Afspraken ICT-Beveiligingsassessments DigiD 2015

Scope van de ICT-Beveiligingsassessments DigiD

De onlangs herziene Guidance van NOREA lijkt te formaliseren dat het ICT-Beveiligingsassessments DigiD, een bredere scope krijgt dan op basis van de DigiD-normering valt te verwachten.
In het overleg van 9 januari is afgesproken dat een auditor de gemeente eerst zal bevragen over het algemeen Informatie veiligheidsbeleid. Al vormt dit geen onderdeel van het feitelijke assessment, zal de auditor het antwoord op deze vragen gebruiken om meer in te zoomen tijdens het ICT-Beveiligingsassessment DigiD.

Objectieve beoordeling

NOREA heeft zich via de herziene Guidance ingespannen om de oordeelsvorming ten aanzien van de normen, meer op één lijn te brengen.
Deze Guidance van NOREA wordt breed gebruikt en de (meeste) auditors bevragen zowel NOREA als elkaar, over de vormgeving van en over de interpretatie van min of meer gelijkgerichte situaties.
Punt blijft bestaan dat elke auditor een zelfstandige verantwoordelijkheid heeft in de beoordeling van de resultaten. In een gezamenlijk vervolgoverleg zal worden nagegaan waar en hoe deze verscheidenheid in beoordeling zich manifesteert en hoe deze nog verder kan worden teruggedrongen.

Escalatie procedure inrichten

In geval van een blijvend verschil van mening tussen auditor en DigiD-afnemer over de bevindingen en/of formulering van een beoordeling, heeft NOREA een escalatieprocedure beschikbaar. In dit (algemene) escalatiemechanisme wordt een verschil van inzicht tussen opdrachtgever/-nemer met wederzijds goedvinden doorgeleid naar de zogenaamde vaktechnische geschillencommissie. Deze commissie zal op basis van gedegen onderzoek, en bij voorkeur met wederzijdse instemming een bindende uitspraak doen.
Om misbruik van deze escalatieprocedure te voorkomen zal NOREA aan de voorkant toetsen of DigiD-afnemer en auditor zich voldoende hebben ingespannen om tot onderlinge overeenstemming te komen. Een ingezette escalatieprocedure zal overigens niet leiden tot uitstel van de gestelde inleverdatum bij Logius.

Publicatie van de info over de 'Vaktechnische Geschillencommissie' en de aanvullende Guidance zal (onder voorbehoud) in de eerste helft van februari door NOREA worden geëffectueerd.

Op grond van haar verantwoordelijkheid zal Logius in beginsel de uitkomsten van het assessmentrapport volgen. Bij de beoordeling baseert Logius zich op de door de minister bepaalde normering. Indien tot handhaving moet worden overgegaan treedt Logius met betreffende gemeente in contact om hen over dit voornemen te informeren. Daarna zal afstemming plaats vinden over de door de gemeente te volgen stappen.

Gemeenten wordt geadviseerd om, bij aangaan van een contract met een auditor, een toets te doen op het NOREA beroepsregister van gecertificeerde RE auditors. Voor betreffende info zie Norea.nl