ICT-beveiligingsassessments voor DigiD gebruikende organisaties
Alle op DigiD aangesloten organisaties zijn verplicht om vóór eind 2013 met een ICT-beveiligingsassessment aan te tonen dat de beveiliging op orde is.
Mazars Management Consultants - Het begrip ´elektronische overheid´ is de laatste jaren steeds belangrijker geworden. De Diginotar-crisis en de computer-hacks tijdens Lektober hebben de kwetsbaarheid van ICT systemen bij (overheids)organisaties echter nadrukkelijk getoond. Om het vertrouwen in de elektronische overheid niet verder aan te tasten pakt het ministerie van Binnenlandse Zaken problemen krachtig aan.
Op 2 februari heeft minister Spies in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment (IT-audit) moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven.
Door het NCSC (Nationaal Cyber Security Center, voorheen Govcert.nl) is op 6 februari 2012 de ICT-beveiligingsrichtlijn voor webapplicaties gepubliceerd. De beveiligingsrichtlijnen zijn mede tot stand gekomen aan de hand van best-practices van het NCSC in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen. De richtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, beveiliging op het niveau van het besturingssysteem, basisbeveiliging (o.a. virusscanner en firewall) en applicatiebeveiliging van de betreffende webapplicaties. Ook een jaarlijkse hack-test (penetratietest) maakt hiervan deel uit.
Door Logius als regiehouder van e-Overheid is een subset van de richtlijn verplicht gesteld als beveiligingsnorm voor alle DigiD gebruikende organisaties. Dit varieert van een groot aantal nationale organisaties (Belastingdienst, CBR, RDW, SVB, UWV, etc.), gemeenten, provincies en waterschappen tot een aantal zorgorganisaties en zorgverzekeraars. Bent u benieuwd of u tot de doelgroep behoort, kijk dan op Wie doen mee .
Alle DigiD gebruikende organisaties zijn verplicht om vóór eind 2013 door middel van een ICT-beveiligingsassessment aan te tonen dat men voldoet aan de beveiligingsnorm. Grootverbruikers van DigiD (met meer dan een miljoen authenticaties) moeten al eind 2012 voldoen aan de norm. Dit ICT-beveiligingsassessment dient te worden uitgevoerd onder verantwoordelijkheid van een Register EDP-auditor (RE). Alle IT-audit rapporten moeten worden aangeboden aan Logius. Organisaties die niet of niet tijdig voldoen aan de gestelde beveiligingseisen worden direct afgekoppeld van DigiD. Het ICT-beveiligingsassessment moet jaarlijks herhaald worden.
Voor de specifieke aanpak bij de gemeenten werkt Logius samen met VNG en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Samen met een vertegenwoordiging van EDP-auditors (waaronder Mazars) en ICT-leveranciers van gemeenten zal, mede aan de hand van een aantal pilots, een gezamenlijke aanpak van de beveiligingsassessments worden opgesteld.
Wat kan Mazars Management Consultants voor u betekenen?
Recentelijk heeft Mazars enkele belangrijke beveiligingsonderzoeken uitgevoerd met betrekking tot de elektronische overheid. Deze ervaringen en onze uitstekende contacten bij alle betrokken partijen (NCSC, Logius, KING) maken ons tot een ideale partner voor u om:
- Een korte scan of nul-audit uit te voeren;
- U te begeleiden in het ´audit ready´ worden;
- Het ICT-beveiligingsassessment zelf uit te voeren;
- Voor leveranciers een Third Party Mededeling (TPM) te verzorgen.
Voor meer informatie verwijzen wij u naar onze brochure . Tevens kunt u contact opnemen met:
|
Jan Matto
Partner T: +31 (0)88 277 1399 E: jan.matto@mazars.nl |
Peter Roos Director T: +31 (0)88 277 1222 E: peter.roos@mazars.nl |
Meer informatie?
