Haagsemarkt 1
4813 BA Breda
T: +31 (0) 76 50 194 70
info@2-control.nl
DigiD audit
Onze DigiD audit ondersteuning
Onze organisatie bestaat uit een enthousiast team van IT-auditors (RE's) ingeschreven bij de NOREA. Een RE-auditor van 2-Control kan toetsen of uw digitale loket voldoet aan de gestelde normen voor een DigiD-audit. Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijkse voor vele verschillende gemeenten, andere (semi-)overheidsinstellingen en serviceorganisaties het DigiD ICT-beveiligingsassessment uit.
Wij bieden leveranciers (serviceorganisaties) de mogelijkheid om een TPM-verklaring te verkrijgen. Met een Third Party Memorandum bespaart u als leverancier op de auditkosten van uw klanten omdat dan niet voor iedere klant, die dezelfde webapplicatie of webomgeving gebruikt, dezelfde audit hoeft te worden uitgevoerd.
Lees hier het artikel: Help, een nieuwe DigiD-aansluiting! Wat nu?
DigiD aanpak 2-Control
- Toetsen aan de hand van de richtlijnen (pre-audit)
Door eerst na te laten gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u in ieder geval moet treffen. Wij kunnen deze pre-audit voor u uitvoeren. Onze IT-auditors brengen in kaart in hoeverre uw organisatie voldoet aan bepaalde normen. De uitkomst van de pre-audit geeft een duidelijk beeld van de maatregelen die u moet treffen om te voldoen aan de DigiD normen die van toepassing zijn. Dit voorkomt onnodige bevindingen uit de penetratietest en de audit, wat scheelt in de investering. - Maatregelen treffen
Voer na aanleiding van de pre-audit zelf de noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf. - Penetratietest (Pentest) uitvoeren
Indien u eigen hosting of softwareontwikkeling uitvoert dient u een penetratietest (ethical hacking test) uit te laten voeren op uw webomgeving als onderdeel van de eisen. Hierbij wordt uw informatiesysteem gecontroleerd op hun kwetsbaarheid en ontvangt u een rapport met bevindingen. Wij adviseren hiervoor gebruik te maken van Dong-IT. Bekijk hier de verschillende aanbiedingen voor penetratietesten.
Neem zelf maatregelen om de bevindingen uit de pentest op te volgen en op te lossen. Als uit de pentest blijkt dat in uw omgeving hoge risico's aanwezig zijn dan dienen deze vooraf aan de audit te worden opgelost. - Audit uitvoeren
Als de voorgaande fases zijn afgerond dan wordt de uiteindelijke DigiD-audit uitgevoerd. De audit wordt uitgevoerd door een van onze RE-auditors.
De rapportage betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep (NOREA) van de auditors tot stand gekomen. De rapportage bevat een overzicht van de feitelijke bevindingen per maatregel. Per maatregel wordt door onze RE-auditors aangegeven of deze voldoet. - Bevindingen naar Logius sturen
Als laatste stap moet u zelf de rapportage over het ICT-beveiligingsassessment DigiD versturen naar Logius. Het rapport moet ondertekend zijn door een van onze RE-auditor.
Uit onze ervaring is gebleken dat het laten uitvoeren van een ICT-beveiligingsassessment vaak meer voeten in aarde heeft dan men vooraf dacht. Wij adviseren u daarom op tijd een pre-audit in te plannen om eventuele problemen te voorkomen. Ga voor een persoonlijke en pragmatische aanpak en kies voor DigiD-audit ondersteuning van onze IT-auditors ingeschreven bij NOREA (de beroepsorganisatie van IT-auditors in Nederland).
DigiD en ENSIA
Sinds juli 2017 is voor gemeenten de verantwoordingsprocedure veranderd inzake DigiD. Gemeenten maken nu gebruik van de ENSIA-verantwoordingsmethodiek. Hoofddoelstelling is om de auditlast van gemeenten te verlichten en om gemeenten in staat te stellen zichzelf te verantwoorden over informatiebeveiliging. Onze RE-auditors kunnen u ook helpen om de ENSIA-audit uit te voeren.
Benieuwd naar onze ondersteuning voor ENSIA, Suwinet of de BIO?