ICT-veiligheidsaudits

Cyberveilige gemeenten: een ICT-veiligheidsaudit voor elk lokaal bestuur

Je lokaal bestuur laten functioneren zonder ICT is stilaan ondenkbaar, maar ben je wel voldoende beschermd? Sinds de coronacrisis is die vraag nog relevanter geworden. Zou je graag laten testen of je lokaal bestuur voldoende gewapend is tegen hackers? Dat kan en hoeft niet duur te zijn!

Op deze pagina vind je de informatie terug over het aanbod om een ICT-veiligheidsaudit te laten uitvoeren met cofinanciering van de Vlaamse overheid.

De praktische details (o.a. informatie over de bestelprocedure, de contactgegevens van de betrokken auditfirma’s, hoe je moet factureren, sjablonen…) zijn hier terug te vinden. Wil je onmiddellijk overgaan tot een bestelling – dan vind je de informatie die je daarvoor nodig hebt ook hier terug.

Dit aanbod kader in het programma Cyberveilige gemeenten. Meer informatie over alle projecten vind je hier.

Doelgroep
Wie kan een bestelling plaatsen?
basisaudit
Welke ICT-veiligheidsaudits kan ik bestellen?
wie
Wie voert de ICT-veiligheidsaudit uit?
kostprijs
Hoeveel kost een ICT-veiligheidsaudit?
bestelprocedure
Hoe maak ik gebruik van dit aanbod?
bestelprocedure
Waar moet ik op letten om de cofinanciëring te verkrijgen?
kalender
Wanneer vraag ik deze audit best aan? 
voorbereiden
Hoe bereid ik de ICT-veiligheidsaudit voor?
vervolgtraject
Vervolgtraject voor je lokaal bestuur?
samenvatting
Samenvatting van het aanbod
hoe
Veelgestelde vragen
Doelgroep
Wie kan een bestelling plaatsen?

Elke gemeente en OCMW kunnen een gezamenlijke bestelling plaatsen voor een ICT-veiligheidsaudit en hiervoor cofinanciëring aanvragen.  

Ook als je eerder al een soortgelijke audit hebt laten uitvoeren, kan je van dit aanbod nog gebruikmaken, bijvoorbeeld om na te gaan of de geïmplementeerde beheersmaatregelen volstaan om de veiligheid van jouw ICT-omgeving te verhogen. Cyberveiligheid verdient namelijk continu aandacht.

> terug naar overzicht

basisaudit
Welke ICT-veiligheidsaudits kan ik bestellen?

Het lokaal bestuur kan volgende ICT-veiligheidsaudits bestellen:

(verplicht luik) Basisaudit

De basisaudit omvat:

  • Interne intrusietesten van de active directory-omgeving en maximaal 3, in overleg te bepalen, systemen. Tijdens de interne netwerkintrusietesten worden de geselecteerde interne netwerken en systemen onderzocht op aanwezige kwetsbaarheden. Dit gebeurt aan de hand van technieken en tools voor netwerkmapping en kwetsbaarheidsanalyses.  
  • Externe intrusietesten van maximaal 5 extern bereikbare IP-adressen. Tijdens de externe netwerkintrusietesten worden de geselecteerde netwerken en systemen zonder enige voorkennis onderzocht op aanwezige kwetsbaarheden. Dit wordt uitgevoerd door middel van technieken en tools voor kwetsbaarheidsanalyses. 
  • Testen van het wachtwoordbeheer en het overkoepelend logisch toegangsbeheer (niveau active directory en maximaal 2 kritische applicaties). Hier wordt getest welke wachtwoordregels zijn ingesteld en welke accounts een wachtwoord hebben dat niet aan deze regels voldoet of eenvoudig kan worden achterhaald. Ook de actualiteit van de bestaande logische toegangen, die werknemers hebben op het overkoepelende niveau, worden nagekeken.    
  • Bespreking van de voornaamste werkpunten uit de eerste drie technische testen (gedurende 1 dag). Hierbij wordt samen met de IT-verantwoordelijke(n) van het lokaal bestuur bekeken welke aanpassingen eventueel wenselijk zijn, hoe dat concreet kan worden aangepakt en op welke manier de haalbaarheid van de mogelijke oplossingen kan worden verbeterd. 
  • Documentanalyse over de bedrijfscontinuïteitsplanning, ICT-risico’s en organisatiebeheersing.
  • Zelfevaluatie: naar analogie met andere zelfevaluatie-instrumenten die Audit Vlaanderen reeds beschikbaar stelt, zal via een zelfevaluatievragenlijst gepeild worden naar de mate waarin het lokaal bestuur werkt aan de beheersing van diverse risico’s die relevant zijn voor een goede cyberveiligheid.

