IT-audit - DigID Assessments
Ratiocinator Echte kwaliteit verloochent zich niet
IT-audit
© F.H.B. Kersten 2014-2024

DigID Assessments

De authenticatieservice zoals die wordt geleverd in de vorm van DigID behoort tot de vitale infrastructuren van Nederland. Niet beschikbaar zijn van deze service leidt ertoe dat burgers geen toegang kunnen krijgen tot diensten van de overheid en andere partijen die voor identicatie en authenticatie gebruik maken van DigID. Denk aan belastingplichtigen voor hun aangifte inkomstenbelasting of werkzoeken richting UWV. Daarnaatst kan misbruik van DigID leiden tot identiteitsfraude. Belangrijk voor het functioneren van DigID is de koppeling met de Gemeentelijke Bevolkings Administratie (GBA) vanwegde de koppeling aan het Burger Service Nummer (BSN). Aangezien gemeenten verantwoordelijk zijn voor de integriteit van de gegevens in de GBA en de toekenning van BSN’s, is het van belang dat de informatiebeveiliging bij gemeenten op orde is. Diverse gebeurtenissen in 2011 en 2012 hebben de vraag doen opkomen of deze beveiliging wel toereikend was. Reden om een systematiek te ontwikkelen om hierin verbeteringen aan te brengen en te zorgen voor waarborgen dat die informatiebeveiliging vervolgens op pijl blijft. De basis wordt gevorm door de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC. Deze zijjn hier te downloaden. Op basis van deze richtlijnen heeft Logius een selectie gemaakt van richtlijnen die minimaal geïmplementeerd dienen te worden (hoewel implementatie van alle richtlijnen wordt aanbevolen). De informatie van Logius inclusief de bijbehorende documenten staat hier. Na de implementatie is de toetsing aan de orde.Hierover is het volgende opgenomen:

Toetsing

Nadat organisaties hebben vastgesteld dat de noodzakelijke maatregelen zijn getroffen om aan de norm te voldoen, moeten zijn een toetsing (IT-audit) laten doen door een Register EDP-auditor. Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties met een Register EDP-auditor in dienst, kunnen een zogeheten self-assessment uitvoeren. De in het register van de NOREA (Nederlandse Orde van Register EDP-Auditors) ingeschreven Register EDP- auditors zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de 'Code of Ethics' en de International Standards on Auditing (ISA's). Neem in eerste instantie contact op met uw accountantskantoor voor het vinden van een RE-auditor. Door NOREA is een handreiking gepubliceerd met een toelichting op enkele formele aspecten bij de opdrachten inzake de DigiD-assessments. Deze handreiking vindt u op http://www.norea.nl/Norea/Actueel/Nieuws/Handreiking+DigiD.aspx. Let op: Het betreft een Guidance, geen één op één handhaving.

 Scope toetsing

De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces".  Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst)bedoeld.
Foutje? Hoewel het logisch is om gemeenten te verwijzen naar de eigen accountant zijn er andere organisaties die ook prima in staat zijn deze audits uit te voeren.