Beste lezer,
U ontvangt dit bericht omdat u zich heeft aangemeld voor DigiD-assessmentberichten.
In dit bericht leest u meer over de norm B.01, de handtekening van de RE-auditor en de nieuwe handreiking van NOREA.
B.01 Informatiebeveiligingsbeleid Ieder rapport met een toetsingsdatum vanaf 1 augustus 2022 moet de toets op B.01 bevatten. Dit geldt voor iedere TPM*) en ieder aansluithoudersrapport. Soms geeft de TPM de norm B.01 niet expliciet aan als de verantwoordelijkheid van de aansluithouder. Ook dan zal de norm B.01 bij de aansluithouder getoetst moeten zijn.
Daarnaast bestaat, alleen voor aansluithouders, een uitzonderingsregel voor de B.01. Lees meer over de B.01 Uitzonderingsregel.
*) Als de serviceorganisatie wordt getoetst met een internationaal assurancerapport, dan zal de toets op de B.01 uit de mapping van de controls naar de DigiD-normen moeten blijken.
Aanvullende documenten opsturen Soms sturen aansluithouders aanvullende documenten op, bijvoorbeeld een extra toelichting vanuit de aansluithouder of een verklaring van de serviceorganisatie.
Logius neemt deze documenten alleen in behandeling als ze zijn (mede-) ondertekend door de RE-auditor (met uitzondering van internationale assurancerapporten). Zijn de documenten niet door de RE-auditor ondertekend dan tellen ze niet mee in de beoordeling. Elektronische handtekening van de RE-auditor Voor het zetten van een elektronische handtekening kan gebruik worden gemaakt van een ondertekendienst. Dit hoeft niet.
Geef bij de keuze voor een ondertekendienst aandacht aan het borgen van de vertrouwelijkheid bij het eventueel moeten uploaden van een document.
De minimale eisen aan de elektronische handtekening zijn:
- De naam zoals weergegeven in de elektronische handtekening moet de naam zijn van de RE-auditor.
- De melding moet zijn gegeven dat de bron voor de vertrouwde certificaten is verkregen van de European Union Trusted List (EUTL).
- In de eigenschappen van de handtekening is vermeld dat de elektronische handtekening is gekwalificeerd (of geavanceerd met gekwalificeerd certificaat) volgens de EU-richtlijn 910/2014.
Het is raadzaam om zowel de vertrouwelijkheid bij uploaden als het voldoen aan bovenstaande eisen expliciet na te vragen vóór het besluit om een ondertekenservice af te nemen.
Nederlandse vertrouwensdienstverleners (Trust Service Providers) en de certificaten waarmee zij gekwalificeerde (of geavanceerde) handtekeningen uit mogen geven kunt u vinden op de webpagina eIDAS Dashboard. NOREA handreiking 3.0 De NOREA-werkgroep DigiD-assessments heeft een nieuwe handreiking (NOREA Handreiking ICT-beveiligingsassessment DigiD 3.0) en nieuwe templates voor het assurancerapport uitgebracht.
Deze handreiking integreert alle losse onderdelen die de afgelopen jaren op de NOREA website zijn geplaatst. Ook is het normenkader 3.0 opgenomen in de nieuwe handreiking. Auditors zullen het assessment en de rapportage uitvoeren volgens de nieuwe handreiking. De handreiking vindt u op de website van NOREA.
Blijf op de hoogte DigiD-assessments houdt de webpagina op Logius.nl bij om u te voorzien van de juiste informatie over het DigiD-assessment. Onderwerpen die extra aandacht vragen vindt u op de pagina Mededelingen ICT-beveiligingsassessment DigiD, en in de DigiD-assessmentberichten.
Een regelmatige check op de website voorkomt verrassingen, zowel voor de aansluithouder, de serviceorganisatie als de auditor.
Vragen Heeft u vragen of opmerkingen? U kunt ons bereiken via het contactformulier, of via het e-mailadres digidassessment@logius.nl.
Met vriendelijke groet,
ICT-beveiligingsassessments DigiD
|