In het basispakket is ook een dag begeleiding voorzien om met de meest prioritaire verbeterpunten aan de slag te gaan.
De inhoud van de basisaudit is hetzelfde voor alle lokale besturen. De focus en aanpak van de testen zal worden bepaald in functie van de eigen ICT-omgeving en welke systemen voor je lokaal bestuur het meest relevant zijn.
Voor de basisaudit maakte Audit Vlaanderen afspraken met de auditfirma's over de minimale invulling en aanpak.
 

(naar wens van het lokaal bestuur) Aanvullende audit(s)

De lokale besturen kunnen naar eigen keuze audit- (en begeleidings-)diensten die hun informatiebeveiliging kunnen helpen controleren, bewaken of verbeteren als aanvullende auditwerkzaamheden bestellen. Ook bestellingen voor hertesting komen hiervoor in aanmerking.
Enkele voorbeelden van mogelijke bestellingen:

Systeemgericht
  • Om zeker te zijn waar men staat en wat de voornaamste werkpunten zijn, bestelt het management van een lokaal bestuur ondersteuning voor de uitvoering van een volledige of gedeeltelijke informatiebeveiligingsaudits of een gelijkaardige audit op basis van de ISO27001-, ISO27002- en/of ISAE3000-raamwerken
Preventief / toekomstgericht
  • Een raad, college of managementteam bestelt één of enkele dagen ondersteuning om met een expert (IT- of operationeel auditor) van gedachten te wisselen over welke digitalisering/hosting-, technologie- en architecteurkeuzes/ICT-diensten/beheersmaatregelen op het vlak van informatiebeveiliging/ICT-omgeving/… ze willen naar streven/evolueren in de toekomst.
  • Een lokaal bestuur bestelt ondersteuning om de ontwerpplannen en/of het ontwerpbestek voor hun nieuwe ICT-omgeving te laten doorlichten.
  • Alvorens tot de bestelling van ICT-systemen over te gaan, wordt ondersteuning besteld om na te gaan of de vooropgestelde vereisten in lijn zijn met de beveiligingsnoden en om de veiligheid van de aangeboden oplossingen en van de voorgestelde configuraties te laten evaluaeren.
  • Een lokaal bestuur bestelt ondersteuning voor de uitvoering van phishing- en smishing-testen in het kader van een sensibiliseringscampagne om het bewustzijn en de weerbaarheid te verhogen.
Detectief
  • Een ICT-functie vraagt ondersteuning bij het remediëren van vastgestelde kwetsbaarheden en/of bij het implementeren van bijkomende beveiligingsmaatregelen.
  • Een ICT-functie vraagt ondersteuning bij het analyseren/opvolgen van logbestanden om te verifiëren of er verdacht gedrag kan worden gedetecteerd en/of verbeteringen kunnen worden voorgesteld.
Reactief
  • Een lokaal bestuur bestelt ondersteuning om snel en gepast te kunnen reageren op een incident (bv. een besmetting van eindgebruikersapparatuur of een aanval op een server of …).
  • Een lokaal bestuur bestelt ondersteuning om de opzet van een nieuwe ICT-omgeving na een incident te begeleiden.

Een aanvullende audit is maatwerk dat in onderling overleg tussen het lokaal bestuur en de auditfirma wordt bepaald.

