ICT-veiligheidsaudits - alle details

Op deze pagina vind je meer details over het aanbod van ICT-veiligheidsaudits. Voor meer algemene info over dit project, zie hier.
Klik hier om meteen de bestelprocedure op te starten.

basisaudit
Welke ICT-veiligheidsaudits kan ik bestellen?
bestelprocedure
Hoe bestel ik mijn ICT-veiligheidsaudit?
kostprijs
Hoe verloopt het facturatieproces?
contactgegevens
Contactgegevens van de auditfirma's
sjabloon
Documenten en sjablonen
hoe
Veelgestelde vragen (FAQ)
info
Algemene informatie
basisaudit
Welke ICT-veiligheidsaudits kan ik bestellen?

Het lokaal bestuur kan volgende ICT-veiligheidsaudits bestellen:

Basisaudit

De basisaudit omvat:

  • Interne intrusietesten van de active directory-omgeving en maximaal 3, in overleg te bepalen, systemen. Tijdens de interne netwerkintrusietesten worden de geselecteerde interne netwerken en systemen onderzocht op aanwezige kwetsbaarheden. Dit gebeurt aan de hand van technieken en tools voor netwerkmapping en kwetsbaarheidsanalyses.  
  • Externe intrusietesten van maximaal 5 extern bereikbare IP-adressen. Tijdens de externe netwerkintrusietesten worden de geselecteerde netwerken en systemen zonder enige voorkennis onderzocht op aanwezige kwetsbaarheden. Dit wordt uitgevoerd door middel van technieken en tools voor kwetsbaarheidsanalyses. 
  • Testen van het wachtwoordbeheer en het overkoepelend logisch toegangsbeheer (niveau active directory en maximaal 2 kritische applicaties). Hier wordt getest welke wachtwoordregels zijn ingesteld en welke accounts een wachtwoord hebben dat niet aan deze regels voldoet of eenvoudig kan worden achterhaald. Ook de actualiteit van de bestaande logische toegangen, die werknemers hebben op het overkoepelende niveau, worden nagekeken.    
  • Bespreking van de voornaamste werkpunten uit de eerste drie technische testen (gedurende 1 dag). Hierbij wordt samen met de IT-verantwoordelijke(n) van het bestuur bekeken welke aanpassingen eventueel wenselijk zijn, hoe dat concreet kan worden aangepakt en op welke manier de haalbaarheid van de mogelijke oplossingen kan worden verbeterd. 
  • Documentanalyse over de bedrijfscontinuïteitsplanning, ICT-risico’s en organisatiebeheersing.
  • Zelfevaluatie: naar analogie met andere zelfevaluatie-instrumenten die Audit Vlaanderen reeds beschikbaar stelt, zal via een zelfevaluatievragenlijst gepeild worden naar de mate waarin het bestuur werkt aan de beheersing van diverse risico’s die relevant zijn voor een goede cyberveiligheid.

Voor de basisaudit maakte Audit Vlaanderen afspraken met de auditfirma's over de minimale invulling en aanpak.

Aanvullende audit

Naast de uitvoering van een basisaudit kan een aanvullende audit worden besteld, maar dit is niet verplicht. Het lokale bestuur kan de bestelling van de aanvullende audit laten afhangen van de resultaten van de basisaudit.  

Een aanvullende en meer omvattende audit is maatwerk dat in onderling overleg tussen het lokale bestuur en de auditfirma wordt bepaald. Dit kan, bijvoorbeeld, betrekking hebben op het uitvoeren van een analyse van logbestanden of een audit op basis van de ISO27001-, ISO27002- en/of ISAE3000-raamwerken. Audit Vlaanderen kan hierbij adviseren.    

Bij het formuleren van aanbevelingen en het implementeren van oplossingen n.a.v. de audits wordt maximaal gebruikt gemaakt van de ICT-informatieveiligheidstools van Het Facilitair Bedrijf, en gealigneerd op kaders zoals het informatieclassificatiemodel van de Vlaamse overheid:

> terug naar overzicht

bestelprocedure
Hoe bestel ik mijn ICT-veiligheidsaudit?

Het aanbod om een ICT-veiligheidsaudit uit te voeren met cofinanciering geldt vanaf 1 mei 2020 tot en met 31 december 2021 waarbij de datum van bestelling en het resterende budget bepaalt of de cofinanciering kan toegepast worden.

