Uitwerking Informatiebeveiligingsbeleid

imagesBegin 2012 heeft het ministerie van BZK bepaald dat alle afnemers van DigiD diensten voor eind 2013 een zogenaamd DigiD assessment uitgevoerd moeten hebben. Dit assessment moet door een daartoe geautoriseerde onafhankelijke partij worden uitgevoerd onder verantwoordelijkheid van een Register EDP-auditor. Het assessment dient jaarlijks  herhaald te worden. Wanneer een afnemer van DigiD het assessment niet tijdig laat uitvoeren of met onvoldoende resultaat afsluit  zal Logius, de beheerder van DigiD, overgaan tot het  afsluiten van DigiD voor die afnemer.


DigiD assessment in 10 stappen

Vanuit onze praktijkervaring hebben wij een 10 stappen plan ontwikkeld. Dit moet ervoor zorgen dat de afnemer van DigiD  zonder het assessment met positief resultaat kan afleggen. Uiteraard kunt u als afnemer van DigiD deze 10 stappen grotendeels in eigen beheer uitvoeren. Het bespaart echter nogal wat  tijd en capaciteit wanneer u, zeker bij de eerste keer gebruik maakt van onze expertise om het assessment voor te bereiden en uit te voeren.
Wanneer u eenmaal een positief resultaat heeft geboekt, dan hoeft u als afnemer alleen te zorgen dat het beleid, de procedures en de uitvoering daarvan blijft voldoen aan de normen van Logius. Onze aanpak is erop gericht om de afnemerorganisatie zo te instrueren dat zij in de komende jaren het assessment zelfstandig en dus zonder externe ondersteuning kan uitvoeren.

  • Stap 1 Breng alle relevante onderdelen in kaart
  • Stap 2 Maak een plan
  • Stap 3 Neem de controlelijst en voer een  zelfassessment uit
  • Stap 4 Corrigeer eventuele afwijkingen
  • Stap 5 Maak een afspraak met een erkende EDP auditor
  • Stap 6 Laat het assessment door de auditor uitvoeren
  • Stap 7 Laat de penetratietest uitvoeren
  • Stap 8 Corrigeer de eventuele tekortkomingen
  • Stap 9 Finale toets door EDP auditor
  • Stap 10 Stuur rapport in naar Logius

Ondersteuning Tasclinx
Tasclinx is al een aantal jaren actief in het implementeren van complexe  IT-systemen en –applicatie bij overheidsorganisaties. De ontwikkeling en uitwerking van beleid en procedures is daarvan een integraal onderdeel. Vanuit deze ervaring zijn wij goed op de hoogte van de eisen en regelgeving m.b.t. Informatiebeveiliging en de wijze waarop deze vorm gegeven moet worden in het bedrijfsbeleid van de betreffende organisatie. Wij kunnen voor organisaties die daar behoefte aan hebben ondersteuning leveren gedurende het gehele traject van DigiD assessment. Deze ondersteuning bestaat doorgaans uit:

  1. Het voeren van projectmanagement inclusief ontwikkeling van het plan van aanpak, selecteren van  en afstemmen met EDP-auditor  t.a.v.  planning en uitvoering van het assessment.
  2. Uitvoeren en/of begeleiden van het zelfassessment.
  3. Inventariseren en beschrijven van de bestaande situatie.
  4. Controle van beleid, procedures en regelgeving aan de hand van normenkader van Logius en NCSC.
  5. Uitwerken resp. aanpassen en vastleggen van beleid en procedures (governance deel).
  6. Verzorgen van rapportage aan Logius.

Afhankelijk van de beschikbare capaciteit, kennis en ervaring bij de afnemerorganisatie kunnen onderdelen van de hiervoor vermelde ondersteuning meer of minder uitgebreid zijn. 

Planning en capaciteit
De doorlooptijd van een compleet assessment traject bedraagt onder gemiddelde omstandigheden ca. 10  tot 12 weken, exclusief eventuele herstelacties. De doorlooptijd is mede afhankelijk van de beschikbaarheid van sleutelfunctionarissen en de EDP-auditor.  Bij de afnemerorganisatie zijn doorgaans betrokken: de verantwoordelijke functionaris voor IT,  een of meer applicatiebeheerders, een of meer systeembeheerders (mede afhankelijk van de gebruikte infrastructuur), een of meer leveranciers (mede afhankelijk van de gebruikte applicaties, wijze waarop provisioning van webomgeving en hosting is geregeld). Onder gemiddelde omstandigheden vereist de uitvoering van een assessment in totaal ca. 40 manuren verdeeld over de genoemde functionarissen.

Uitwerking
Tasclinx heeft ervaring in het samenwerken en de belangrijkste EDP-auditors die mb.t. DigiD assessment actief zijn. Van belang daarbij is om de EDP auditor pas in te schakelen op het moment dat het de organisatie haar eigen situatie m.b.v. het zogenaamde zelfassessment heeft geïnventariseerd en waar nodig heeft aangepast in overeenstemming met het normenkader.
De uitvoering van het feitelijk assessment dient te geschieden voor een geautoriseerde EDP-auditor. De activiteiten die Tasclinx uitvoert zijn gescheiden van de activiteiten van de auditor. De enige relatie is dat beiden werken vanuit het zelfde normenkader. In een volledig traject leveren wij de volgende producten:

  1. Een volledige uitgewerkte beschrijving (in schema’s en tekst) van uw IT-infrastructuur die relevant is voor het Digi-D assessment.
  2. Een volledig uitgewerkt IT-beleidsdocument dat voldoet aan het normenkader van Logius, resp. NCSC. Dit document kan dienen als kerndocument voor uw ICT-beleid en informatieveiligheidsbeleid.
  3. Een uitgewerkt overzicht van concrete aanbevelingen en adviezen t.b.v. de organisatie om voorbereid te zijn op de toekomstige (zwaardere) informatieveiligheidsassessments.

Kosten
Voor de uitvoering van de ondersteuning dient u rekening te houden met ca. 3-6 adviesdagen, afhankelijk van de status van de huidige IT-infrastructuur, stand van zaken m.b.t.  uitwerking van het beleid en de afstemming met leveranciers, providers en overige specialisten. Voor samenwerkingsverbanden van gemeenten en/of waterschappen hanteren wij een speciaal (gereduceerd) tarief.

Download hier het uitgebreide productblad DigiD-assessment