ICT-beveiligingsassessment DigiD

Heeft uw organisatie één of meer DigiD-koppelingen? Dan dient u jaarlijks aan te tonen dat uw systeem aan de door de overheid gestelde veiligheidseisen voldoet. De DigiD keten onderscheid twee type organisaties, te weten:

  1. de gebruikersorganisatie: bestaande uit bijvoorbeeld verzekeraars, pensioenuitvoerders, banken of overheidsinstellingen die houder zijn van één of meer DigiD-koppelingen.
  2. de serviceorganisatie: de leverancier(s) van applicatieve (ontwikkeling, beheer en onderhoud) en infrastructurele (housing en hosting) diensten.

Het ICT-beveiligingsassessment DigiD wordt door Q-RESULTANCY uitgevoerd op basis van de normen die zijn vastgesteld door het Ministerie van Binnenlandse Zaken in samenwerking met Logius. Deze normen zijn gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties die door het Nationaal Cyber Security Centrum (NCSC) zijn ontwikkeld.

Wij verzorgen voor u het gehele traject van intake en pre-audit (inclusief nulmeting) tot en met de uitvoering van de formele audit en rapportage voor zowel de gebruikersorganisatie als voor de serviceorganisatie. Het ICT-beveiligingsassessment DigiD wordt uitgevoerd onder verantwoordelijkheid van een Register EDP-auditor (RE) in dienst van of gelieerd aan Q-RESULTANCY.

Onze aanpak?

Wij hebben een gestandaardiseerde en pragmatische uitvoeringswijze ontwikkeld. U bepaalt met een zelfonderzoek moeiteloos wat uw situatie is. Dit begint met een vragenlijst. Hierdoor brengt u eenvoudig uw situatie overzichtelijk in kaart. Desgewenst kan onze auditor bij u ter plaatse een complete quick scan uitvoeren.

Daarna bespreken wij de auditplanning met u. Hierbij geven wij aan welke TPM-verklaringen geldig zijn, welke testen gedaan moeten worden en op welke termijn dat mogelijk is. Wanneer alles duidelijk is voor u, worden afhankelijk van een eventuele TPM’s, de penetratietesten uitgevoerd.

Als eerste testen wij of het mogelijk is om ongeautoriseerd toegang via het digitale loket te krijgen. Vervolgens probeert de pentester ongeautoriseerd toegang te krijgen tot de achterliggende systemen. Afhankelijk van een eventuele TPM, beoordelen wij zowel de interne als externe infrastructuur. Gelijktijdig vindt door de Register EDP-auditor een audit plaats op uw contracten, procedures en de beveiligingsorganisatie. Ingeval van een SAAS oplossing voorzien van een geldige TPM beperkt het onderzoek zich daartoe.

Wij zorgen dat voor u alles compleet, geordend en begrijpelijk is. We leggen onze bevindingen vast in een overzichtelijke conceptrapportage. We doen concrete aanbevelingen om de tekortkomingen efficiënt op te heffen. Het assessment wordt afgesloten met een persoonlijk gesprek waarin we de bevindingen en onze aanbevelingen helder toelichten. Dat gesprek kan ook telefonisch. Daarna wordt de rapportage definitief gemaakt. Wanneer de opdracht ook een penetratie- en of vulnerability test omvat, vragen wij u vooraf om een vrijwaringsverklaring.

Wat is uw investering?

Afhankelijk van wat u wilt dat onderzocht wordt, variëren de kosten tussen de € 1.750,- en € 7.500,-. Dit betreft één DigiD aansluiting. De genoemde prijzen zijn exclusief BTW en inclusief reis-en verblijfskosten.

Dit assessment is ook voordelig te combineren met de UWV audit voor gemeenten en pensioenfondsen of de  ENSIA  audit voor  gemeenten. Ook  is  een  twee  of  drie  jarig abonnement met korting mogelijk. Zo bent u verzekerd dat u aan alle eisen blijft voldoen, kwalitatief en resultaatgericht!

Meer weten?

Neem gerust contact met ons op voor meer informatie of om een afspraak te maken in het kader van ICT-beveiligingsassessment DigiD.

Neem contact op