Cyber Response Team
ICT-veiligheidsaudits
ICT-veiligheidsaudit (via Audit Vlaanderen)
In het kader van het programma Cyberveilige Gemeenten stelde Audit Vlaanderen een pakket van een ICT-veiligheidsaudit samen om de belangrijkste potentiële kwetsbaarheden bij de lokale besturen te laten detecteren op het vlak van cyberveiligheid.
Het lokaal bestuur kan volgende ICT-veiligheidsaudits bestellen:
Een verplichte basisaudit. De basisaudit omvat o.a. interne intrusietesten, externe intrusietesten, testen van het wachtwoordbeheer en het overkoepelende logisch toegangsbeheer, bespreking van de voornaamste werkpunten, documentanalyse over bedrijfscontinuïteitsplanning, en een zelfevaluatie.
Een optionele aanvullende audit. De lokale besturen kunnen naar eigen keuze audit- (en begeleidings-)diensten die hun informatiebeveiliging kunnen helpen controleren, bewaken of verbeteren als aanvullende auditwerkzaamheden bestellen. Ook bestellingen voor hertoetsing komen hiervoor in aanmerking. Lokale besturen die nog geen basisaudit lieten uitvoeren, dienen wel steeds eerst een basisaudit te laten uitvoeren.
Meer informatie over de basis ICT-veiligheidsaudit kan u raadplegen op de website van Audit Vlaanderen via https://www.auditvlaanderen.be/lokale-besturen/cyberveilige-gemeenten/ict-veiligheidsaudits
Ethische hacking (via de Hogeschool West-Vlaanderen (HOWEST) in samenwerking met de VVSG)
Sinds het najaar 2020 kunnen lokale besturen beroep doen op hogeschoolstudenten om de testen op de IT-systemen en toepassingen van de lokale besturen uit te voeren op zoek naar zwakheden en verbeterpunten.
Dit gratis aanbod is geen vervanging voor een ICT-veiligheidsaudit maar biedt de mogelijkheid om uw organisatie voor te bereiden op de audit of om te laten opvolgen of de vastgestelde verbeterpunten wel effectief zijn opgelost. Er is geen verplichting om dit ethische hacking-aanbod te combineren met de ICT-veiligheidsaudit.
De raamovereenkomst zal blijven lopen in 2023. Conform onderstaande vereisten, voorziet Audit Vlaanderen een cofinanciering binnen de grenzen van het beschikbare krediet:
Voor een basisaudit wordt een cofinanciering van 2/3e van de kostprijs voorzien;
Voor een aanvullende audit wordt een cofinanciering van 1/2e van de kostprijs voorzien.
Meer informatie over het afnemen van ICT-veiligheidsaudits in 2023: https://www.vlaanderen.be/lokaal-bestuur/nieuwsberichten/de-vlaamse-overheid-biedt-in-2023-opnieuw-cofinanciering-van-ict-veiligheidsaudits-voor-lokale-besturen
Het periodiek herhalen van de testen in de basisaudit en de aanvullende audit wordt sterk aangeraden. In het kader van cofinanciering wordt dergelijke herhaling altijd beschouwd als een aanvullende audit en dus geldt er voor opnieuw uitgevoerde audits een cofinanciering van 1/2e van de kostprijs.
De voorwaarden voor het gebruik van de cascade staan beschreven in het bestek van de raamovereenkomst welke u kunt vinden middels deze link.
Elk lokaal bestuur kan bij de gunning van elke overheidsopdracht in het bestek voorwaarden bepalen. Dat kan gaan om het proactief bieden van bijkomende inzichten in de gehanteerde aanpak, zoals bv. via een ISO27001-, ISAE3402-, en/of andere certificatie. Eveneens kunnen clausules worden voorzien om periodiek verplichte audits te laten uitvoeren en om medewerking aan audits bij of door het lokaal bestuur te verplichten.
Audits die worden georganiseerd door een lokaal bestuur met het oog op het in kaart brengen en/of verbeteren van de informatieveiligheid kunnen veelal voor cofinanciering in aanmerking komen, ook wanneer daarbij gebruik wordt gemaakt van dergelijke auditclausules.
In het bestek van de raamovereenkomst is opgesomd welke partijen een ICT-veiligheidsaudit mogen afnemen via de raamovereenkomst. Indien uw organisatie daar niet in voorkomt, moet u zelf een beroep op de mededinging organiseren. Cofinanciering van de ICT-veiligheidsaudit wordt enkel voorzien voor bestellingen door gemeenten.
De huidige documentatie kan via het volgende kanaal worden geraadpleegd:
Dit is een document voor publiek gebruik.