Skip to the content

DigiD-audit

DigD-audit

Wat is een DigiD-audit?

Een DigiD audit, of een DigiD ICT-beveiligingsassessment, is een controle van de betrouwbaarheid van een webapplicatie. Via DigiD kunnen burgers via een beveiligde verbinding toegang krijgen tot digitale loketten van bijvoorbeeld een gemeente. Het is van belang dat deze beveiligde toegang veilig en betrouwbaar is.

Alle organisaties die DigiD gebruiken moeten jaarlijks vóór 1 mei zo'n DigiD ICT-beveiligingsassessment laten uitvoeren om te voldoen aan de beveiligingsnorm. De norm is een selectie van richtlijnen uit het document "ICT-beveiligingsrichtlijnen voor webapplicaties" van het Nationaal Cyber Security Centrum (NCSC). Logius is de organisatie die bepaalt welke normen verplicht gesteld worden.  

Onze DigiD-audit ondersteuning

Onze organisatie bestaat uit een enthousiast team van IT-auditors (RE's) ingeschreven bij de NOREA. Een RE-auditor van 2-Control kan toetsen of uw digitale loket voldoet aan de gestelde normen voor een DigiD-audit. Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijkse voor vele verschillende gemeenten, andere (semi-)overheidsinstellingen en service organisaties het DigiD ICT-beveiligingsassessment uit.

Wij bieden leveranciers (service organisaties) de mogelijkheid om een TPM-verklaring te verkrijgen. Met een Third Party Memorandum bespaart u als leverancier op de auditkosten van uw klanten omdat dan niet voor iedere klant, die dezelfde webapplicatie of webomgeving gebruikt, dezelfde audit hoeft te worden uitgevoerd. 

Aanpak van 2-Control

  1. Toetsen aan de hand van de richtlijnen (pre-audit)
    Door eerst na te laten gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u in ieder geval moet treffen. Wij kunnen deze pre-audit voor u uitvoeren. Onze IT-auditors brengen in kaart in hoeverre uw organisatie voldoet aan bepaalde normen. De uitkomst van de pre-audit geeft een duidelijk beeld van de maatregelen die u moet treffen om te voldoen aan de DigiD normen die van toepassing zijn. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit, wat scheelt in de investering.

  2. Maatregelen treffen
    Voer na aanleiding van de pre-audit zelf de noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

  3. Penetratietest (Pentest) uitvoeren
    Indien u eigen hosting of softwareontwikkeling uitvoert dient u een penetratietest (ethical hacking test) uit te laten voeren op uw webomgeving als onderdeel van de eisen. Hierbij wordt uw informatiesysteem gecontroleerd op hun kwetsbaarheid en ontvangt u een rapport met bevindingen. Wij adviseren hiervoor gebruik te maken van Dong-IT. Bekijk hier de verschillende aanbiedingen voor penetratietesten. 

    Neem zelf maatregelen om de bevindingen uit de pentest op te volgen en op te lossen. Als uit de pentest blijkt dat in uw omgeving hoge risico's aanwezig zijn dan dienen deze vooraf aan de audit te worden opgelost.

  4. Audit uitvoeren
    Als de voorgaande fases zijn afgerond dan wordt de uiteindelijke DigiD-audit uitgevoerd. De audit wordt uitgevoerd door een van onze RE-auditors.
    De rapportage betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep (NOREA) van de auditors tot stand gekomen. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt door onze RE-auditors aangegeven of deze voldoet.

  5. Bevindingen naar Logius sturen
    Als laatste stap moet u zelf de rapportage over het ICT-beveiligingsassessment DigiD versturen naar Logius. Het rapport moet ondertekend zijn door een van onze RE-auditor.

Uit onze ervaring is gebleken dat het laten uitvoeren van een ICT-beveiligingsassessment vaak meer voeten in aarde heeft dan men vooraf dacht. Wij adviseren u daarom op tijd een pre-audit in te plannen om eventuele problemen te voorkomen. Voor een persoonlijke en pragmatische aanpak kiest u voor DigiD audit ondersteuning van IT-auditors ingeschreven bij de NOREA.

Gemeenten en ENSIA

Sinds juli 2017 is voor gemeenten de verantwoordingsprocedure veranderd inzake DigiD veranderd. Gemeenten maken nu gebruik van de ENSIA-verantwoordingsmethodiek. Hoofddoelstelling is om de auditlast van gemeenten te verlichten en om gemeenten in staat te stellen zichzelf te verantwoorden over informatiebeveiliging. Onze RE-auditors kunnen u ook helpen om de ENSA-audit uit te voeren.

Voor meer informatie over onze hulp bij een DigiD ICT-beveiligingsassessment, kunt u direct contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens achterlaten in onderstaand contactformulier. Wij nemen dan zo spoedig mogelijk contact met u op.

Klik hier door als u vragen heeft over ENSIA, Suwinet of de BIO.

 

Kom in contact met onze DigiD-specialisten!

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in