Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Vergelijkbare documenten
Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Handleiding uitvoering ICT-beveiligingsassessment

Jacques Herman 21 februari 2013

DigiD beveiligingsassessment Decos Information Solutions

MKB Cloudpartner Informatie TPM & ISAE

ENSIA guidance DigiD-assessments

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

Gemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

DigiD beveiligingsassessment

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Aanbevelingen en criteria penetratietest

ENSIA guidance DigiD-assessments

Bijeenkomst DigiD-assessments

Assurancerapport DigiD assessment Justis

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

^insiteaudit. DigiD-beveiligingsassessment. Third Party Mededeling SIMgroep. Referentie H a a r l e m, 29 n o v e m b e r 2017

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Factsheet Penetratietest Informatievoorziening

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

makkelijke en toch veilige toegang

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Rapport van bevindingen Privacy Informatie Ondersteund Beslissen

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Assurancerapport van de onafhankelijke IT-auditor

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:

AVG-ondersteuning bij uw klant

Norm ICT-beveiligingsassessments DigiD

Partnering Trust in online services AVG. Vertrouwen in de keten

Inleiding Begrippen en definities 5 3. Doelstellingen van een privacy-audit Opdrachtaanvaarding 8 9 4

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

Eindrapportage Impactanalyse ICT-beveiligingsassessment DigiD

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

2014 KPMG Advisory N.V

Verschillen en overeenkomsten tussen SOx en SAS 70

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Welkom bij parallellijn 1 On the Move uur

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

HANDREIKING DIGID-ZELFEVALUATIE

Tweede Kamer der Staten-Generaal

Assurance-rapport en Verantwoording 2012 Product van Logius

BABVI/U Lbr. 12/015

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

Inspectierapportage Wet basisregistraties adressen en gebouwen. Gemeente Valkenswaard. 25 februari 2014

Werkprogramma Risicobeheersing Volmachten 2018

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

HANDREIKING ENSIA EN DIGID

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Norm ICT-beveiligingsassessments DigiD

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Zwaarbewolkt met kans op neerslag

Handreiking Implementatie Specifiek Suwinetnormenkader

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Sebyde Prijslijst

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Beleid Informatiebeveiliging InfinitCare

Databeveiliging en Hosting Asperion

Security Testing. Omdat elk systeem anderis

versie: januari 2018 Voor de digitale economie 1.

Informatiebeveiliging ZorgMail

Vertrouwen in ketens. Jean-Paul Bakkers

Tijdelijke opdracht: inhuur Senior Expert Auditing en Compliance

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

ENSIA voor informatieveiligheid

Algemene informatie ISO 9001

Kaderregeling Administratieve Organisatie en Interne Controle Forensische Zorg

0.1 Opzet Marijn van Schoote 4 januari 2016

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BABVI/U Lbr. 13/057

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Transcriptie:

Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit van uw diensten? Hoe verkrijgt de klant zekerheid over de processen die uitbesteed zijn aan uw organisatie? Uw klant blijft immers zelf eindverantwoordelijk voor deze processen. Een oplossing is: de Third Party Mededeling. Een Third Party Mededeling is een mededeling die afgegeven wordt door een onafhankelijke auditor over de kwaliteit en betrouwbaarheid van u als dienstverlener. Het maakt de kwaliteit van een organisatie en haar dienstverlening inzichtelijk. Het wordt een TPM genoemd omdat de eerste betrokken partij de leverancier als opdrachtgever is, de tweede partij de auditor als opdrachtnemer en de derde betrokken partij de uiteindelijke doelgroep, de klantengroep. De TPM toont vooraf aan dat de kwaliteit van de aangeboden dienstverlening is gewaarborgd. Het kwaliteitsniveau wordt in een rapportage aan (potentiële) klanten objectief aangetoond door een ondertekende mededeling van een externe auditor. Het verschaft de klant zekerheid van een betrouwbare werking (in de zin van volledigheid, juistheid en tijdigheid) over de uitbestede processen en geautomatiseerde systemen. Wat zijn de voorwaarden? Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan: Een 1 e voorwaarde is dat een TPM moet worden opgesteld en worden ondertekend door een RE auditor. RE auditors voldoen aan de eisen die NOREA, de beroepsorganisatie van IT-auditors stelt. Dit betekent dat een TPM wordt uitgevoerd overeenkomstig Nederlands recht, waaronder de NOREA richtlijn 3000: Richtlijn Assuranceopdrachten door IT-auditors. Dit vereist dat een RE auditor voldoet aan de voor hun geldende ethische voorschriften en dat de werkzaamheden zodanig worden uitgevoerd dat een redelijke mate van zekerheid wordt verkregen over de vraag of de interne beheersmaatregelen, in alle van materieel belang zijnde aspecten, op afdoende wijze zijn opgezet door de opdrachtgever, bestaan en werken. Een 2 e voorwaarde is dat het moet gaan om een standaard proces of een standaard applicatie of standaard infrastructuur of een standaard SAAS oplossing. Daarnaast moet uw wijzigingsbeheer volledig zijn ingericht en op orde zijn zodat wijzigingen in het object van onderzoek volledig beheerst worden doorgevoerd. Anders heeft een TPM ook geen zin en kan beter worden volstaan met een individueel assurance rapport. Een 3 e voorwaarde is dat opdrachtgever en haar klanten het eens zijn over het gehanteerde normenkader waarover in de TPM zekerheid wordt gegeven. Een tenslotte is een 4 e voorwaarde dat vooraf overeenstemming is bereikt over de precieze afbakening van het object van onderzoek en de diepgang (opzet, bestaan en/of werking). Wat is uw voordeel? Flyer TPM augustus 2017 Pagina 1 van 3

Bedrijven maar ook de overheid besteden steeds vaker activiteiten uit aan gespecialiseerde serviceorganisaties. Dit vereist wederzijds vertrouwen en transparantie. Een eigenaar van de uitbestede dienst blijft eindverantwoordelijk en moet bijvoorbeeld aan een toezichthouder over de uitbestede dienst zich verantwoorden. Dat kan door een Assurance mededeling afgegeven door een RE. Dit betekent dat de klant of zijn vertegenwoordiger (de accountant) de serviceorganisatie zou moeten bezoeken om vast te stellen of de risico s voldoende zijn afgedekt. Door een TPM-mededeling is dit niet meer nodig. De mededeling verschaft namelijk de klant aantoonbare zekerheid omtrent een betrouwbare werking van de uitbesteden processen en geautomatiseerde systemen die de dienstverlener aan de klant aanbiedt. Tot slot is een TPM-mededeling bruikbaar voor alle afnemers. Wij kunnen voor u een TPM afgeven. Dit betekent dat we vaststellen dat uw software of hosting voldoet aan de richtlijnen. De RE auditor van uw klant kan op dit bewijs steunen en hoeft dan geen afzonderlijk onderzoek te doen naar de beveiliging bij u als dienstverlener. In de praktijk betekent dat bijvoorbeeld de pentesten voor dat onderdeel kunnen vervallen bij de klant. Dat scheelt u tijd en uw klant geld. Wat is de aanpak? De onafhankelijke auditor doorloopt drie stappen. Tijdens de eerste stap (de voorbereiding), vraagt de auditor inzicht in het object van onderzoek, bakent dit af met bijvoorbeeld een netwerktekening en wenst inzicht in de beveiligingsmaatregelen die u als dienstverlener heeft genomen om de risico s in de huidige processen te kunnen beheersen. 1 Tijdens de uitvoering (stap 2) van het TPM onderzoek, toetst de auditor de opzet en het bestaan. Afhankelijk van de gecontracteerde diepgang wordt ook de werking van de beschreven werkwijze getoetst door interviews af te nemen, documenten te bestuderen en door waarnemingen ter plaatse en eventuele penetratietesten uit te (laten) voeren, logs op te vragen etc. Tijdens de rapportagefase (stap 3) verklaart de onafhankelijke auditor aan de hand van de vooraf opgestelde criteria of de interne beheersingsmaatregelen voldoen. Zijn bevindingen over de organisatie geeft hij weer in een (Assurance)rapport. Indien de controles goed verlopen zal de auditor een TPM-mededeling afgeven. Een voorbeeld: een DigiD TPM Het ICT-beveiligingsassessment is gericht op het stelsel van maatregelen en procedures met als doel de beveiliging van een webomgeving te optimaliseren. Het stelsel omvat zowel geautomatiseerde als niet geautomatiseerde maatregelen en procedures. Het Digid beveiligingsassessment is een controle op de betrouwbaarheid van de Digidkoppeling van overheidswebsites. Via deze koppeling kunnen burgers een persoonlijke toegang tot de website verkrijgen. Alle DigiD-gebruikende organisaties moeten jaarlijks een ICT-beveiligingsassessment laten uitvoeren. Dit assessment vindt plaats conform een door het Nationaal Cyber Security Center opgestelde beveiligingsrichtlijn en de daarop door Logius gebaseerde Norm op straffe van afsluiting van DigiD. Meer informatie over het assessment 1 Een preventieve maatregel heeft als doel de risico s vooraf te verkleinen onder het motto: voorkomen is beter dan genezen; een repressieve maatregel heeft als doel om de risico s achteraf te verkleinen. Flyer TPM augustus 2017 Pagina 2 van 3

