Gemeente Heerlen - Informatiebeveiligingsplan DigiD gemeente Heerlen

Bijwerken technische infrastructuur DigiD

Het NCSC heeft diverse beveiligingsrichtlijnen voor webapplicaties aangescherpt. Onze technische infrastructuur voor DigiD voldoet op dit moment niet aan al deze eisen. Om te voldoen aan alle richtlijnen worden een aantal wijzingen doorgevoerd. De uitvoering van deze wijzingen liggen bij drie partijen: de interne functionele beheerder, bij Parkstad-IT en/of leverancier(s). Technische details zijn wel opgenomen in het risico-register van de CISO, maar bewust niet hier.

De CISO monitort de uitvoering van de noodzakelijke wijzigingen.

Afronding is voorzien in het tweede kwartaal van 2021 maar is mede afhankelijk van het technische onderzoek dat momenteel loopt.

Monitoren en uitvoering nieuwe technische eisen tav DigiD

Het NCSC verscherpt geregeld en gedurende de loop van het jaar de eisen die worden gesteld aan de technische infrastructuur voor oa de DigiD-aansluitingen. Deze aanscherpingen dienen tijdig te worden vertaald in wijzingen. De uitvoering van deze wijzingen kunnen bij drie partijen liggen: de interne functionele beheerder, bij Parkstad-IT en/of de leverancier(s).

Sommige nieuwe eisen kunnen zorgen voor extra drempels voor burgers bij het gebruik, zeker als deze burgers ‘oude’ apparatuur en software gebruikt. In zo’n geval zal dit worden besproken met de portefeuillehouder.

De CISO monitort de eisen die worden gesteld vanuit NCSC én voert regie op de uitvoering van eventuele wijzigingen.

Dit wordt ingevoerd vanaf 2021.

Tweede DigiD-aansluiting voor Parkeervergunningen

Op verzoek van het college wordt het gehele proces rondom parkeervergunningen verder gedigitaliseerd. Daarbij is het streven dat de burger via selfservice digitaal een parkeervergunning kan aanvragen. Voor de identificatie van die burger wordt dan gebruik gemaakt van DigiD.

Technisch bezien is hiervoor een tweede DigiD-aansluiting nodig voor de gemeente Heerlen.

De teamleider Vergunningen voert regie op de digitalisering van het werkproces. De CISO monitort de eisen die worden gesteld vanuit NCSC én voert regie op de uitvoering van de tweede DigiD-aansluiting.

Dit wordt ingevoerd in 2021.

Derde DigiD-aansluiting voor toegang tot dossiers

Op verzoek van het college wordt het gehele proces rondom de dienstverlening verder gedigitaliseerd. Daarbij is het streven dat de burger via selfservice digitaal toegang krijgt tot zijn dossiers en aanvragen. Voor de identificatie van die burger wordt dan gebruik gemaakt van DigiD.

Technisch bezien is hiervoor een derde DigiD-aansluiting nodig voor de gemeente Heerlen.

De projectleider Slim Digitaal Samenwerken voert regie op de digitalisering van de technische infrastructuur. De CISO monitort de eisen die worden gesteld vanuit NCSC én voert regie op de uitvoering van de derde DigiD-aansluiting.

Dit wordt ingevoerd in 2021 / 2022.

ENSIA 2021

Jaarlijks wordt de gemeente Heerlen geaudit vanuit de ENSIA. Ook in de ENSIA 2021 zal een verscherping van de audit-regels worden opgenomen, ook aangaande DigiD. Wij zullen hier tijdig op dienen te anticiperen.

De ENSIA-coördinator voert regie hierop.

Interne audit DigiD

Door middel van een jaarlijkse selfassessment (interne audit) stelt de gemeente Heerlen vast in hoeverre zij aan de eisen voldoet en daarmee welk volwassenheidsniveau van informatieveiligheid op dat moment geldt. Het selfassessment omvat ook de uitbestede diensten, dus de gehele keten. Voor wat betreft de uitbestede diensten bundelen gemeenten hun verzoeken om assurance (TPM) richting de leveranciers waar zij gezamenlijk gebruik van maken. Verplicht onderdeel van de selfassessment is een jaarlijkse penetratietest op de kroonjuwelen (waaronder DigiD) van de gemeente. Bij deze penetratietest wordt de feitelijke veiligheid getoetst bij gemeenten. In deze jaarlijkse interne audit zal DigiD een prominente rol krijgen.

Vooruitlopend op deze jaarlijkse penetratietest en selfassessment zullen periodiek ook extra interne controles plaatsvinden van de technische stand van zaken van in ieder geval de DigiD-infrastructuur.

De CISO voert regie op de uitvoering van deze extra interne controles en rapportage aan directie en portefeuillehouder.

Dit wordt per direct ingevoerd.

Verzelfstandiging Parkstad-IT

Zoals het er nu naar uitziet zal de lichte GR Parkstad-IT worden verzelfstandigd. Dit maakt dat bestaande (vaak impliciete) werkafspraken expliciet moeten worden vastgelegd in een SLA (service level agreement). In deze SLA zal ook expliciet moeten worden opgenomen hoe wordt omgegaan met geconstateerde afwijkingen ten opzichte van de ENSIA-normen, en specifiek de DigiD-normen.

De CISO voert regie op de verwerking van deze aanvullende eisen in de SLA.

Dit wordt uitgevoerd in aanloop naar de verzelfstandiging van Parkstad-IT, te starten in 2021.

Ketenbeheer DigiD – onderzoek aanvullende verklaring leverancier

Bij het beheer van de technische DigiD-infrastructuur zijn nu diverse partijen actief. Deze partijen voldoen aan de BIO-normen (of aan de ISO-normen). Maar de jaarlijkse DigiD-audit is een voornamelijk technische audit op een webapplicatie. Hierbij wordt gewerkt met een eigen vooral technisch normenkader, gebaseerd op de NCSC beveiligingsrichtlijnen voor webapplicaties, dat afwijkt van de BIO-normring (en de ISO-normering).

Onderzocht wordt of het mogelijk is of onze leveranciers, bovenop de ISO- of BIO-verklaring, een verklaring kunnen afgeven dat hun omgeving voldoet aan de ENSIA-normering inzake DigiD.

De CISO voert regie op dit onderzoek.

Dit wordt ingevoerd in 2021.