Avensus is expert op het gebied van IT-Audits en Security Scans. Onze medewerkers zijn allen gekwalificeerde IT-auditors en geregistreerd bij NOREA (Nederlandse Orde van Register EDP-Auditors). Hierdoor is de klant verzekerd van de juiste kennis en kunde.
Op basis van de visie ‘Digitale Overheid 2017’ dient de overheid in 2017 volledig digitaal te zijn wat betreft haar dienstverlening. Aangezien de overheid grote hoeveelheden persoons-gegevens verwerkt is informatiebeveiliging een belangrijk aspect van deze digitale dienstverlening. Met het aannemen van de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ hebben ook de gemeenten zich verplicht tot informatiebeveiliging in het kader van digitalisering.
Op deze pagina vind je meer informatie over het normenkader, het toetsingsproces en op welke wijze Avensus je bij deze audit kan ondersteunen.
Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) en het Voorschrift Informatiebeveiliging Rijksoverheid (VIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline.
Hoewel de BIG is bedoeld voor Nederlandse gemeenten eisen veel gemeenten dat ook hun leveranciers aan de BIG voldoen. Zodoende heeft Avensus op basis van ruime ervaring een aanpak ontwikkeld waarbij onderscheid wordt gemaakt tussen een BIG audit bij een gemeente en een audit bij een leverancier of partner van een gemeente.
Stap 1: Toesturen PBC lijst
Avensus zal voorafgaand aan de audit de klant een zogenaamde Prepared By Client (PBC) lijst toesturen. In deze lijst is per norm inzichtelijk gemaakt welke informatie de klant kan aandragen in het kader van bewijsmateriaal voor de audit.
Avensus maakt hierbij onderscheid tussen een BIG-audit bij een gemeente en een audit bij een leverancier van een gemeente. De per norm genoemde documenten, schermafdrukken en overige bewijslast zijn een indicatie omdat iedere organisatie zaken uiteraard op eigen en unieke wijze heeft ingevuld. Deze lijst is opgesteld zodat je als klant een duidelijk beeld heeft van wat de auditor nodig heeft om de audit goed te kunnen uitvoeren. Dit kan een hoop zoekwerk, onduidelijkheid en verrassingen op de dag van de audit voorkomen.
Stap 2: Verzamelen bewijslast
De klant kan het bewijsmateriaal op basis van de PBC-lijst gaan verzamelen en in een map digitaal klaarzetten voorafgaand aan het bezoek van de auditor. Het voordeel is dat je als klant dit verzamelen zonder tijdsdruk, op eigen te kiezen momenten, wanneer die u het beste uitkomen.
Uiteraard kan Avensus je bijstaan mochten er vragen en/of onduidelijkheden zijn bij het verzamelen van het bewijsmateriaal. De auditor is voorafgaand aan de audit bekend bij de klant en altijd telefonisch of per mail bereikbaar voor vragen.
Stap 3: Bezoek auditor
De auditor zal bij je langskomen om het bewijsmateriaal in te zien en te beoordelen. Avensus streeft erna zo min mogelijk beslag te leggen op jouw kostbare tijd en wil daarom de beschikbare tijd zo effectief en efficiënt mogelijk benutten. Vandaar dat de klant gevraagd wordt de medewerker met de meest brede IT-kennis beschikbaar te stellen op de dag(en) van de audit. Bij vragen of normen die specialistische kennis vereisen kan vervolgens een andere medewerker worden ingeschakeld. Deze aanpak zorgt voor een minimale belasting van jouw tijd en medewerkers omdat er geen medewerkers dagen of dagdelen vrij gepland hoeven te worden.
Stap 4: Opstellen rapportage
Wanneer de auditor het bewijsmateriaal heeft beoordeeld zal de rapportage worden opgesteld. De rapportage zal vanzelfsprekend voldoen aan alle kwaliteitseisen die worden opgelegd door de IBD en NOREA, de Nederlandse beroepsgroep voor IT-auditoren.
Onze geregistreerde IT-auditors komen graag met je in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!
De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.
Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.
De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.
Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.
Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.
De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.
