Beveiligingsnormen en ‑richtlijnen 2017

Klanten van UWV kunnen met DigiD inloggen in webapplicaties van UWV zoals de Werkmap en de Mijn UWV‑omgeving. Jaarlijks voert UWV voor de webapplicaties met een DigiD‑aansluiting beveiligingsassessments uit om te bepalen of ze voldoen aan de door Logius gestelde normen voor adequate beveiliging. Logius is de dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Vastgesteld is dat UWV over 2016 voor deze applicaties aan de gestelde normen voldoet. Voor het assessment over 2017 heeft Logius de normen aangescherpt.

Om nieuwe kwetsbaarheden te voorkomen, toetst UWV sinds 2015 webapplicaties aan de normen voor secure software development (SSD), een veiligheidsstandaard voor de overheid. Met SSD testen we de applicatie op beveiligingsaspecten voordat deze in productie gaat. Dit wordt ook wel aangeduid als ‘security bij design’.

Om niet‑werkende beheersingsmaatregelen snel te identificeren en corrigerende maatregelen te kunnen nemen, zijn we gestart met continuous auditing. Deze methode van voortdurende auditing, is gericht op het verkrijgen van het benodigde bewijs om vast te stellen of beheersingsmaatregelen, transacties en gebeurtenissen in overeenstemming zijn met afgesproken beleid, procedures en wet‑ en regelgeving. Hiervoor hebben we op Sharepoint een speciale omgeving gecreëerd. Door centraal te registeren is duidelijker wat verwacht wordt aan bewijslast, en dat maakt het mogelijk directer te sturen op de kwaliteit van de geleverde bewijslast.