TPM-gegevens ICT-Beveiligingsassessment DigiD in GEMMA Softwarecatalogus

Om de veiligheid van digitaal zaken doen via DigiD te borgen voor burgers, dienen gemeenten periodiek een ICT-Beveiligingsassessment DigiD uit te voeren. Een goede voorbereiding op het assessment door zowel gemeenten als leveranciers zorgt voor een versnelling van het assessmentproces. Een voorbeeld van een goede voorbereiding aan leverancierszijde is het opstellen van een zogenaamde Third Party Mededeling (TPM). ICT-leveranciers kunnen zelf in de GEMMA Softwarecatalogus aangeven dat zij beschikken over een TPM of klaar zijn om bijvoorbeeld een pentest te laten plaatsvinden. Deze gegevens hoeven dus niet meer bij de Informatiebeveiligingsdienst voor gemeenten (IBD) aangeleverd te worden. Gemeenten kunnen zo zien of de leverancier een TPM beschikbaar heeft, of klaar is voor het ICT-Beveiligingsassesment DigiD.

GEMMA Softwarecatalogus

De GEMMA Softwarecatalogus is een online informatiesysteem waarin u het (verwachte) softwareaanbod voor gemeenten en het gebruik door gemeenten vindt. Per softwareproduct is aangegeven wat de globale functionaliteit is, wat de productplanning is en welke standaarden worden ondersteund. Bijna alle Nederlandse gemeenten hebben een account voor de softwarecatalogus waarmee zij onder andere hun applicatielandschap in kunnen vullen. Ook de softwareleveranciers beschikken over een account zodat zij informatie over hun software bij kunnen houden, zoals of zij voldoen aan de standaard ‘Norm Logius ICT-Beveiligingsassessment DigiD 2014’. Een overzicht van leveranciers die de standaard ‘Norm Logius ICT-Beveiligingsassessment DigiD 2014’ hebben gekoppeld aan hun softwarepakketten vindt u hier. Dit overzicht is in de softwarecatalogus te vinden via ‘wat is er te vinden / alle pakketversies en planningen / met testrapport Norm Logius ICT-Beveiligingsassessment DigiD 2014’.

Onafhankelijk keurmerk

Een contract of een Service Level Agreement (SLA) geeft een duidelijk beeld van de onderlinge afspraken en verantwoordelijkheden tussen afnemer en leverancier van de ICT-diensten. Hiermee is echter nog niet aangetoond dat de ICT-dienstverlening voldoet aan bepaalde kwaliteitsstandaarden. Hiervoor kan de ICT-serviceorganisatie haar dienstverlening laten ‘certificeren’. De dienstverlening wordt voorzien van een onafhankelijk keurmerk dat een ‘Third Party Mededeling’ of kortweg een TPM wordt genoemd. Op deze manier wordt aantoonbaar gemaakt dat hetgeen is overeengekomen in de SLA wordt geleverd. Een ICT-leverancier kan hiermee aantonen dat de geleverde diensten voldoen aan bepaalde (kwaliteits)standaarden. Met een TPM kunnen leveranciers laten zien dat de DigiD-richtlijnen waar zij verantwoordelijk voor zijn als leverancier in orde zijn. Aangesloten gemeenten kunnen hier op hun beurt weer door hun auditor naar laten verwijzen bij het eigen assessment.

Meer informatie?

Heeft u vragen over het ICT-Beveiligingsassessment DigiD? De IBD beantwoordt deze graag via info@IBDgemeenten.nl of via 070 373 8011.