ADDENDUM Ondersteuning ICTBeveiligingsassessment DigiD
Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers
SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
1.
Inleiding
In oktober 2011 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de maatregel aangekondigd dat alle gemeenten jaarlijks een ICTBeveiligingsassessment DigiD moeten uitvoeren. Dit om de veiligheid van webapplicaties met DigiD-koppeling, hét digitale authenticatiemiddel voor de overheid en dienstverleners met een publieke taak, te borgen. En zo het vertrouwen van burgers in het digitaal regelen van hun zaken bij gemeenten via DigiD te behouden. Gemeenten en leveranciers moeten er voor zorgen dat webapplicaties met DigiDkoppeling aan de norm, zoals gesteld door Logius, voldoen. Om gemeenten actief te ondersteunen heeft KING in 2012 een impactanalyse uitgevoerd onder negen gemeenten. Hierbij is achterhaald wat de omvang van de impact is voor gemeenten van de maatregel tot het jaarlijks uitvoeren van het assessment. Naar aanleiding van de resultaten uit deze impactanalyse heeft KING een ondersteuningsaanbod voor gemeenten ingericht. Dit ondersteuningsaanbod bevat onder meer een draaiboek voor het uitvoeren van het assessment, inclusief processtappen, templates, standaard opdrachtformulieren en een standaard vrijwaringsverklaring. De Informatiebeveiligingsdienst voor gemeenten, opgericht door VNG en KING, heeft bovendien een ‘Addendum ICT-Beveiligingsassessment DigiD’ vervaardigd ten behoeve van het assessment. Vanuit de overtuiging dat een addendum waarin tevens werkafspraken aangaande het assessment staan uitgewerkt, positief bijdraagt aan afronding van het assessment. Het betreft een addendum op de reeds bestaande ‘KING Samenwerkingsovereenkomst Gebruikersverenigingen/Samenwerkingsverbanden & Leveranciers’. Een overeenkomst die de samenwerking tussen KING, gemeenten, gebruikersverenigingen en u als leverancier bekrachtigt.
2. 1. 2.
3. 4. 5.
3.
Uitgangspunten Dit addendum maakt onderdeel uit van de samenwerkingsovereenkomst tussen KING, gebruikersverenigingen/samenwerkingsverbanden en leveranciers. De aanleiding voor de partijen, genoemd in het KING convenant, om aanvullende afspraken te maken, wordt gevormd door de wens om de door KING in het kader van de ICT-Beveiligingsassessments DigiD ontwikkelde ondersteuningsaanpak te gebruiken. Gebruikersverenigingen/samenwerkingsverbanden en leveranciers werken optimaal mee aan het uitvoeren aan de ICT-Beveiligingsassessments DigiD in het kader van de ondersteuningsaanpak van KING. Gemeenten, gebruikersverenigingen/samenwerkingsverbanden en leveranciers kunnen inhoudelijk bijdragen aan de verbetering van de ondersteuningsaanpak voor gemeenten. Gemeenten, gebruikersverenigingen/samenwerkingsverbanden en leveranciers werken efficiënt samen bij het uitvoeren van het assessment.
Voordelen voor gemeenten
1. Vergroten bewustwording met betrekking tot informatiebeveiliging in het algemeen. 2. Inzicht in de eigen informatiebeveiligings-‘huishouding’ zoals: a. welke DigiD-aansluitingen zijn er; b. wie beheert deze DigiD-aansluitingen;welke procedures worden gevolgd en zijn al dan niet beschreven.
2
SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
3. Verbetering van de beveiliging van de webapplicaties met een DigiDkoppeling.
4. Voordelen voor gebruikersverenigingen/ samenwerkingsverbanden 1. 2.
3. 4.
Door de intensieve samenwerking tussen gebruikersverenigingen/ samenwerkingsverbanden, leveranciers en KING, kan het assessment zo efficiënt mogelijk worden uitgevoerd. Doordat gebruikersverenigingen/samenwerkingsverbanden en hun leveranciers dit convenant ondertekenen, hebben zij een extra instrument om te sturen op het naleven van de normen die in het ICT-Beveiligingsassessment DigiD worden gesteld. Doordat gebruikersverenigingen/samenwerkingsverbanden dit convenant ondertekenen kunnen zij de bewustwording van het belang van informatiebeveiliging stimuleren. Doordat gebruikersverenigingen/samenwerkingsverbanden en leveranciers die het convenant hebben ondertekend, worden vermeld op de website van KING ontstaat een positieve bijdrage aan hun respectievelijke imago’s.
