Auliitdienst Rijk Ministerie van Financiën

Vergelijkbare documenten
Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Rapport van feitelijke bevindingen inzake uitvoering specifiek overeengekomen werkzaamheden uitvoeringskosten CAK bij CJIB 2018

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Audit Fraudeonderzoek door Belastingdienst

Onderzoeksrapport Onderbouwing eerste voortgangsrapportage jaarplan 2019 Belastingdienst. definitief

BIR2017 FAQ s Baseline Informatiebeveiliging Rijksdienst

PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Met betrekking tot de door de ADR uitgevoerde review van de steekproef Wtcg 2014

BIR comply or explainprocedure

Rapport aan de minister over het onderzoek van het Financieel jaarverslag van bet Rijk over bet jaarzoi6,envan desaldibalans van bet Rijk per

Samenvattend auditrapport

Rapport van bevindingen Privacy Informatie Ondersteund Beslissen

Rapport van bevindingen Rapport bij Financieel Verslag Uitvoeringstaken 2015 van het Zorginstituut Nederland

Colofon. Datum 31 maart Kenmerk Inlichtingen Auditdienst Rijk

Handleiding uitvoering ICT-beveiligingsassessment

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Ervaringen met het NBA-LIO volwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB

Werkzaamheden uitvoeringskosten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Rapport van bevindingen

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Auditrapport 2017 Agentschap Dienst Publiek en Communicatie. van het ministerie van Algemene Zaken (III) Auditdienst Rijk. Ministerie van Financiën

Rapport van bevindingen

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Onderzoeksrapport Onderzoek auditcharter en controlstatuut AGT. definitief

FAQ s Baseline Informatiebeveiliging Overheid

MKB Cloudpartner Informatie TPM & ISAE

Onderzoeksrapport Totstandkoming rapportage grote ICT-projecten 2017 van het ministerie van Defensie

Auditdienst Rijk Ministerie van Financiën

Assurancerapport bij de aanvraag tot vaststelling van de beschikbaarheidbijdrage (medische) vervolgopleidingen 2016

Staten-Generaal (IIA)

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Tweede Kamer der Staten-Generaal

(c2e. Auditdiensi. Rijk Ministerie van Financiën. Ministerie van. Binnenlandse. Turfmarkt 2511 DP Den Haag 14T. Datum 13 april 2015 Betreft Nota van

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Auditdienst Rijk Ministerie van Financiën [ OS. Logius T.a.v JE Den Haag

Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in

Overige Hoge Colleges van Staat en Kabinetten van de Gouverneurs (IIB)

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Verantwoordingsrichtlijn GeVS 2019 (versie )

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Ministerie van Financiën De staatssecretaris, de heer ir. E.D. Wiebes MBA Postbus EE Den Haag

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Eindrapport. Vervolgonderzoek IT-aspecten TEM. Versie: Definitief 1.1 Documentnummer: Uitgebracht aan: Directeur 3W

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Tweede Kamer der Staten-Generaal

Auditdienst Rijk Ministerie van Financiën

Aan Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA 's-gravenhage

Informatiebeveiligingsbeleid

2015; definitief Verslag van bevindingen

Assurancerapport DigiD assessment Justis

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Onderzoek specifiek overeengekomen werkzaamheden inzake kostprijsmodel CJIB 2015

i\ r:.. ING. 1 8 FEB 2016

Overige Hoge Colleges van Staat en Kabinetten van de Gouverneurs (IIB)

De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof AA DEN HAAG

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Ministerie van Algemene Zaken (III)

Energiemanagementprogramma HEVO B.V.

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Opvolging aanbevelingen (peilmoment augustus 2014)

Auditdienst Rijk Ministerie van Financiën

BABVI/U Lbr. 12/015

Auditdienst Rijk Ministerie van Financiën. Assurancerapport Onderzoek toepassing billijkheidsbeginsel bij opleggèn mestboetes

rliiiiihihhiiiivi.ilhn

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Verantwoordingsrichtlijn

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

Auditdienst Rijk Minisrerie van Financiën. Onderzoeksrapport Onderzoek Forfaitair tarief immo

Resultaten verantwoordingsonderzoek. Generaal (IIA)

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Zicht op doorwerking

Datum 26 april 2017 Betreft Antwoorden op inbreng schriftelijk overleg over het nieuwe stelsel van rapporteringstoleranties

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Onderwerp en positionering van de beleidsdoorlichtingen In de beleidsdoorlichtingen van de ADR staan de volgende beleidsdoelstellingen centraal:

Jacques Herman 21 februari 2013

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA DEN HAAG. Datum 23 januari 2017 Beantwoording Kamervragen

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Consultatiedocument Standaard 4400N Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden (2 e ontwerp) 21 juli 2016

1. Overzichtsdocument Normenkaders Rijkspas

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

B2 Reglement Beroepsbeoefening IT-auditors

Datum 19 januari 2016 Betreft Rijksbrede ontwikkelingen inzake begroten en verantwoorden. Geachte voorzitter,

Definitieve bevindingen Rijnland ziekenhuis

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874

ENSIA voor informatieveiligheid

Transcriptie:

Tl i-x b b ó Auliitdienst Rijk Ministerie van Financiën > Retouradres Postbus 20201 2500 EE Den Haag Ministerie van Binnenlancdse Zaken en Koninkrijksrelaties t.a.v. CIO Rijk dhr. H.E. Wanders Turfmarkt 147 2511 DP Den Haag Auditdienst Rijk Korte Voorhout 7 2511 CW Den Haag Postbus 20201 2500 EE Den Haag www.rijksoverheid.nl Inlichtingen b. Ons kenmerk 2017-0000188360 Datum 21 september 2017 Betreft Onderzoeksrapport Uw brief (kenmerk) Beste heer Wanders, Bijgaand doe ik u het onderzoeksrapport "Toetsbaarheid concept versie BIR2017 R- maatregelen en kansen & risico's"(kenmerk 2017-0000187758) toekomen Rapport Is zoals afgesproken uitgebracht in een vorm van een presentatie. Pagina 1 van 1

Auditdienst Rijk Ministerie van Finandën Onderzoeksrapport kenmerk 2017-0000187758 Toetsbaarineid concept versie BIR2017 (R-maatregelen en kansen & risico's) Uitgebracht aan: CIO Rijk co I. Den Haag, 15 september 2017

Auditdienst Rijk Ministerie van Financiën Inhoud CS' r-.. Aanleiding opdracht Samenvatting Werkwijze I. Bevindingen bij de R-maatregelen II. Bevindingen uit de Ronde tafel Verantwoording onderzoek Ondertekening Bijlagen

Aanleiding van de opdracht Het Directoraat-generaal Overheidsorganisatie (DGOO) ontwikkelt in 2017 een nieuwe Baseline Informatiebeveiliging Rijksdienst (BIR2017). Inmiddels is een initiële versie van de BIR2017 uitgewerkt. Voordat de BIR vastgesteld wordt, wil de DGOO de aandachtspunten voor toetsbaarheid weten. De BIR beschrijft per basisbeveiligingsniveau (BBN) aan welke ISO27002 Controls (Code voor Informatiebeveiliging) moet worden voldaan. Bij alle controls dient, op basis van een risicoafweging, bepaald te worden hoe aan de beveiligingseisen van de control voldaan kan worden. Sommige controls zijn (deels) uitgewerkt in verplichte Rijks (R)-maatregelen. Het onderzoek heeft zich gericht op de toetsbaarheid van de (R)- maatregelen van de concept versie van de BIR2017 (vo.4 en 0.6) en een uitwerking van kansen en risico's vanuit auditperspectief.

Sannenvatting In de R-maatregelen zien wij toetsbare maatregelen en maatregelen die nog minder specifiek en meetbaar zijn waardoor die maatregelen mogelijk verschillend geïnterpreteerd worden. Ten opzicht van versie 0.4 zijn er stappen gemaakt met versie 0.6, mede naar aanleiding van onze tussentijdse opmerkingen. De ronde tafel met auditors met BIR ervaring laat zien dat een nadruk op een risico gebaseerde BIR een stap vooruit is, waarbij wij wel een aantal risico's en nieuwe vraagpunten zien. r^i r-.-. Het risico bestaat dat het risicomanagement bij de departementen nog niet aansluit op de nieuwe baseline. Meer toelichting en uitwerking van de systematiek is gewenst zodat voor alle partijen helder is wat er wordt verwacht en er wordt verantwoord. Dit voorkomt ook dat niet weer een nieuwe checklist door departementen en auditors wordt afgewerkt.

Werkwijze (1/2) Deel I van het onderzoek heeft zich gericht op de toetsbaarheid van de R-maatregelen. Gedurende het onderzoek zijn nog nadere verbeteringen aan de R-maatregelen toegevoegd mede naar aanleiding van onze tussentijdse opmerkingen, (op versie 0.4). Per juni 2017 is een definitief concept 0.6 opgeleverd waar wij opnieuw de R-maatregelen hebben onderzocht. Dit is de basis van de uitvoeringstoetsen die op de departementen plaatsvinden. Ten opzichte van de eerdere versie hebben wij de aanpassingen beoordeeld die de basis vormen voor deel I van de rapportage. De belangrijkste punten in dit rapport zijn samengevat en details zijn te vinden in bijlage A.

Werkwijze (2/2) Naar aanleiding van onze concept bespreking is de ADR gevraagd een beperkt aanvullend onderzoek uit te voeren met als doel de kansen (pluspunten) en risico's (minpunten) die de ADR ziet bij de invoering van de BIR 2017 ten opzichte van de BIR 2012 te inventariseren. Deel II bevat een opsomming van de commentaren uit de ronde tafel die in juni 2017 georganiseerd is met een groep auditors met BIR ervaring. De belangrijkste punten zijn samengevat in dit rapport en details zijn te vinden in bijlage B. '.XI <x> De opdrachtgever kan de onderzoeksuitkomst gebruiken om de toetsbaarheid van de BIR 2017 verder te verbeteren. r-~. W I CS) r '-t I C'"> I

Ifji, mm DEEL I

Onderzoeksvragen deel I De volgende vragen zijn geformuleerd: Welke bevindingen zijn er ten aanzien van de toetsbaarheid per R-maatregel in de BIR 2017? Welke eventuele suggesties* zijn er per R-maatregel om ze beter toetsbaar te maken? Toetsbaarheid is de mate waarin een maatregel Specifiek, Meetbaar en Realistisch is. *De suggesties richten zich niet inhoudelijk op de maatregelen. Toetsbaa-heid BIR2017

Bevindingen bij de R-maatregelen (1/6) Voor de R-maatregelen is per maatregel opgesomd welke toestbaarheidselementen aandacht verdienen en zijn suggesties gedaan. Samenvattend zijn daar een aantal bevindingen categorieën geformuleerd. Details (op versie 0.6 na eerste verwerking) staan in bijlage A. Aandachtspunten vanuit auditperspectief: Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Hoe kan de BIR 2017 specifieker en duidelijker gemaakt worden? Hoewel er aanvullende maatregelen door de departementen geselecteerd worden dienen de R-maatregelen an sich ook geen onduidelijkheden op te roepen bij het toetsen. Deze vragen worden in de volgende sheets uitgewerkt.

Bevindingen bij de R-maatregelen (2/6) Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Aandachtspunten vanuit auditperspectief: Wij zien dat nog niet alle maatregelen eenduidige elementen (het WAT) bevatten die geraakt moeten worden om (geheel of ten dele) het beheersdoel te realiseren. Het HOE kan nader uitgewerkt worden in richtlijnen (of best practices) want dit kan per organisatie verschillen. We zien dat het verwijzen naar policies en richtlijnen onderdeel is van het BIR 2017 concept en nog niet consequent wordt toegepast. co <'.Si Twee voorbeelden:

Bevindingen bij de R-maatregelen (3/6) Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Goed voorbeeld: Capaciteitsbeheer (12.1.3.1) ''In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te signaleren en hierop te reageren" cn r--. '..O < "> <x> 123 Alle elementen om te toetsen worden genoemd. Ook heldere maatregelen voor bijv. Capaciteitsbeheer (12.1.3), Scheiding OTAP (12.1.4), Gebeurtenissen registreren (12.4.1) en Beheer van technische kwetsbaarheden (12.6.1).

Bevindingen bij de R-maatregelen (4/6) Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Minder goede voorbeeld van WAT: Scheiding van taken (6.1.2.1) "Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen" Te toetsen elementen niet concreet. Lijkt doelstelling. Zowel het WAT als het HOE kan verschillend geïnterpreteerd worden. Betreft het functiescheiding? Moetje het voorkomen of detecteren? Moet er een taakomschrijving zijn die aansluit? <:0

Bevindingen bij de R-maatregelen (5/6) Hoe kan de BIR 2017 specifieker en duidelijker gemaakt worden? Aandachtspunten vanuit auditperspectief: Detailniveau van maatregelen wisselt: De normtekst bevat soms begrippen of formuleringen die niet eenduidig zijn. Formulering varieert van gedetailleerd tot abstract. Soms in meer maatregelen gesplitst, soms alles in één. Enkele maatregelen overlappen.

Bevindingen bij de R-maatregelen (6/6) Hoe kan de BIR 2017 specifieker en duidelijker gemaakt worden? Aandachtspunten vanuit auditperspectief: Gebruik van verwijzingen wisselt : De normtekst verwijst soms te ruim naar andere regels, standaarden en voorschriften. Geen uitwerking van een verwijzing naar policies gezien. De BIR maatregelen kunnen aangevuld worden met praktische richtlijnen. Deze mogelijkheid wordt nog weinig gebruikt. to In onderstaand overzicht van bevindingen worden de categorieën van bevindingen opgesomd.

Overzicht bevindingen bij R - maatregelen Beschrijft een specifieke uitkomst van een risico analyse Geen link met ICT Praktijk zal afwijken I Overlap zonder verwijzing llerugkercnde onduidelijke begrippen Bevat tijdsgebonden woorden I Inconsistentcdicpgang i.v.m. andere normen. I Verwijzing naar andere regels & voorschriften co <X> CSI

DEEL II (.O

Onderzoeksvraag deel II De volgende aanvullende onderzoeksvraag is geformuleerd: Welke kansen en risico's zijn er vanuit auditperspectief bij de omschakeling van BIR 2012 naar BIR 2017 bij de departementen? Om deze vraag te beantwoorden is een ronde tafel georganiseerd met auditors met BIR ervaring in juni 2017. De onderdelen in scope zijn de Systematiek (Hl-4) en twee hoofdstukken (H6 en H12). CHI'

Ronde tafel (1/6) Samenvattend is bevonden dat een risico gebaseerde BIR een stap vooruit is, waarbij wij wel door de systematiek een aantal risico's en nieuwe vraagpunten zien. Punten vanuit auditperspectief: Hoe gaat de nadruk op risico analyse systematiek in de praktijk werken? Welke zekerheid geven verantwoordingen? Hoe kunnen algemene definities en begrippen duidelijker? Hoe voorkomen we een nieuwe checklist? to co '..O De kansen en risico's hebben we nader uitgewerkt. 18

Ronde tafel (2/6) In onze ronde tafel zijn de positieve intenties van de systematiek onderschreven. Punten vanuit auditperspectief: Risico gebaseerd biedt de mogelijkheid om de inspanningen te verlagen en effectiviteit te verhogen. De nieuwe BIR is beter gericht op ketens. Rollen en verantwoordelijkheden zijn specifieker gemaakt. Meer aandacht voor beveiliging in de ontwikkelfase: "security by design". Deze punten bieden kansen op een betere inbedding van de maatregelen in de organisatie. Toetsbaarlheid BIR2017

Ronde tafel (3/6) Hoe gaat de nadruk op risico analyse systematiek in de praktijk werken? Aandachtspunten vanuit auditperspectief: Aanpak vraagt om volwassen risicomanagement bij de departementen. Aanpak en uitkomsten van BBN toetsen vragen uniforme werkwijze met bijvoorbeeld een rijksbrede tooi. De nieuwe systematiek moet duidelijk zijn voor diverse lezers- en gebruikersgroepen. Bijvoorbeeld op het punt van aanvullende maatregelen waarbij departementen zelf gestructureerde afwegingen maken. CCJ co ',0 Het risico bestaat dat er discussie met de auditor ontstaat over de gemaakte keuzes. De aanpak vraagt meer van departementen (en van auditors). Meer toelichting en uitwerking van de systematiek kan daarbij helpen.

Ronde tafel (4/6) Welke zekerheid geven verantwoordingen? Aandachtspunten vanuit auditperspectief: Wij zien in de praktijk veel discussie in hoeverre andere verklaringen zoals ISO 27001 en ISAE 3402 zekerheid verschaffen ook in relatie tot de eisen waaraan externe ICTdienstenleveranclers moeten voldoen en daarbij behorende R- maatregelen. Bijvoorbeeld ISO27001 zegt alleen dat een leverancier zijn proces in orde heeft, maar niet op welk niveau de beveiliging is geregeld. CO txi Ci :.0 Het risico bestaat dat niet eenduidig wordt gehandeld met betrekking tot de gevraagde verantwoordingen van leveranciers.

t-o (-''1!X> Ronde tafel (5/6) Hoe kunnen algemene definities en begrippen duidelijker? Aandachtspunten vanuit auditperspectief: Maatregelen zijn gebaseerd op risicoanalyses die uitgaan van "generieke schades en dreigingen". Relatie met het VIR-BI beperkt toegelicht. Ketens (van systemen/organisaties, intern/extern) staan meer centraal in de nieuwe BIR, en vragen aandacht om te duidelijk te krijgen wie welke maatregel moet treffen. De verantwoordelijkheid is vaak in eerste instantie bij de SG neergelegd. BIR-verantwoordelijkheden liggen momenteel bij CIO / CISO met een centrale of decentrale invulling. Het risico bestaat dat zonder invulling van deze concepten bij departementen discussies ontstaan over de (aard) getroffen maatregelen.

Ronde tafel (6/6) Hoe voorkomen we een nieuwe checklist? Aandachtspunten vanuit auditperspectief: Hoe de BIR actueel gehouden wordt volgt nog. Regelmatige actualisering van de BIR kan bijdragen aan meer continue verbetering van IB bij het Rijk. Wij verwachten een meer continue aanscherping en aanvulling van richtlijnen. In de praktijk voorzien wij dat al snel voor BBN2 gekozen wordt. <XJ Cl '.:s> Het gebruik van implementatie richtlijnen heeft als risico dat deze als (nieuwe) checklist worden beschouwd terwijl ze bedoeld zijn als ondersteuning. Hoewel dit genoemd staat in de BIR2017 tekst vraagt dit een hoge mate van volwassenheid van zowel departement als auditor.

Verantwoording cri

1.0 Verantwoording onderzoek Werkzaamheden en afbakening - 31 maart 2017 is de initiële versie (0.4) van de BIR2017 door CIO Rijk opgeleverd. - 21 april heeft de ADR informeel de BIR besproken met het schrijfteam - 15 mei zijn de gewijzigde maatregelen aan de ADR voorgelegd waar het rapport deel I op is gebaseerd (0.6). - 29 juni ronde tafel (deel II). - 24 juli concept rapport besproken. Buiten de scope van deze opdracht vallen: - De onderliggende handreikingen en voorbeelden per R-maatregel. - Bevindingen over activiteiten gericht op de juistheid en volledigheid van de controls (beheersmaatregelen) per basisset van de BIR2017. - Bevindingen over de toetsbaarheid van de onderliggende ISO-27002 implementatierichtlijnen. - De vraag of de normen aansluiten op het beveiligingsniveau. De maatregelen zijn beoordeeld door meerdere auditors.

Verantwoording onderzoek Gehanteerde Standaard Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Interna! Auditing. Met deze rapportage wordt geen zekerheid verschaft, omdat geen assurance-opdracht wordt uitgevoerd. De rapportage bevat daarom geen samenvattende conclusie of eindoordeel De opdracht is afgestemd in opdrachtbevestiging 2017-0000084078

Verantwoording onderzoek Verspreiding rapport De opdrachtgever. De CIO Rijk, is eigenaar van dit rapport. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.

Ondertekening Dit rapport van bevindingen is opgesteld door: Martijn van der Gaag CIA IT audit manager Den Haag, 15-9-2017 Auditdienst Rijk.-O cr>

^ Auditdienst Rijk Ministerie van Financiën Auditdienst Rijk Postbus 20201 2500 EE Den Haag (070) 342 77 00 a-i et (-.1 U-1

Bijlagen A. <Concept bevindingen BIR 2017 per 2017-05-24.pdf> (opmerkingen na verwerking eerste ronde) B. <Uitwerking Ronde tafel BIR2017 ADR> CCJ!X' C'-i CSI

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback