Assurance-rapport en Verantwoording 2012 Product van Logius



Vergelijkbare documenten
Assurance-rapport en Verantwoording 2010

Assurance-rapport en Verantwoording 2011 Producten van Logius

Handleiding uitvoering ICT-beveiligingsassessment

Assurance-rapport en Verantwoording 2012

Handreiking Digipoort SMTP, POP3 en FTP Overheden

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Handreiking Digipoort X400, SMTP, POP3 en FTP Bedrijven

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Service Niveau Overeenkomst Digikoppeling

Norm ICT-beveiligingsassessments DigiD

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

i\ r:.. ING. 1 8 FEB 2016

MKB Cloudpartner Informatie TPM & ISAE

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

2015; definitief Verslag van bevindingen

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

rliiiiihihhiiiivi.ilhn

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Auditdienst Rijk Ministerie van Financiën [ OS. Logius T.a.v JE Den Haag

Gemeente Alphen aan den Rijn

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Assurancerapport van de onafhankelijke IT-auditor

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

CIOT-bevragingen Proces en rechtmatigheid

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Assurance-rapport en Verantwoording 2010 Producten van Logius

Dienstbeschrijving Diginetwerk

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

De hierna met een hoofdletter aangeduide begrippen hebben in deze Gebruiksvoorwaarden de volgende betekenis:

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Informatiebeveiligingsbeleid

Stop met procesgericht ICT-beheer. Betere resultaten door eigen verantwoordelijkheid

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Jacques Herman 21 februari 2013

Aanbevelingen en criteria penetratietest

Digikoppeling adapter

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

ENSIA guidance DigiD-assessments

ADVISIE SERVICE SOLUTIONS

Leveranciers en Logius een verleidelijke combinatie!

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Basisnormen Beveiliging en Beheer ICT-infrastructuur

Assurancerapport Monitoringsplan PPS Rijkskantoor de Knoop Utrecht definitief

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

Rapport van bevindingen Privacy Informatie Ondersteund Beslissen

Handleiding voor aansluiten op Digilevering

Voortgangsrapportage

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Sociale Verzekeringsbank Document Afspraken en Procedures (DAP) Bijlage N, behorend bij het Beschrijvend document

1. Inleiding WAARDERINGSKAMER RAPPORT VAN BEVINDINGEN. Gennep uitvoeringsorganisatie: Datum: 1 augustus Gemeente/

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Gemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Aansluitvoorwaarden Diginetwerk

FINANCIËLE VERORDENING RECREATIESCHAP DOBBEPLAS

Voorwaarden Digilevering

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

Informatiebeveiligingsbeleid

Proefexamen ITIL Foundation

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

Energiemanagementplan Carbon Footprint

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

Informatiebeveiligingsbeleid

IT Beleid Bijlage R bij ABTN

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Voorbeelden generieke inrichting Digikoppeling

Gemeentelijke Telecommunicatie GT Connect

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Rfc Afgeleide principes 35-40

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

versie: januari 2018 Voor de digitale economie 1.

Beveiligingsbeleid Stichting Kennisnet

1 Dienstbeschrijving all-in beheer

Transcriptie:

Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief

Definitief Assurance-rapport en Verantwoording 2012 19 december 2013 Colofon Projectnaam Assurance-rapport en Verantwoording 2012 Versienummer 1.0 Organisatie Servicecentrum Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 servicecentrum@logius.nl Bijlage(n) Auteurs Lijst met afkortingen Beheersdoelstellingen Verantwoording: Logius Assurance-rapport: Auditdienst Rijk Pagina II

Definitief Assurance-rapport en Verantwoording 2012 19 december 2013 Woord vooraf Logius, dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, biedt publieke dienstverleners een samenhangende ICT-infrastructuur, zodat burgers en bedrijven eenvoudig, snel, groen en betrouwbaar elektronisch zaken met hen kunnen doen. Logius geeft haar klanten sinds 2008 door middel van een Assurancerapport en Verantwoording inzicht in de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de belangrijkste uitontwikkelde producten. Het Assurance-rapport en de Verantwoording die voor u liggen, hebben betrekking op de opzet, het bestaan en de werking van Digipoort op de koppelvlakken SMTP, X.400, FTP en POP3 in de periode 1 januari 2012 tot en met 31 december 2012. Over DigiD voor Burgers en Haagse Ring (onderdeel van Diginetwerk) wordt separaat gerapporteerd. In de Verantwoording is de conclusie van Logius weergegeven, mede gebaseerd op de uitkomsten van onderzoeken die in opdracht van Logius zijn uitgevoerd door de Auditdienst Rijk (ADR). De Verantwoording wordt geverifieerd en dit komt tot uiting in het Assurance-rapport, waarin ADR een oordeel geeft over de juistheid en volledigheid van de Verantwoording van Logius. De Verantwoording en het Assurance-rapport zijn onlosmakelijk met elkaar verbonden. Voor Logius is het Assurance-traject ook een interne prikkel om de dienstverlening te blijven verbeteren. Naar aanleiding van het Assurancerapport en de Verantwoording over 2011 is intensief met de leverancier gewerkt aan verbetering van de Digipoort-dienstverlening. In 2012 is structurele verbetering gerealiseerd, al blijft voor een aantal beheersdoelstellingen aandacht nodig. Logius zal zich blijven inzetten voor verbetering van de kwaliteit van de Digipoort-dienstverlening. Met vriendelijke groet, Steven Luitjens Directeur Logius Pagina III

Definitief Assurance-rapport en Verantwoording 2012 19 december2013 Assurance-rapport Auditdienst Rijk Geadresseerde Dit Assurance-rapport is bestemd voor de huidige en potentiële afnemers van Logius van Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) (hierna Digipoort). Het rapport dient uitsluitend in samenhang met de Verantwoording over de periode 1 januari tot en met 31 december 2012 over Digipoort te worden verstrekt en heeft als doelstelling aanvullende zekerheid te geven over de juistheid en volledigheid van deze Verantwoording. Opdracht Ingevolge de opdracht van Logius hebben wij de Verantwoording van Logius van 19 december 2013, waarin de in de periode 1 januari tot en met 31 december 2012 beoogde en geïmplementeerde maatregelen en procedures bij Logius en betrokken leverancier zijn opgenomen ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) beoordeeld. Reikwijdte en gehanteerde normen In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten: beschikbaarheid: de mate waarin een object conform afspraken beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; integriteit: de mate waarin de verwerking van de ingevoerde gegevens juist, volledig en tijdig verloopt en de programma s en bestanden ongeschonden blijven; exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen; controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is om vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. Bij deze opdracht zijn wij uitgegaan van de door Logius vastgestelde beheerdoelstellingen en normen (op te vragen bij Logius). Deze sluiten aan op algemeen aanvaarde uitgangspunten en op de contracten tussen Logius en haar leverancier. Logius heeft zorg gedragen voor de afstemming van de beheerdoelstellingen en normen met een vertegenwoordiging van haar Programmaraad. De normen zijn voldoende concreet en volledig om uitgaande hiervan de inhoud van de Verantwoording te kunnen onderzoeken. Verantwoordelijkheden en werkzaamheden De Verantwoording is opgesteld onder verantwoordelijkheid van de directeur van Logius. Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel over deze Verantwoording te geven. Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de Nederlandse richtlijnen voor Pagina IV

Definitief Assurance-rapport en Verantwoording 2012 19 december2013 assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid. Onze belangrijkste werkzaamheden waren: het verkrijgen van inzicht in relevante kenmerken van Logius en haar leverancier; het uitvoeren van onderzoek bij de externe leverancier, gericht op het beoordelen van de opzet en op het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures bij de externe leverancier van Digipoort. De maatregelen die getroffen zijn ten aanzien van de tekortkomingen in 2011 zijn in het bijzonder onderzocht. het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico s in de externe omgeving en de betrokken organisatie en het onderzoeken in hoeverre deze risico s worden afgedekt door maatregelen en procedures; het beoordelen van de opzet en het vaststellen van het bestaan en de werking van de relevante maatregelen en procedures bij Logius; het onderzoeken van de juistheid en volledigheid van de informatie in de Verantwoording, mede gelet op de informatiebehoeften van de huidige en potentiële afnemers van Digipoort; het evalueren van het algehele beeld van de Verantwoording, inclusief het beoordelen van de consistentie van de informatie, aan de hand van de bovengenoemde normen. Oordeel Op grond van ons onderzoek zijn wij van oordeel dat de in de verantwoording van Logius opgenomen informatie over de maatregelen en procedures ter waarborging van de beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van Digipoort bij Logius en haar leverancier betreffende het tijdvak 1 januari 2012 tot en met 31 december 2012 juist en volledig is. Toelichting op het oordeel Digipoort is één van de bouwstenen voor de realisatie van betrouwbare digitale diensten. Organisaties dienen zich ervan bewust te zijn dat het toepassen van één van deze bouwsteen alleen niet voldoende is om een betrouwbare digitale dienst te realiseren. Organisaties zullen zelf een analyse moeten uitvoeren naar de beveiligingseisen, die samenhangen met het karakter van de eigen digitale dienstverlening. Vervolgens dient de organisatie vast te stellen dat de in de digitale dienstverlening getroffen maatregelen voor de gebruikte componenten gezamenlijk toereikend invulling geven aan de beveiligingseisen. Voor Digipoort kan hiervoor gebruik worden gemaakt van de informatie van Logius, die in deze Verantwoording is opgenomen. Pagina V

Definitief Assurance-rapport en Verantwoording 2012 19 december2013 Ondanks dat ons oordeel zich positief uitspreekt over de juistheid en volledigheid van deze Verantwoording, wijzen wij de lezer erop dat gedurende de verantwoordingsperiode op een aantal onderdelen niet voldoende invulling is gegeven aan de afgesproken normen voor Digipoort. Voor nadere informatie verwijzen wij naar paragraaf 2.5 van de Verantwoording. De opvolging van de maatregelen voor de tekortkomingen die op 31 december 2012 nog open stonden, zal worden beoordeeld tijdens het onderzoek over 2013. Den Haag, 19 december 2013 Auditdienst Rijk mr. drs. J. Roodnat RE RA Clustermanager ADR mw. drs. C.N. de Vette RE Audit Manager Pagina VI

Inhoud Colofon... II Woord vooraf... III Assurance-rapport Auditdienst Rijk... IV Inhoud... 1 1 Inleiding... 2 1.1 Algemeen... 2 1.2 Normstelling... 2 1.3 Totstandkoming van de Verantwoording en het Assurancerapport... 2 1.4 Toelichting onderzoeken... 2 2 Bevindingen Digipoort... 4 2.1 Algemeen... 4 2.2 Tactisch beheer... 5 2.3 Operationeel beheer... 5 2.3.1 Applicatie- en infrastructuurbeheer... 5 2.4 Dienstspecifieke beheersingsmaatregelen Digipoort... 6 2.5 Conclusie... 6 Bijlage I Lijst met afkortingen... 8 Bijlage II Beheersdoelstellingen... 9 Pagina 1

1 Inleiding 1.1 Algemeen Eén van de belangrijkste producten die Logius aanbiedt is Digipoort (koppelvlakken SMTP, X.400, FTP en POP3). Digipoort is het elektronische postkantoor voor bedrijven voor het snel, veilig en betrouwbaar uitwisselen van informatie met de overheid. Klanten van Digipoort hebben behoefte aan zekerheid over de kwaliteit van de dienstverlening van Logius. 1.2 Normstelling Logius heeft een normenkader opgesteld met als doel een objectief beeld te kunnen geven van de kwaliteit van (het beheer van) het product. Dit normenkader beschrijft in hoofdlijnen aan welke eisen het beheer van het product moet voldoen en vormt de basis voor deze Verantwoording. De primaire norm voor het onderzoek wordt gevormd door de afspraken tussen Logius en de afnemers (op het gebied van beveiliging en beheer) en de van toepassing zijnde wet- en regelgeving. De invulling/operationalisering van de primaire normen heeft plaatsgevonden aan de hand van de interne standaarden van Logius, de Rijksoverheid en de Auditdienst Rijk (ADR), waaronder de Code voor Informatiebeveiliging en CobiT. De beheersdoelstellingen en normen zijn afgestemd met Logius en de leverancier. In 2012 zijn de beheersdoelstellingen opnieuw voorgelegd aan een vertegenwoordiging van de Programmaraad. 1.3 Totstandkoming van de Verantwoording en het Assurance-rapport Logius geeft invulling aan de klantbehoefte door deze Verantwoording op te stellen over de kwaliteitsaspecten beschikbaarheid, integriteit, exclusiviteit en controleerbaarheid van de dienstverlening. De Auditdienst Rijk heeft op basis van de beheersdoelstellingen en het normenkader onderzoeken uitgevoerd bij Logius en bij de leverancier. De uitkomsten van deze onderzoeken zijn gebruikt als basis voor deze Verantwoording en het Assurance-rapport. De directeur van Logius is verantwoordelijk voor de inhoud van de Verantwoording. Deze Verantwoording is voorzien van een Assurance-rapport, waarin Auditdienst Rijk met een redelijke mate van zekerheid -dit is tevens de hoogst mogelijke mate van zekerheid- een uitspraak doet over de juistheid en volledigheid van de Verantwoording. De Auditdienst Rijk is verantwoordelijk voor het Assurance-rapport. 1.4 Toelichting onderzoeken Deze Verantwoording is gebaseerd op de uitkomsten van onderzoeken die door de ADR zijn uitgevoerd naar het tactisch en operationeel beheer van het product Digipoort. De onderzoeken hebben betrekking op de periode van 1 januari 2012 tot en met 31 december 2012. Op verzoek van Logius heeft de ADR in september en november 2012 interim-controles uitgevoerd naar de oplossing van de tekortkomingen die in 2011 zijn geconstateerd in de Digipoort omgeving. Per gestelde maatregel in het plan van aanpak van de leverancier heeft ADR de daadwerkelijke implementatie getoetst, gelet op de relevante beheersdoelstellingen, zoals vermeld in de bijlage. Pagina 2

Ten slotte heeft ADR begin 2013 een eindcontrole uitgevoerd op de opzet en het bestaan per 31 december 2012 en de werking over 2012 van de beheersmaatregelen Digipoort. Voor de maatregelen die in 2011 níet op orde waren, heeft de ADR -als vervolg op bovengenoemde interimcontroles- de opzet en het bestaan beoordeeld per 31 december 2012. Voor de maatregelen die in 2011 wél op orde waren, heeft de leverancier middels een interne verklaring verklaard dat deze maatregelen in 2012 op orde zijn gebleven. ADR heeft een selectie van deze maatregelen getoetst op opzet, bestaan en werking gedurende 2012. Deze onderzoeksaanpak is vooraf afgestemd met de grootste klant van Digipoort. Pagina 3

2 Bevindingen Digipoort 2.1 Algemeen Digipoort is het 'elektronische postkantoor' van de overheid voor bedrijven. In 2012 zijn ruim 63 miljoen berichten verstuurd. Dat zijn er minder dan in 2011. De daling kan worden verklaard door de economische recessie. In 2012 zijn vijf nieuwe afnemers (proceseigenaren (eigenaren van een berichtenstroom)) aangesloten op Digipoort. Het aantal berichtenstromen is gegroeid naar 22. Het aantal opdrachtgevers voor een of meer berichtenstromen is gegroeid van vijf naar zes. Eind 2012 waren 10 afnemers (overheidsdeelnemers) en 902 bedrijfsdeelnemers (bedrijven en hun dienstverleners) aangesloten op Digipoort. Logius is verantwoordelijk voor het tactisch en operationeel beheer van Digipoort. Het operationeel infrastructuur- en applicatiebeheer is uitbesteed aan een externe leverancier. Logius heeft een regiefunctie en bewaakt de kwaliteit van de dienstverlening van de leverancier door middel van periodieke rapportages en overleggen. In onderstaande figuur is weergegeven welke onderdelen van de Digipoort dienstverlening onderdeel zijn van de scope van het Assurance-rapport en de Verantwoording. Pagina 4

2.2 Tactisch beheer Logius maakt voor het tactisch beheer van de Digipoort dienstverlening gebruik van de standaard Logius beheerprocessen. Doelstelling van deze processen is om de kwaliteit van de producten van Logius op een voldoende niveau en in overeenstemming met wet- en regelgeving te borgen. Het tactisch beheer heeft over 2012 over het algemeen in voldoende mate invulling gegeven aan de beheersdoelstellingen. De belangrijkste verbeterpunten voor het tactisch beheer zijn: het verbeteren en actualiseren van het interne informatiebeveiligingsplan voor de kantoorautomatisering en de productspecifieke informatiebeveiligingsplannen, waaronder het informatiebeveiligingsplan voor Digipoort (proces Security Management); het verbeteren van het toezicht op de dienstverlening van de kantoorautomatisering en de ondersteunende applicaties (processen Security Management en Continuïteitsmanagement); het opstellen van een beheerplan voor middelen die ondersteunend dan wel randvoorwaardelijk zijn voor de processen van Logius (inrichting van een afgestemde informatievoorziening organisatie). Door een goede informatievoorziening zullen risico s binnen processen ondersteunend aan Digipoort verkleind worden (proces Behoeftemanagement); het beschrijven en formaliseren van de toegangsrechten en het gebruik van mailsysteem, hetgeen van belang is om snel te kunnen schakelen met betrokken partijen in geval van een incident of calamiteit (proces Access Management). De belangrijkste verbeterpunten voor het tactisch beheer specifiek voor Digipoort zijn: het actualiseren van normering/procedures omtrent aansluitingen; het hanteren van een standaard format voor het indienen van wijzigingsverzoeken bij de leverancier; het periodiek testen van de continuïteitsvoorziening. De uitwijkvoorziening is getest in april 2012. De test die was voorzien voor het najaar van 2012, maar is in overleg met klanten uitgesteld en uitgevoerd in twee fases in mei 2013 en oktober 2013. De ADR zal deze testen nader in beschouwing nemen in het onderzoek over 2013. 2.3 Operationeel beheer 2.3.1 Applicatie- en infrastructuurbeheer Het operationeel infrastructuur- en applicatiebeheer van de dienst Digipoort zijn uitbesteed aan een externe leverancier. De leverancier heeft in 2012 een actieplan opgesteld en uitgevoerd om de maatregelen die in 2011 níet positief zijn beoordeeld, te verbeteren. Logius heeft in september en november 2012 interim-controles laten uitvoeren op de realisatie van deze verbeterpunten. Daaruit is gebleken dat de verbeterpunten nog niet volledig met het gewenste resultaat waren opgepakt. De meeste beheersdoelstellingen zijn in opzet en bestaan per 31 december 2012 op orde. De verbeterpunten op het gebied van Continuity Management zijn in april 2012 gerealiseerd door vaststelling van een nieuwe versie van het calamiteitenplan en uitvoering van een uitwijktest. Het risico op het gebied van continuïteit is hierdoor sinds april 2012 Pagina 5

gereduceerd. Bij de beheerprocessen Security Management, Infrastructure Management, Access Management, Availability Management en Change Management is met name in de (continue) aantoonbare uitvoering nog wel ruimte voor verbetering. De werking van de beheersmaatregelen is echter-vanwege de benodigde tijd voor het doorvoeren van verbeterpunten- over geheel 2012 niet effectief. Het betreft met name beheersmaatregelen voor de processen Security Management, Infrastructure Management, Access Management en Operations Management. Hierdoor was risico op het gebied van vertrouwelijkheid gedurende 2012 hoger dan gewenst. Aandachtspunten zijn: inzichtelijk maken dat dienstniveau-afspraken ook door onderaannemers kunnen worden gegarandeerd (proces Service Level Management); verbetering van toegangsbeperkende maatregelen onderaannemers (proces Access Management); verbetering CMDB-controles (proces Configuration Management); ontwikkelen van testformat voor vastlegging testscenario, -input, -output en -resultaten (proces Change Management). Deze punten brengen een middenhoog risico met zich mee en worden in overleg tussen Logius en de leverancier opgepakt. De leverancier heeft middels een interne verklaring verklaard dat de maatregelen die in 2011 wél positief zijn beoordeeld, in 2012 nog steeds op orde waren. Tijdens de eindcontrole is een selectie van deze maatregelen getoetst op opzet, bestaan en werking. Bij de steekproef zijn voor het merendeel van de beheerprocessen geen bevindingen geconstateerd die de verklaring van de leverancier ontkrachten De volledigheid en tijdigheid van de berichtenverwerking is vastgesteld. De beschikbaarheid van de Digipoort-dienstverlening was gedurende het met klanten afgesproken beschikbaarheidsvenster over geheel 2012 gemeten, 100%; dit is boven de norm die Logius heeft afgesproken met haar klanten. 2.4 Dienstspecifieke beheersingsmaatregelen Digipoort De beheersdoelstellingen met betrekking tot het specifiek beheer van Digipoort, waarvan de uitvoering bij Logius is belegd, zijn gehaald. De aansluitingen van nieuwe gebruikers worden vastgelegd. Het registratieproces bij Logius van de aanvraag en implementatie van nieuwe berichtenstromen is onvoldoende geborgd, wat zich onder andere uit in onvoldoende vastlegging en kennisdeling. In 2012 hebben drie herinjecties van berichten plaatsgevonden. De correcte uitvoering van deze herinjecties en registratie in de systemen is vastgesteld. 2.5 Conclusie Logius is verantwoordelijk voor het tactisch en operationeel beheer van Digipoort. Het tactisch beheer geeft over het algemeen in voldoende mate invulling aan de daaraan gestelde eisen die voortvloeien uit de beheersdoelstellingen. Op basis van de eindcontrole op de beheersdoelstellingen voor het operationeel beheer van Digipoort die in 2012 níet op orde waren, concludeert Logius dat de meeste beheersdoelstellingen in opzet en bestaan per 31 december 2012 wél gehaald zijn. Pagina 6

De werking is echter -vanwege de benodigde tijd voor het doorvoeren van verbeterpunten- over geheel 2012 niet gehaald. Het risico op het gebied van vertrouwelijkheid was hierdoor gedurende 2012 hoger dan gewenst. Het risico op het gebied van continuïteit is sinds april 2012 gereduceerd. Voor de operationele beheeractiviteiten, die in 2011 wél op orde waren, heeft de leverancier verklaard dat deze in 2012 nog steeds op orde waren. Bij de steekproef zijn voor het merendeel van de beheerprocessen geen bevindingen geconstateerd die de verklaring van de leverancier ontkrachten. De berichten zijn volledig en tijdig verwerkt door Digipoort. De beschikbaarheid van de Digipoort-dienstverlening was over geheel 2012 gemeten 100% conform de norm die Logius heeft afgesproken met haar klanten. Pagina 7

Bijlage I Lijst met afkortingen ADR Auditdienst Rijk BZK Ministerie van Binnenlandse Zaken en Koninkrijksrelaties FTP File Transfer Protocol ICT Informatie- en communicatietechnologie ITIL Information Technology Infrastructure Library POP3 Post Office Protocol 3 SMTP Simple Mail Transfer Protocol Pagina 8

Bijlage II Beheersdoelstellingen Tactisch beheer Incident Management Incidenten dienen tijdig, volledig en effectief te zijn afgehandeld. Change Management De juiste besluiten, gebaseerd op de kenmerken van de wijzigingen, worden genomen over het aanbrengen van wijzigingen of vernieuwingen in de informatievoorziening; Wijzigingen in de informatievoorziening worden geïnventariseerd, geprioriteerd, ten uitvoer gebracht, gemonitord en geëvalueerd. Capacity Management De ICT-dienst dient de overeengekomen werklast te kunnen verwerken. Continuity Management De ICT-dienst dient in het geval van een calamiteit tijdig herstelbaar te zijn. Access Management Toegang tot ICT-diensten en -middelen dient te zijn beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers. Security Management: De samenhang tussen de individuele Security Management processen is geborgd. Pagina 9

Beheersdoelstellingen Operationeel beheer Digipoort Generieke beheersaspecten Het Digipoort proces dient te worden gegarandeerd. Het Digipoort proces dient controleerbaar te zijn. Het Digipoort proces dient aan de actuele vereisten te voldoen Belanghebbenden dienen juist en volledig over het Digipoort proces te worden geïnformeerd. Service Level Management De geleverde ICT-diensten dienen aan de overeengekomen dienstenniveaus en beheersdoelstellingen te voldoen Security Management Alle risico s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten dienen te worden geadresseerd. Infrastructure Management De ICT-middelen dienen te worden ingesteld in overeenstemming met het geautoriseerde ontwerp. Pogingen tot ongeautoriseerde toegang tot ICT-middelen dienen tijdig te worden gedetecteerd. Access Management Toegang tot ICT-diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders. Capacity Management De ICT-diensten dienen de overeengekomen werklast te kunnen verwerken. Availability Management De ICT-diensten dienen onder normale bedrijfsomstandigheden aan het overeengekomen niveau van beschikbaarheid te voldoen. Continuity Management De ICT-diensten dienen in het geval van een calamiteit tijdig herstelbaar te zijn. Configuration Management Configuration items, hun kenmerken en onderlinge samenhang dienen juist en volledig te worden geïdentificeerd en vastgelegd. Change Management Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico s voor de ICT-diensten. Wijzigingen dienen tijdig en volledig te worden doorgevoerd. Wijzigingen dienen te worden beoordeeld op doeltreffendheid. Incident Management Incidenten dienen tijdig en volledig te worden afgehandeld. Incidenten dienen doeltreffend te worden afgehandeld. Pagina 10

Problem Management Problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld. Problemen dienen doeltreffend te worden afgehandeld. Operations Management Productieopdrachten dienen te worden geautoriseerd. Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt. Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd. Digipoort specifiek De levenscyclus van aansluitingen en berichtenstromen worden op controleerbare wijze beheerst. De volledigheid en tijdigheid van de herinjectie door Digipoort wordt bewaakt en is controleerbaar. De volledigheid en tijdigheid van de berichtenverwerkingen door Digipoort wordt bewaakt en is controleerbaar. Het informatiebeveiligingsbeleid van Digipoort is vertaald naar inrichting en exploitatie eisen. Alle relevante beheerhandelingen aan de Digipoort applicatie en infrastructuur zijn controleerbaar en worden aantoonbaar bewaakt. Alle afgesproken bewaartermijnen zijn op de juiste wijze vertaald naar juiste instellingen in Digipoort. Pagina 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback