e- formulieren Proces dat hiervoor wordt gebruikt

B1-2, Beheer en productieverkeer zijn van elkaar gescheiden Beheerfuncties van het DMS afschermen voor misbruik vanaf internet Grootste deel via TPM Implementatie: SSL & filteren op IP adres Gemeente: Aantonen implementatie

B5-1, Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers staan Sleutels via gemeente naar provider Vaak via e-mail of brief Gemeente: maak het proces van certificaatbeheer inzichtelijk. Beschrijf

Tips Betrek zo snel mogelijk de auditor Houd rekening met verassingen Doe wat nodig is. Niet meer

Nut van het DigiD assessment? Bewustwording informatiebeveiliging stijgt Maatregelen die er al hadden moeten zijn worden ontdekt Oh ja, de veiligheid van je website wordt onderbouwd

Vragen

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback