ICT-veiligheidsaudits

Cyberveilige gemeenten: een ICT-veiligheidsaudit voor elk lokaal bestuur

Je lokaal bestuur laten functioneren zonder ICT is stilaan ondenkbaar, maar ben je wel voldoende beschermd? Sinds de coronacrisis is die vraag nog relevanter geworden. Zou je graag laten testen of jouw bestuur voldoende gewapend is tegen hackers? Dat kan en hoeft niet duur te zijn!

Op deze pagina vind je de informatie terug over het huidige aanbod om een ICT-veiligheidsaudit te laten uitvoeren met cofinanciering van de Vlaamse overheid.

De praktische details (o.a. informatie over de bestelprocedure, de contactgegevens van de betrokken auditfirma’s, hoe je moet factureren, sjablonen…) zijn hier terug te vinden. Wil je onmiddellijk overgaan tot een bestelling – dan vind je de informatie die je daarvoor nodig hebt ook hier terug.

Dit aanbod kader in het programma Cyberveilige gemeenten. Meer informatie over alle projecten vind je hier.

Doelgroep
Wie kan een bestelling plaatsen?
basisaudit
Wat zit er allemaal in de basisaudit? 
aanvullende audit
Wat is mogelijk in de aanvullende audit? 
wie
Wie voert de ICT-veiligheidsaudit uit?
kostprijs
Hoeveel kost een ICT-veiligheidsaudit?
bestelprocedure
Hoe maak ik gebruik van dit aanbod?
kalender
Wanneer vraag ik deze audit best aan? 
voorbereiden
Hoe bereid ik de ICT-veiligheidsaudit voor?
vervolgtraject
Vervolgtraject voor je lokaal bestuur?
samenvatting
Samenvatting van het aanbod
hoe
Veelgestelde vragen
Doelgroep
Wie kan een bestelling plaatsen?

Elke gemeente en OCMW kunnen een gezamenlijke aanvraag doen voor een ICT-veiligheidsaudit.  

Ook als je eerder al een soortgelijke audit hebt laten uitvoeren, kan je van dit aanbod nog gebruikmaken, bijvoorbeeld om na te gaan of de geïmplementeerde beheersmaatregelen volstaan om de veiligheid van jouw ICT-omgeving te verhogen. Cyberveiligheid verdient namelijk continu de aandacht.

> terug naar overzicht

basisaudit
Wat zit er allemaal in de basisaudit?

De basisaudit probeert antwoord te geven op volgende vragen:

  • Kan iemand die aangesloten is op het netwerk van het bestuur te veel toegang krijgen, de werking belemmeren en/of schade berokkenen?
  • Kunnen via internet toegankelijke systemen van je bestuur beter worden beschermd?
  • Zijn de nodige regels ingesteld om de wachtwoorden en andere authenticatiegegevens voor het centrale gebruikersbeheer voldoende veilig te maken?
  • Kunnen de bedrijfscontinuïteitsplannen verbeterd worden?
  • Worden de ICT-risico’s voldoende opgevolgd?
  • Heeft je bestuur een kader om te werken aan organisatiebeheersing en is er een degelijke rapportering over de beheersing van de (ICT-)risico’s?

Een deel van deze basisaudit bestaat uit testen uitgevoerd door een gespecialiseerd auditteam (zie overzicht van auditfirma's betrokken bij deze audits). Daarnaast wordt aan de hand van een zelfevaluatievragenlijst nagegaan in welke mate jouw bestuur werkt aan de beheersing van diverse risico’s die relevant zijn voor een goede cyberveiligheid. De ICT-verantwoordelijke is hierbij de meest aangewezen persoon om deze zelfevaluatie in te vullen samen met de algemeen directeur (voor het luik rond organisatiebeheersing).

In het basispakket is ook een dag begeleiding voorzien om met de meest prioritaire verbeterpunten aan de slag te gaan.

De inhoud van de basisaudit is hetzelfde voor alle lokale besturen. De focus en aanpak van de testen zal worden bepaald in functie van de eigen ICT-omgeving en welke systemen voor je bestuur het meest relevant zijn. Voor meer details over de inhoud van de basisaudit – klik hier.

> terug naar overzicht

aanvullende audit
Wat is mogelijk in de aanvullende audit?

Naast de uitvoering van een basisaudit kan een aanvullende audit op maat worden besteld, maar dit is niet verplicht. Het lokale bestuur kan de bestelling van de aanvullende audit laten afhangen van de resultaten van de basisaudit.  Om van de cofinanciering te kunnen genieten, moet wel minstens de basisaudit worden uitgevoerd.

De geselecteerde auditfirma’s kunnen hun aanbod en eventuele vragen over de verbetering van de cyberveiligheid met je bespreken. 

> terug naar overzicht

wie
Wie voert de ICT-veiligheidsaudit uit?

Audit Vlaanderen voert de ICT-veiligheidsaudits niet zelf uit. Voor het uitvoeren van deze audits neemt je bestuur af van een raamovereenkomst van Audit Vlaanderen. In deze overeenkomst zijn gespecialiseerde profielen opgenomen om deze audits uit te voeren. De prijzen per profiel liggen vast en ook de volgorde van de auditfirma’s bij wie besteld kan worden. 

Meer informatie over de raamovereenkomst vind je hier terug.

> terug naar overzicht

kostprijs
Hoeveel kost een ICT-veiligheidsaudit?

Volgende prijzen zijn van toepassing op alle basisaudits die nu besteld worden. De auditfirma's moet je in onderstaande volgorde contacteren:

Auditfirma (in cascade) Door uw bestuur te betalen voor een basisaudit
1. Deloitte 1.817,02 euro
2. EY 1.591,15 euro
3. Grant Thornton 1.429,41 euro

> terug naar overzicht

bestelprocedure
Hoe maak ik gebruik van dit aanbod?

Eerst neem je contact op met de eerst gerangschikte auditfirma van de raamovereenkomst om de timing van de basisaudit (en optioneel eventuele aanvullende auditwerkzaamheden) te bespreken. De auditfirma kan je helpen met het omschrijven van je bestelling en inlichten over de voorwaarden van dit aanbod.

Om een concrete bestelling te kunnen plaatsen, maak je gebruik van de sjabloon bestelbrief die door ons is opgemaakt (of je voegt deze standaardbestelbrief in bijlage toe aan je eigen bestelbrief).

Van zodra je de bevestiging ontvangen hebt van de cofinanciering, kan de auditfirma op de afgesproken timing de audit uitvoeren.

  • Klik hier voor de contactgegevens van de auditfirma’s.
  • De sjabloondocumenten vind je hier terug.
  • Alle details m.b.t. de bestelprocedure vind je hier terug.

> terug naar overzicht

kalender
Wanneer vraag ik deze audit best aan?

In principe is de nodige capaciteit beschikbaar om bij elk bestuur deze ICT-veiligheidsaudit te kunnen uitvoeren vóór eind 2020.

Alle bestellingen moeten uiterlijk vóór 31 december 2021 ingediend zijn om van de cofinanciering te kunnen genieten. Opgelet: bestellingen voor aanvullende audits worden slechts aanvaard voor cofinanciering tot het budget uitgeput is.

Je kan deze audit ook combineren met een bezoek van een ethisch hacker van hogeschool HOWEST (bijvoorbeeld om de uitgevoerde acties te laten checken of voorafgaand aan de basisaudit waardoor andere testen van ICT-systemen mogelijk zijn). De aanvraag voor dit aanbod moet voor 31 augustus ingediend worden – voor uitvoering van de stageopdracht in het najaar - en is afhankelijk van de beschikbare plaatsen. Meer informatie hierover vind je terug via de pagina van ‘Cyberveilige gemeenten'.

> terug naar overzicht

voorbereiden
Hoe bereid ik de ICT-veiligheidsaudit voor?

De ICT-veiligheidsaudits vragen slechts een beperkte voorbereiding.

Voor de start van de audit neemt de auditfirma contact op met de ICT-verantwoordelijke die je bestuur aanduidde om de concrete details te bespreken. De auditfirma zal ook een link doorgeven naar de zelfevaluatievragenlijst en vragen om een beperkt aantal voorbereidende documenten door te sturen.

Daarnaast vul je een afsprakennota in die minstens door de algemeen directeur en de auditfirma ondertekend wordt. Daarin staat ook beschreven welke voorbereidende acties nodig zijn voor het uitvoeren van de testen.

> terug naar overzicht

vervolgtraject
Vervolgtraject voor je lokaal bestuur?

Elk lokaal bestuur die van dit aanbod gebruikmaakt, engageert zich om met de verbeterpunten aan de slag te gaan en om over de voortgang te rapporteren, minstens via de verplichte rapportering over organisatiebeheersing. Inspiratie nodig voor de opmaak van deze rapportering? Klik hier.

> terug naar overzicht

samenvatting
Samenvatting van het aanbod
  • Om van de cofinanciering te kunnen genieten, bestelt het lokaal bestuur de ICT-veiligheidsaudit integraal op de raamovereenkomst van Audit Vlaanderen. 
  • Elk lokaal bestuur kan slechts eenmaal een basisaudit bestellen. 
  • Het lokaal bestuur bestelt minstens de basisaudit. De inhoud van deze basisaudit is hetzelfde voor alle lokale besturen.
  • De prijs voor de basisaudit bedraagt maximum 2.000 euro voor het lokaal bestuur. Het bedrag voor de optionele aanvullende audit ligt niet vast. De cofinanciering bedraagt maximaal 50% van de kostprijs, op voorwaarde dat er nog voldoende budget is.
  • Het lokale bestuur kan, maar is niet verplicht om een aanvullende audit te bestellen. Het lokale bestuur kan de bestelling van de aanvullende audit laten afhangen van de resultaten van de basisaudit. 
  • De bestelling van de basisaudit en de eventuele aanvullende audit gebeurt via de bestellingsprocedure en ten laatste vóór 31 december 2021.  
  • Van elk bestuur wordt een engagement verwacht om te werken aan de cyberveiligheid. Dit betekent dat het bestuur:
    • zelf de nodige stappen zet om de bestelling te plaatsen en ook een deel van de kostprijs draagt,
    • meewerkt aan de uitvoering van de audit,
    • een zelfevaluatievragenlijst invult na gepaste voorbereiding en onderbouwing,  
    • zich engageert om met de verbeterpunten aan de slag te gaan en hierover te rapporteren minstens jaarlijks via de verplichte rapportering over organisatiebeheersing.

> terug naar overzicht