DigiD beveiliging, audit en advies
12secure-u is expert op het gebied van DigiD-audits, IT-Audits en Security Scans. Onze medewerkers zijn allen gekwalificeerde IT-auditors en geregistreerd bij NOREA (Nederlandse Orde van Register EDP-Auditors). Hierdoor bent u verzekerd van de juiste kennis en kunde.
Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het assessment bestaat uit een audit en afhankelijk van de gemeentelijke ICT-infrastructuur uit één of meer penetratietesten. 12secure-u kan beide onderdelen voor u verzorgen.
De DigiD-norm
Deze DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties. De norm voor de DigiD audit bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius adviseert alle organisaties om buiten de maatregelen uit de norm ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen voor web applicaties te adopteren.
Het stappenplan van 12secure-u
Door de vele ervaring die 12secure-u ondertussen heeft opgebouwd met het uitvoeren van audits, DigiD-audits en Pentesten kunnen we voor proces rondom de DigiD-audit gebruik maken van een aantal gestandaardiseerde methoden. Dit houdt in dat we voor u in een redelijk kort tijdsbestek en dus ook tegen een concurrerend tarief een dergelijke audit kunnen uitvoeren.
Stap 1 Zelf toetsen aan de hand van de richtlijnen.
Door het uitvoeren van een interne beoordeling en vast te stellen in hoeverre de systemen aan de norm voldoen, krijgt u inzicht in maatregelen die in ieder geval moeten worden getroffen. 12secure-u kan u hierbij ondersteunen door het uitvoeren van een pre-audit.
Stap 2 Verbetermaatregelen implementeren
Op basis van de zelftoets of de pré-audit heeft u zicht op de zaken die nog moeten worden geïmplementeerd. In deze stap dient u de noodzakelijke maatregelen in te voeren.
Stap 3 Uitvoeren van een security scan en een penetratietest
Uitvoeren van een security scan (gericht op de interne ICT-omgeving) en een penetratietest (ook wel ‘ethical hacking test of Pentest’) uitvoeren op uw systemen. 12secure-u kan dit voor u organiseren. Mocht u dit al hebben uitgevoerd dan beoordelen wij het pentestrapport met bevindingen om vast te stellen of wordt voldaan aan de eisen uit het normenkader.
Stap 4 Bevindingen oplossen
De uitkomsten van zowel de security scan als de penetratietest kunnen aanleiding zijn om verbeteringen door te voeren. Deze verbeteringen kunnen betrekking hebben op de interne organisatie maar mogelijk ook bij de externe leverancier (bij gebruik van oplossingen).
Als alle voorgaande activiteiten zijn afgerond wordt het feitelijke ICT-beveiligingsassessment uitgevoerd. Dit dient te gebeuren door een Register EDP-auditor (RE). 12secure-u beschikt over RE’s en kan de audit voor u uitvoeren.
De rapportage over het uitgevoerde ICT beveiligingsassessment DigiD dient verstuurd te worden naar Logius. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt aangegeven of deze voldoet: Ja, Nee of Niet van Toepassing.
Welke audit of onderzoek?
12secure-u heeft een breed scala aan audits en onderzoeken die ze voor u kan verzorgen. Hele specifieke op het gebied van audits zijn bijvoorbeeld de DigiD-audit of ISAE 3402 of meer algemene IT-audits zoals de Security audit en de Privacy audit. Verder TPM, SSAE 16, Pentesten, ISAE 3000, System audit, Continuïteits-audit, Informatiebeveiliging, EDP-audit, ISO 27001, ISO 27002, ISO 27005, Informatiebeleid, Implementatie en auditing van General IT Controls en IT-audit bij gemeenten.