Bestelprocedure (downloaden)

Deze procedure omschrijft hoe je een bestelling plaatst voor de basisaudit en de optionele aanvullende audit. Een lokaal bestuur moet minstens de basisaudit bestellen vooraleer het in aanmerking komt voor cofinanciering voor de (optionele) aanvullende audit.  

Opgelet: Deze procedure geldt enkel voor bestellingen die in aanmerking komen voor cofinanciering binnen het programma Cyberveilige gemeenten. Overige bestellingen die het lokaal bestuur plaatst bij de betrokken auditfirmas buiten dit project, moeten rechtstreeks met hen geregeld worden.

1) De bestelling voor een ICT-veiligheidsaudit met cofinanciering moet geplaatst worden op perceel 3 (operationele audits bij lokale besturen) van de raamovereenkomst 2019/HFB/OP/52630. Deze raamovereenkomst vind je terug onder de rubriek 'Documenten en sjablonen'.

2) De raamovereenkomst werkt met een cascadesysteem.
Dit betekent dat je eerst contact
 opneemt met de eerst geplaatste auditfirma. Indien je vaststelt dat het uitvoeren van de audit door de gecontacteerde auditfirma kan leiden tot (zelfs maar de schijn van) een belangenconflict of wanneer de gecontacteerde auditfirma de bestelling niet tijdig kan uitvoeren in de door het lokaal bestuur beoogde periode, neem je pas na bevestiging van deze vaststelling contact op met de volgende auditfirma in de cascade.

Volgende cascade is van toepassing:

  1. Deloitte
  2. EY
  3. Grant Thornton​​​

De contactgegevens van de auditfirma's vind je hier terug. De bestelbrieven per auditfirma vind je terug onder de rubriek 'Documenten en sjablonen'.

3) Samen met de auditfirma spreek je de inhoud van de ICT-veiligheidsaudit en de uitvoeringstermijn onderling af. De inhoud van de ICT-veiligheidsaudit omvat altijd de volledige basisaudit. Een optionele aanvullende audit kan je gelijktijdig bestellen of op een later tijdsstip. Indien je ervoor opteert om de aanvullende audit later te bestellen, dan moet minstens de basisaudit uitgevoerd zijn om in aanmerking te komen voor cofinanciering.  

Een bestelling bestaat dus uit: 

  • Basisaudit of 
  • Basisaudit + aanvullende audit of 
  • Aanvullende audit (nadat basisaudit uitgevoerd werd). 

4) De afgesproken bestelling en bijhorende uitvoeringstermijn vul je in op de bestelbrief. De sjabloonbrief met alle gegevens die je hierin moet opnemen, vind je per auditfirma terug in de rubriek 'Documenten en sjablonen'. 

5) De bestelbrief wordt na de interne goedkeuring binnen het lokaal bestuur, ondertekend en gedateerd door het lokaal bestuur.

6) Vervolgens wordt de ondertekende bestelbrief doorgestuurd naar Audit Vlaanderen (ICT-veiligheidsaudits@vlaanderen.be) en de betrokken auditfirma (in cc).

7) Audit Vlaanderen geeft zo snel mogelijk haar akkoord voor de cofinanciering aan het lokaal bestuur en aan de auditfirma. 
Voor de aanvullende audit kan de beslissing over de cofinanciering worden uitgesteld tot er meer duidelijkheid is over het daarvoor beschikbare budget (dat is ook de reden dat we aanraden de bestelling voor de aanvullende auditwerkzaamheden te plaatsen onder voorwaarde van het bekomen van cofinanciering (zie clausule in het sjabloon van de bestelbrief).

Bij eventuele vragen tijdens het plaatsen van een bestelling, richt je je in eerste instantie tot de auditfirma waar je de bestelling plaatst. Indien nodig kan de vraag ook worden besproken met Audit Vlaanderen. Hiervoor stuur je best een mail naar ict-veiligheidsaudits@vlaanderen.be..

> terug naar overzicht

kostprijs
Hoe verloopt het facturatieproces?

Gesplitste facturatie met volgende verdeelsleutel wordt toegepast: 

  • Voor de basisaudit neemt de Vlaamse overheid 2/3 van het bedrag voor zijn rekening 
  • Voor de aanvullende audit is dit 50% van het totaalbedrag min het bedrag van de basisaudit.  

Opgelet: op de bestelbrief vermeld je het totale bedrag van de bestelde auditwerkzaamheden (basisaudit en de optionele aanvullende audit). Voor de basisaudit is dit een vaste prijs en voor de aanvullende audit is dit afhankelijk van het aantal auditdagen dat je bestelt. De prijs hiervoor kan je zelf berekenen op basis van de prijzen per profiel

De Vlaamse overheid betaalt rechtstreeks de (deel)factuur aan de geselecteerde firma, nadat het bestuur de prestaties van de auditfirma goedgekeurde.  

Na afloop van de audit stuurt de auditfirma dus twee facturen: 

  • Het deel dat via cofinanciering betaald wordt, bezorgt de auditfirma rechtstreeks aan Audit Vlaanderen 
  • Het lokaal bestuur krijgt een factuur voor het resterende deel.  

> terug naar overzicht

contactgegevens
Contactgegevens van de auditfirma's

Raamovereenkomst 2019/HFB/OP/52630, perceel 3 Operationele audit bij de lokale besturen of in een interbestuurlijke context

Rangschikking Auditfirma en ondernemingsnummer Adres en algemeen telefoonnummer Contactpersoon
1 Deloitte Bedrijfsrevisoren 
Ondernemingsnummer: 0429 053 863

Luchthaven Brussel Nationaal 1 J 
1930 Zaventem 

Tel.: 02 800 24 00 

Jan Vanhaecht  
Tel.: 02 800 22 62 

Sara De Mulder  
Tel.: 0478 80 32 59 

E-mail: beauditvlcyber@deloitte.com

2 Ernst & Young Special Business Services CVBA 
Ondernemingsnummer0471 938 850

De Kleetlaan 2 
1831 Diegem 

Tel.: 02 774 91 32 

Yannick Scheelen  
Tel.: 0472 63 09 19 
E-mail : Yannick.scheelen@be.ey.com  

Andy Deprez  
Tel.: 0477 62 78 48 
E-mail : Andy.deprez@be.ey.com 

3

Grant Thornton Bedrijfsrevisoren CV
Ondernemingsnummer: 0439 814 826 

Potvlietlaan 6
2600 Antwerpen

Tel.: 03 235 66 66  

Michaël Eeckhaut
Tel.: 0475 78 00 89
E-mail: Michael.Eeckhaut@be.gt.com

Els Hostyn
Tel.: 0479 97 11 61
E-mail: Els.hosteyn@be.gt.com

 

> terug naar overzicht

sjabloon
Documenten en sjablonen
Raamovereenkomsten

Voor bestellingen tot en met 8 juni 2020 was perceel 3 (ICT-audits) van de raamovereenkomst Audit Vlaanderen 2015-02 ook nog van toepassing. Bestellen op deze raamovereenkomst is niet meer mogelijk. Voor informatie over deze raamovereenkomst: klik hier.

Sjablonen bestelbrieven per auditfirma

Raamovereenkomst 2019/HFB/OP/52630, perceel 3 Operationele audit bij de lokale besturen of in een interbestuurlijke context:

Overige documenten:

> terug naar overzicht

hoe
Veelgestelde vragen (FAQ)

Covid19 en dit aanbod – Kunnen we nu een ICT-veiligheidsaudit bestellen?
Een deel van het testwerk is onder alle omstandigheden mogelijk. De interne intrusietesten kunnen doorgaan zodra de IT-auditoren op een veilige manier toegang kunnen krijgen tot het netwerk van de gemeente. Wanneer u gepaste mogelijkheden hebt voor voldoende performante beveiligde toegang van op afstand, kan die mogelijkheid ook met het auditteam worden besproken.


Moet een lokaal bestuur eerst toetreden tot de raamovereenkomst via een gemeenteraadsbeslissing vooraleer het mag bestellen?
Neen dit is niet nodig. Elk lokaal bestuur kan direct gebruik maken van de raamovereenkomst van Audit Vlaanderen. 
Om een bestelling te plaatsen op deze raamovereenkomst, moet het lokaal bestuur een bestelbrief opmaken en dit intern laten goedkeuren conform de interne afspraken en delegaties voor het bestellen van diensten via een raamovereenkomst. Het lokaal bestuur gebruikt hiervoor best de sjabloon-bestelbrief voorzien door Audit Vlaanderen omdat hierin alle nodige informatie is opgenomen om gebruik te kunnen maken van de raamovereenkomst en om de cofinanciering aan te vragen. Als het lokaal bestuur een eigen bestelbrief gebruikt, kan de sjabloon-bestelbrief van Audit Vlaanderen als bijlage daaraan worden toegevoegd om te verzekeren dat geen relevante bepalingen over het hoofd worden gezien.


Kan een lokaal bestuur na de basisaudit nog een aanvullende audit bestellen?
Ja, dat kan. Je kan bijvoorbeeld eerst enkel een basisaudit bestellen en achteraf beslissen of je nog een aanvullende audit bijbestelt rekening houdend met de resultaten van de basisaudit.
Opgelet: voor de aanvullende audit is de cofinanciering afhankelijk van het nog resterend beschikbare budget. Als het resterend beschikbare budget ontoereikend of opgebruikt is, dan kan de cofinanciering minder dan 50% bedragen of kan het zelfs gebeuren dat geen cofinanciering mogelijk is. In de sjabloon-bestelbrief is een clausule opgenomen zodat het bestuur kan afzien van de bestelling van de aanvullende audit als de beoogde cofinanciering niet kan worden bekomen.


Wat is de capaciteit van de auditfirma om ICT-veiligheidsaudits uit te voeren? Hoeveel besturen kan een auditfirma op welke termijn bedienen?
De auditfirma’s hebben aangegeven de nodige capaciteit te kunnen vrijmaken om alle besturen die daar om vragen zelfs dit jaar nog te kunnen auditeren. Concrete beschikbaarheden en mogelijke timing bespreekt u best met de auditfirma’s. Zij kunnen antwoord geven op deze vragen. 


Zijn de 6 dagen van de basisaudit aaneensluitend?
Dit is niet verplicht en wordt best afgesproken met de auditfirma.


Mijn lokaal bestuur heeft eind 2019 al een externe audit laten uitvoeren op vlak van cyberveiligheid. Kan het lokaal bestuur dit bv. in tweede helft van 2021 inplannen?
Ja, dat kan. De cofinanciering voor de ICT-veiligheidsaudits is mogelijk tot 31.12.2021.
Voor de basisaudit blijft de cofinanciering zeker tot eind 2020 gegarandeerd. Voor de aanvullende audit is dit niet het geval.
De cofinanciering van de aanvullende audit is afhankelijk van het resterend beschikbare budget op het moment dat er besteld wordt. Afhankelijk van het aantal bestellingen, is het mogelijk dat er minder dan 50% of zelfs geen cofinanciering beschikbaar is omdat het beschikbare budget uitgeput is.
Wanneer een ICT-veiligheidsaudit besteld wordt bij een auditfirma, wordt in samenspraak met de auditfirma de termijn van uitvoering bepaald.


Is er een rapportageverplichting over de uitgevoerde ICT-veiligheidsaudit naar gemeenteraad?
De rapporteringslijnen voor auditrapporten van Audit Vlaanderen zijn niet van toepassing. Het lokaal bestuur kan zelf bepalen wie het auditrapport krijgt.


Is er nog verplichte opvolging van de ICT-veiligheidsaudit door Audit Vlaanderen?
Er is geen verplichte opvolging door Audit Vlaanderen maar is het wel de bedoeling dat de acties en mate van remediëring van de vastgestelde verbeterpunten door jouw lokaal bestuur zelf worden opgenomen in jullie verplichte rapportering over organisatiebeheersing. De rapportering over organisatiebeheersing kan door Audit Vlaanderen ingekeken worden.


In welke mate dekt de basisaudit het hoofdstuk ICT van het organisatiebeheerssysteem uit de leidraad organisatiebeheersing van Audit Vlaanderen?
Een ICT-veiligheidsaudit is geen evaluatie van het volledige thema ICT zoals opgenomen in het hoofdstuk ICT van de Leidraad Organisatiebeheersing.


Is de vermelde kostprijs voor de basisaudit voor het ICT-netwerk van een volledig bestuur of is dit per Active Directory domein?
De basisaudit richt zich op de ICT-omgeving van de kern van het bestuur. Qua specifieke focus is minimaal ruimte voor 3 systemen bij de interne testen en 5 IP-adressen bij de externe testen. De juiste scope in functie van de eigenheid van de ICT-omgeving van jouw bestuur wordt besproken in dialoog tussen het bestuur en de auditfirma.

> terug naar overzicht