Voornemens om gegevens te gaan ontsluiten via een portal waarbij gebruik zal worden gemaakt van een DigiD-koppeling? Bel Avensus! Gezien het belang en de complexiteit van het traject kan het praktisch en kostenbesparend werken om de goede en efficiënte begeleiding van de consultants van Avensus in te huren op het gebied van deze aansluiting.
Avensus levert zowel audit- als consultancydiensten. Door de combinatie van het auditen enerzijds en het adviseren en ondersteunen anderzijds hebben wij veel ervaring opgedaan van assessments op het gebied van informatiebeveiliging en DigiD-audits.
Hierdoor brengen wij kennis in en kunnen we goed de kwaliteit controleren van de te realiseren aansluiting. Dit zorgt ervoor dat bij de verplichte DigiD-assessment (2 maanden na aansluiting) er geen bevindingen zijn die moeten worden opgelost hetgeen wat kan leiden tot grote kosten.
DigiD-koppeling reeds in gebruik en binnenkort auditen? Ook dat doet Avensus reeds jaren. Mede daardoor kunnen wij implementatie trajecten goed begeleiden omdat onze ervaren auditors weten aan welke eisen moet worden voldaan.
Als norm voor de kwaliteitsbewaking hanteren wij de ‘Norm ICT-beveiligingsassessments DigiD’. Dit zijn door Logius geselecteerde beveiligingsrichtlijnen uit de “ICT-beveiligingsrichtlijnen voor web applicaties” van Nationaal Cyber Security Centrum (NCSC). De begeleiding is er primair op gericht om vast te stellen dat klanten voldoen aan de door Logius geselecteerde normen.
In de hieronder beschreven stappen zijn de uitgangspunten opgenomen waarop wij klanten ondersteunen om te zorgen dat zij voldoen aan de eisen zoals gesteld door Logius.
Stap 1: Opstellen kwaliteitsplan en vaststellen maatregelen
Bij aanvang zal Avensus een kwaliteitsplan opstellen. Als eerste zal hierin de scope van de DigiD-koppeling worden beschreven. Een ander belangrijk punt om vast te stellen is welke maatregelen door ons dienen te worden bewaakt/geborgd en waarover wij kennis in moeten brengen.
Voor de eerste audit in opvolgend van de implementatie zal dit jaar daarvoor nog gebruik worden gemaakt van het normenkader dat is gebaseerd op de set van maatregelen uit 2012). Recentelijk is echter een nieuw normenkader uitgekomen. Hiervoor heeft Avensus een mapping uitgevoerd en een overzicht gemaakt van welke normen in ieder geval van toepassing zullen zijn voor klanten. De verwachting is echter dat Logius in 2016 (voor de audit 2017) meer normen van toepassing zal verklaren. Vandaar dat we klanten die nu implementeren adviseren om alle normen mee te nemen om te voorkomen dat over 2 jaar de portal moet worden aangepast.
Stap 2: Nulmeting uitvoeren
De doelstelling van deze stap is om in kaart te brengen in hoeverre de klant voldoet aan de normen zoals vastgesteld in stap 1. Tevens wordt in deze stap in kaart gebracht wie binnen jouw organisatie intern het ICT-beveiligings-assessment uitvoert, wie bestuurlijk verantwoordelijk is, welke DigiD aansluiting de klant heeft en welke leveranciers daarbij zijn betrokken. Hierbij dient ook te worden bepaald welke onderdelen van de ICT-architectuur behoren tot de scope van het ICT- beveiligingsassessment DigiD.
Ook is het belangrijk voor de nulmeting te bepalen waar elk onderdeel van de norm binnen de klantorganisatie gecontroleerd kan worden en wie het aanspreekpunt is. Hierna zullen de noodzakelijke verbeterpunten in kaart moeten worden gebracht.
Stap 3: maatregelen treffen en bewaken
Na stap 2 volgt een periode waarin de klant de zaken die tijdens de nulmeting als onvoldoende zijn beoordeeld, kan verbeteren. Het zwaartepunt van deze stap ligt bij het aanpassen, beschrijven en vastleggen van de verschillende procesbeschrijvingen. Avensus zal hierbij ondersteuning bieden.
Stap 4: penetratietest(en) uitvoeren
In deze stap wordt de penetratietest (Pentest) uitgevoerd op de portal(s) met de DigiD-aansluiting die de klant gebruikt. Avensus zal dit traject begeleiden om te bewaken dat de juiste componenten met de juiste diepgang worden onderzocht. De test kan door een leverancier van de klant worden uitgevoerd. Dan wordt de TPM beschikbaar gesteld aan Avensus. Avensus kan ook deze penetratietest voor de klant (laten) uitvoeren.
Stap 5: bevindingen penetratietest oplossen
De uitkomsten van de activiteiten van stap 4 dienen omgezet te worden tot verbeteractiviteiten voor de klanten en/of haar leverancier(s). Avensus zal bewaken dat de verbeteractiviteiten daadwerkelijk worden doorgevoerd.
Stap 6 en 7: Pre-audit uitvoeren en verbeteringen bewaken
Na de afronding van de (eventueel) doorgevoerde verbeteringen in stap 5, voeren we een pre-audit uit. We zullen dan een audit uitvoeren op alle normen zoals vastgesteld in stap 1 en een oordeel geven per normelement. Op basis van de pre-audit worden eventueel verbetervoorstellen vastgesteld die onder bewaking van Avensus worden doorgevoerd.
Stap 8: Audit uitvoeren
Na de afronding van de (eventueel) doorgevoerde verbeteringen in stap 6, kunnen we het eindonderzoek uitvoeren. De activiteiten in deze fase hebben betrekking op het uitvoeren van een eindbeoordeling op de in stap 4 uitgevoerde penetratietest(en). De focus van dit deel zal zich richten op de verbetermaatregelen die zijn uitgevoerd in stap 5, 6 en 7. Mede hierdoor zijn we in staat dit deel van de audit efficiënt uit te voeren. Daarnaast beoordelen wij de overige normelementen in zowel opzet als bestaan.
Het conceptrapport wordt doorgenomen met de verantwoordelijke van de klant. Indien gewenst kan de klant nog maatregelen treffen. Eventuele reacties en/of advies op de reacties worden in het rapport verwerkt, waarna het definitieve rapport wordt opgemaakt.
De rapportage (het Assurancerapport van de onafhankelijke auditor) volgt de indeling zoals deze is vastgesteld door de NOREA:
Bevindingen naar Logius sturen
Tot slot dient de klant Logius op de hoogte te stellen van de rapportage van de EDP-auditor. Het Assurance-rapport is bestemd voor het besloten verkeer. Dat wil zeggen dat de klant dit rapport mag bespreken met de direct betrokken organisaties (direct aan de klant gelieerde instellingen of organisaties en Logius).Na stap 2 volgt een periode waarin de klant de zaken die tijdens de nulmeting als onvoldoende zijn beoordeeld, kan verbeteren. Het zwaartepunt van deze stap ligt bij het aanpassen, beschrijven en vastleggen van de verschillende procesbeschrijvingen. Avensus biedt hierbij ondersteuning om ervoor te zorgen dat dit de bevindingen compleet en correct worden opgesteld t.b.v. Logius.
Avensus is een jonge, professionele, dynamische en betrouwbare organisatie. Onze ervaren auditors en consultants staan een persoonlijke benadering voor. Het portfolio van Avensus b.v. bestaat uit zowel profit als non-profit organisaties, zowel midden-groot als groot.
Wij onderscheiden ons in de markt door een hoge kwaliteit van het geleverde werk in combinatie met een scherpe prijs en een korte doorlooptijd. Onze consultants en geregistreerde IT-auditors komen graag met jou in contact. We komen graag met je in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!
De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.
Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.
De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.
Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.
Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.
De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.
