18.09.2019

Zo stoom jij jouw organisatie klaar voor de SUWI-audit

Blog door Daan Koot

Hij staat weer voor de deur: de jaarlijkse SUWI-audit. Is jouw organisatie daar al klaar voor? Geen paniek. Wij helpen je een handje. Aan de hand van 3 stappen stomen wij jou en je organisatie klaar voor de SUWI-audit.

Sinds de invoering van de regeling SUWI zijn gemeenten verplicht om de beveiliging van Suwinet op orde te hebben. En dat is niet vreemd ook. Burgers en bedrijven verwachten immers dat er vertrouwelijk wordt omgegaan met hun (persoons-) gegevens. Vanwege de hoge gevoeligheid van deze gegevens is een normenkader afgesproken. Hierin staat beschreven welke beheersmaatregelen getroffen moeten worden om correct gebruik van de vertrouwelijke gegevens te bevorderen en misbruik te voorkomen. Een jaarlijkse audit richt zich op de normen uit dit kader. Hoe jij jouw organisatie verzekert van een vlekkeloze audit? Eenvoudig, met de onderstaande 3 stappen.

Stap 1: organisatorische maatregelen

Welke mensen plaatste jij op welke functies en hoe krijgen die functies vorm? Dat moet blijken uit jouw beleidsplan. Dit plan moet up-to-date zijn en daarom niet ouder dan drie jaar. Daarnaast moet het jaarlijks een revisie krijgen. Uit het plan moet blijken wat er wel en niet verwacht wordt van functionarissen. Bij die verwachtingen horen autorisaties. Wat mag een functionaris wel en wat mag hij niet? Zo komen we aan bij het technische verhaal.

Stap 2: uitvoeringsmaatregelen

Uit jouw systeem moet blijken wie over welke rechten beschikt. Jij moet een lijst uit kunnen draaien met daarop de accounts, met bijbehorende rollen én bijbehorende rechten. Dit verhaal moet kloppen. Zo mag één functionaris, vanuit het oogpunt van belangenverstrengeling, nooit zowel iets toewijzen als ook goedkeuren. Uit de autorisatiematrix moet blijken dat de juiste personen beschikken over de juiste bevoegdheden. In het kort moet je uit de matrix functieomschrijvingen met namen en rugnummers kunnen extraheren.

Stap 3: controlemaatregelen

Hoe vaak controleert er iemand binnen jouw organisatie of dit gehele spel goed wordt uitgevoerd? Eens per kwartaal of halfjaar? Dan zit jij goed. Aan de hand van controlerapportages moet jij laten zien dat je periodiek controleert en verbetert. De laatste stap van jouw traject.

Veel succes!

Categorie: IT security Nieuws

Gerelateerde producten

SUWI Audit