is terug te vinden op het YouTube kanaal van BKBO. Volg hiervoor de link https://www.youtube.com/channel/uckr- OEs61ynZhqR69XNbyQw In de linker kolom is een organisatie opgenomen die een webapplicatie heeft gekocht bij een externe leverancier. De richtlijnen die gelden voor de software kunnen worden getoetst op een gelijkwaardige omgeving bij de leverancier. De tweede kolom geeft de situatie aan waarbij de organisatie gebruikmaakt van een externe partij voor het hosten van de webapplicatie. De richtlijnen die gelden voor de infrastructuur, maar ook een aantal procesmatige richtlijnen kunnen worden vastgesteld bij de hostingpartij. De derde kolom is een combinatie van de eerste twee situaties, namelijk een organisatie die een webapplicatie afneemt bij een leverancier die dit aanbiedt in een SaaS-oplossing. Hierbij zal een groot gedeelte van de richtlijnen voor zowel de software, de infrastructuur als een aantal processen bij deze SaaS-leverancier getoetst kunnen worden. De laatste kolom geeft de situatie weer waarbij de organisatie die DigiD gebruikt alles zelf geregeld heeft. Op basis van de richtlijnen van Logius is een TPM maximaal één jaar geldig en mag door een klant slechts eenmaal worden gebruikt voor het DigiD assessment. Ergo, het TPM onderzoek moet jaarlijks worden herhaald. Zie voor een gedetailleerde uitleg ons YouTube kanaal Hoe doen wij dat? Wij hebben een standaard uitvoeringswijze ontwikkeld. Op basis van een door ons ontwikkelde vragenlijst kunnen we uw lokale situatie overzichtelijk in kaart brengen. Vervolgens zal onze lead auditor bij u ter plaatse een quick scan uitvoeren om samen met u vast te stellen of uw beeld volledig is en klopt. Daarbij wordt een auditplan met u besproken waarbij duidelijk wordt welke TPM verklaring(en) nodig zijn, welke testen dienen te worden uitgevoerd en op welke termijn dat mogelijk is. We maken hierbij verschil tussen on premise en SAAS applicaties. We kunnen een TPM verklaring afgeven voor SAAS applicaties, webapplicaties die on premise draaien en voor een hosting omgeving. Zie voor een gedetailleerde uitleg ons YouTube kanaal Flyer TPM augustus 2017 Pagina 3 van 3