Bij het formuleren van aanbevelingen en het implementeren van oplossingen n.a.v. de audits wordt bij voorkeur maximaal gebruikt gemaakt van de ICT-informatieveiligheidstools van Digitaal Vlaanderen, en gealigneerd op kaders zoals het informatieclassificatiemodel van de Vlaamse overheid:
•    De veiligheidsbouwstenen die Digitaal Vlaanderen aanbiedt (gebruikers- en toegangsbeheer, certificatenbeheer, PAM, etc.) – meer info via integraties@vlaanderen.be
•    De documentatie en regelgeving die voortkomt uit de Werkgroep Informatieveiligheid – meer info via https://vlaamseoverheid.sharepoint.com/sites/hfbp/SecurityOffice en via mail aan security@vlaanderen.be.
 

> terug naar overzicht

wie
Wie voert de ICT-veiligheidsaudit uit?

Audit Vlaanderen voert de ICT-veiligheidsaudits niet zelf uit. Voor het uitvoeren van deze audits neemt je lokaal bestuur af van een raamovereenkomst van Audit Vlaanderen. In deze overeenkomst zijn gespecialiseerde profielen opgenomen om deze audits uit te voeren. De prijzen per profiel liggen vast en ook de volgorde van de auditfirma’s bij wie besteld kan worden. 

Meer informatie over de raamovereenkomst vind je hier terug.

> terug naar overzicht

kostprijs
Hoeveel kost een ICT-veiligheidsaudit (basisaudit)?

Volgende prijzen zijn van toepassing op alle basisaudits die vanaf 1 februari 2022 besteld worden. De auditfirma's moet je in onderstaande volgorde contacteren:

Auditfirma (in cascade) Door je lokaal bestuur te betalen voor een basisaudit
1. Deloitte 1.905,65 euro
2. EY 1.668,77 euro
3. Grant Thornton 1.429,41 euro

> terug naar overzicht

bestelprocedure
Hoe maak ik gebruik van dit aanbod?

Eerst neem je contact op met de eerst gerangschikte auditfirma van de raamovereenkomst om de timing van de basisaudit (en optioneel eventuele aanvullende auditwerkzaamheden) te bespreken. De auditfirma kan je helpen met het omschrijven van je bestelling en inlichten over de voorwaarden van dit aanbod.

Om een concrete bestelling te kunnen plaatsen, maak je gebruik van de sjabloon bestelbrief (of je voegt deze standaardbestelbrief in bijlage toe aan je eigen bestelbrief).

Van zodra je de bevestiging ontvangen hebt van de cofinanciering, kan de auditfirma op de afgesproken timing de audit uitvoeren.

Relevante informatie:
  • Klik hier voor de contactgegevens van de auditfirma’s.
  • De documenten en sjablonen vind je hier terug.
  • Alle details m.b.t. de bestelprocedure vind je hier terug.

> terug naar overzicht

bestelprocedure
Waar moet ik op letten om de cofinanciering te verkrijgen ?

Bij de aanvraag :

  • alle relevante informatie op de bestelbrief vermelden
  • suggestie : gebruik steeds de sjabloonbestelbrief

Bij de uitvoering

  • de uitvoering van de bestelde ICT-veiligheidsaudit moet ten laatste in de loop van 2022 gebeuren om aanspraak te kunnen maken op de cofinanciering;
  • het volledige programma auditwerkzaamheden van de basisaudit tijdig laten uitvoeren;
  • de dag consultancy van de basisaudit tijdig inplannen en laten uitvoeren als sluitstuk van de basisaudit;
  • de auditwerkzaamheden van de aanvullende audit zoals besteld laten uitvoeren. Indien er nog bijgestuurd word in de auditwerkzaamheden rekening houden met het aantal bestelde auditdagen.

Bij de oplevering

  • de oplevering moet voor 31/12/2022 aan het lokaal bestuur en aan Audit Vlaanderen gebeurd zijn voor alle ICT-veiligheidsaudits
  • tijdig de oplevering van de auditwerkzaamheden aanvaarden en een PV van oplevering aan de auditfirma bezorgen;
  • de auditfirma moet de oplevering van de auditwerkzaamheden voor 31/12/2022 bij Audit Vlaanderen kunnen indienen zodat de cofinanciering kan uitbetaald worden.

> terug naar overzicht

kalender
Wanneer vraag ik deze audit best aan?

In principe is de nodige capaciteit beschikbaar bij de auditfirma’s om - indien tijdig besteld - bij elk lokaal bestuur deze ICT-veiligheidsaudit te kunnen uitvoeren vóór eind 2022.

Alle bestellingen moeten uiterlijk vóór 31 december 2022 ingediend, uitgevoerd én opgeleverd zijn om van de cofinanciering te kunnen genieten. Wees er dus tijdig bij!

Bestellingen voor aanvullende audits worden slechts aanvaard voor cofinanciering tot het budget uitgeput is.

> terug naar overzicht

voorbereiden
Hoe bereid ik de ICT-veiligheidsaudit voor?

De ICT-veiligheidsaudits vragen slechts een beperkte voorbereiding.

Voor de start van de audit neemt de auditfirma contact op met de ICT-verantwoordelijke die je lokaal bestuur aanduidde om de concrete details te bespreken. De auditfirma zal ook een link doorgeven naar de zelfevaluatievragenlijst en vragen om een beperkt aantal voorbereidende documenten door te sturen.

Daarnaast vul je een afsprakennota in die minstens door de algemeen directeur en de auditfirma ondertekend wordt. Deze bevat een beschrijving van de voorbereidende acties die nodig zijn voor het uitvoeren van de testen.

> terug naar overzicht

vervolgtraject
Vervolgtraject voor je lokaal bestuur?

Elk lokaal bestuur die van dit aanbod gebruikmaakt, engageert zich om met de verbeterpunten aan de slag te gaan en om over de voortgang te rapporteren, minstens via de verplichte rapportering over organisatiebeheersing. Inspiratie nodig voor de opmaak van deze rapportering? Klik hier.

> terug naar overzicht

samenvatting
Samenvatting van het aanbod
  • Om van de cofinanciering te kunnen genieten, bestelt het lokaal bestuur de ICT-veiligheidsaudit integraal op de raamovereenkomst van Audit Vlaanderen. 
  • Zolang de nodige cofinancieringsmiddelen beschikbaar zijn, kan elk lokaal bestuur onbeperkt aanvullende bestellingen plaatsen. De cofinanciering bedraagt maximaal 50% van de kostprijs. Op basis van de bestelbrief kan een aanvraag worden ingediend naar aanleiding waarvan wordt aangegeven of nog cofinancieringsmiddelen beschikbaar zijn.
  • Het lokaal bestuur bestelt steeds minstens de basisaudit. De inhoud van deze basisaudit is hetzelfde voor alle lokale besturen. Elk lokaal bestuur kan slechts eenmaal een basisaudit bestellen. De prijs voor de basisaudit bedraagt maximum 2.000 euro voor het lokaal bestuur. Twee derde van de reële kostprijs wordt aangeboden als cofinanciering.
  • De bestelling van de basisaudit en de eventuele aanvullende audit gebeurt via de bestelprocedure en ten laatste vóór 31 december 2022. De ICT-veiligheidsaudits moeten uitgevoerd en ook opgeleverd zijn vóór 31 december 2022 om van de cofinanciering gebruik te kunnen maken. Indien niet aan deze voorwaarde wordt voldaan, is het deel van de auditwerkzaamheden dat niet meer voor cofinanciering in aanmerking komt volledig ten laste van het lokaal bestuur.
  • Van elk lokaal bestuur wordt een engagement verwacht om te werken aan cyberveiligheid. Dit betekent dat het lokaal bestuur:
    • zelf de nodige stappen zet om de bestelling te plaatsen en ook een deel van de kostprijs draagt,
    • meewerkt aan de uitvoering van de audit,
    • een zelfevaluatievragenlijst invult,  
    • zich engageert om met de verbeterpunten aan de slag te gaan.

> terug naar overzicht