5. Voordelen leveranciers 1. Door de intensieve samenwerking tussen leveranciers, gebruikersverenigingen/samenwerkingsverbanden en KING, zal de vraagdruk vanuit gemeenten richting leveranciers beperkt worden. 2. Door de intensieve samenwerking tussen leveranciers, gebruikersverenigingen/samenwerkingsverbanden en KING, kunnen leveranciers voorkomen dat iedere individuele gemeentelijke klant afzonderlijk contact opneemt voor het laten uitvoeren van een pentest/audit (hergebruik). 3. Doordat leveranciers die dit convenant ondertekenen betrokken worden bij het doorontwikkelen van het ondersteuningsaanbod, zal het uitvoeren van elk ICTBeveiligingsassessment DigiD efficiënter verlopen. 4. Doordat gebruikersverenigingen/samenwerkingsverbanden en leveranciers die het convenant ondertekend hebben worden vermeld op de website van KING ontstaat een positieve bijdrage aan hun respectievelijke imago’s. 5. Doordat gebruikersverenigingen/samenwerkingsverbanden en leveranciers die het convenant ondertekenen het recht hebben in hun productinformatie of ander marketingmateriaal te vermelden dat zij optimaal meewerken aan het uitvoeren aan de ICT-Beveiligingsassessments DigiD ontstaat een positieve bijdrage aan hun respectievelijke imago’s.
6.Werkafspraken tussen KING, gebruikersverenigingen, samenwerkingsverbanden en leveranciers Om tot een adequate invulling van samenwerking te komen, worden de volgende inhoudelijke werkafspraken gemaakt tussen KING, gebruikersverenigingen/ samenwerkingsverbanden en leveranciers, hierna te noemen partijen: 1. Partijen onderschrijven de KING-doelstellingen in het kader van Informatiebeveiliging en zullen frequent in de vorm van actieve participatie een kennisbijdrage leveren om de ondersteuningsaanpak voor het ICTBeveilingsassessment DigiD te verbeteren. 2. Partijen informeren actief hun betrokkenen over de door KING aangeboden ondersteuningsaanpak. 3. Leveranciers zullen maximaal ondersteuning bieden bij de uitvoering van het ICT-Beveiligingsassessment DigiD.
3
SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
4. Leveranciers stellen alles in het werk om aan de gestelde eisen van de norm te voldoen. 5. Leveranciers bieden daar waar mogelijk een standaardverklaring waarin wordt opgenomen dat de leverancier voor haar webapplicatie voldoet aan de op haar van toepassing zijnde normen, een zogenaamde Third Party Mededeling (TPM). 6. Leveranciers die geen standaardverklaring kunnen opstellen (bijvoorbeeld in geval van maatwerk) werken altijd mee aan het laten uitvoeren van een audit of een pentest door de gemeente. 7. Leveranciers nemen zelf de verantwoordelijkheid voor eventuele ketenpartners waarmee wordt samengewerkt. 8. KING, de gebruikersverenigingen en samenwerkingsverbanden worden door de leveranciers proactief geïnformeerd over de status en voortgang bij hun assessment en eventuele TPM. 9. Leveranciers voeren de assessment jaarlijks of na een grote wijziging opnieuw uit.
KING BIEDT: 1. Ontwikkeling (in 2013) en beheer van de ondersteuningsaanpak ICTBeveiligingsassessment DigiD, inclusief de bijbehorende participatiestructuren, informatievoorziening en communities. 2. Helpdesk-faciliteiten voor het verstrekken van informatie over het ICTBeveiligingsassessment DigiD. 3. Bewustwordingsactiviteiten zoals het organiseren van bijeenkomsten of het verzorgen van presentaties bij bijeenkomsten van gebruikersverenigingen/ samenwerkingsverbanden. 4. Vermelding op de website van de namen van leveranciers die meewerken middels dit convenant, eventueel met vermelding van het opleveren van een TPM, danwel een herbuikbare auditrapportage. De gemaakte afspraken in onderhavig document zijn onder voorbehoud van financiering in 2014 en latere jaren door de opdrachtgevers van KING.
ONDERTEKENING Datum: 24 april 2013, te Utrecht,
Volledige organisatienaam:
Volledige organisatienaam:
…………………………………………..
Het Kwaliteitsinstituut Nederlandse Gemeenten
Ondertekenaar:
Ondertekenaar:
…………………………………………..
Tof Thissen
Handtekening:
Handtekening:
……………………………………………
………………………………………………
4
SAMENWERKINGSOVEREENKOMST KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN & GEBRUIKERSVERENIGINGEN / SAMENWERKINGSVERBANDEN & LEVERANCIERS
KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG T 070 373 80 17 F 070 363 56 82
[email protected] WWW.KINGGEMEENTEN.NL
5