Vervolgens worden de penetratietesten uitgevoerd door de gecertificeerde pentesters van onze partner Novaccent. Eerst wordt een zogenaamde blackbox test (grotendeels via geautomatiseerde scans) uitgevoerd om na te gaan of het mogelijk is om ongeautoriseerd toegang te krijgen. Als dat mogelijk blijkt, wordt in fase 2 vastgesteld of het mogelijk is via de website - met de daarop aangetroffen kwetsbaarheden ongeautoriseerd toegang te verkrijgen tot de achterliggende systemen. Dat is dan een grey-box pentest, waarbij u desgevraagd de benodigde privileges en configuratie-instellingen van relevante componenten (zoals netwerkapparatuur en servers) aan de penetratietester verstrekt. Wij moeten hierbij uitgaan van volledige medewerking van uw IT personeel en dat van uw leveranciers. Tegelijk vindt door de Register EDP auditor van BKBO een audit plaats op uw contracten, procedures en de beveiligingsorganisatie. In een overzichtelijke conceptrapportage worden vervolgens de bevindingen gerapporteerd en doen we aanbevelingen om de tekortkomingen op te heffen. Het assessment wordt afgesloten met een gesprek waarin de bevindingen worden toegelicht, waarna de rapportage definitief wordt gemaakt. De uitvoering van het onderzoek en de rapportage vinden plaats op basis van de Richtlijn 3000 van NOREA die betrekking heeft op het verrichten van assurance werkzaamheden. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel, waarbij per maatregel wordt aangegeven of deze voldoet. De definitieve rapportage dient u als opdrachtgever naar Logius te versturen. Omdat de opdracht ook een penetratie- en of vulnerabilitytest omvat, wordt u gevraagd om een vrijwarings-verklaring overeen te komen. Uiteraard zullen we proberen zoveel mogelijk ongelukken te voorkomen, worden de tests nauwkeurig met u afgestemd en is het onderuit halen van uw webportals niet aan de orde. Ingeval u als organisatie over een Third Party Mededeling (= TPM) van uw leverancier(s) beschikt is een dergelijke test doorgaans niet nodig. Nieuw normenkader voor DigiD Tot 1 juli 2017 is het huidige normenkader van toepassing. Dus ook de huidige TPM s. Tussen 1 juli 2017 en 1 november 2017 kan de houder van de DigiD aansluiting kiezen welk normenkader men wil hanteren, dit zal deels afhankelijk zijn of men gebruik maakt van een TPM en tegen welke normen de TPM getoetst is. Na 1 november 2017 is de houder van de DigiD aansluiting verplicht de nieuwe aansluiting te toetsen tegen het normenkader v2.0. Bestaande aansluitingen moeten voor 1 mei 2018 opnieuw zijn getoetst en dan tegen het normenkader v2.0. Flyer TPM augustus 2017 Pagina 4 van 3

Wat is uw investering? De kosten voor de levering van een TPM variëren afhankelijk van wat er onderzocht moet worden tussen de 9.000,- en 11.000,- afhankelijk van wat er door ons moet gebeuren. Het maximale bedrag betreft dan een TPM waarbij we ook de periodieke releases als het ware keuren. Genoemde prijzen zijn exclusief btw, maar inclusief reis- en verblijfskosten. Meer informatie over het assessment is terug te vinden op het YouTube kanaal van BKBO. Geen gekibbel garantie Anders dan andere auditororganisaties geven wij u geen gekibbel garantie. Onze prijs is vast en dus inclusief een eventuele hertest, heraudit of aanvullend assessment. Meer weten? Dit product wordt voor uw situatie geheel op maat gemaakt. Daarom kunnen wij ons voorstellen dat u nog vragen heeft. Wij staan voor u klaar en gaan graag met u in gesprek om tot een definitieve offerte te komen. U kunt direct bellen met BKBO op telefoonnummer: 073 211 03 37. Is het voor u duidelijk? Dan kunt u ook direct een offerte aanvragen. Ga naar de site: https://bkbo.nl/offerteaanvragen-tpm-verklaring/ Flyer TPM augustus 2017 Pagina 5 van 3

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback