RA-revisionsinstruks for offentlige myndigheder

Transkript

1 RA-revisionsinstruks for offentlige myndigheder Indledning RA skal i forlængelse af indgåelse af denne RA-aftale og én gang årligt til brug for Nets DanID s rapportering til Digitaliseringsstyrelsen levere en erklæring fra egen systemrevisor om, hvorvidt RA s forretningsgange og RA's samlede data-, system- og driftssikkerhed, for så vidt angår de systemer og lokationer, som anvendes i forbindelse med RA-funktionen, efter systemrevisors opfattelse må anses for betryggende. I nedenstående tabel fremgår de kontroller, som offentlige RA myndigheder skal have implementeret, samt de revisionshandlinger, Nets DanID A/S (Nets DanID) forventer bliver gennemført. Tabellen skal sammen med resultatet af revisionshandlingerne indgå i revisionserklæringen. Denne RA revisionsinstruks dækker RA-aftalen med tilhørende bilag, samt Aftale om (Databehandleraftalen) fra juni 2018 med tilhørende bilag. Revisionsperiode Erklæringsperioden løber fra 1. november til 31. oktober. Omfanget af arbejde Arbejdet skal udføres i overensstemmelse med ISAE 3000 type 2 (for eksterne revisorer). For erklæringer fra såvel interne som eksterne revisorer gælder, at disse skal afgives med høj grad af sikkerhed. RA skal medvirke til opfyldelse af revisionsmæssige krav og gennemførelse af revisionsmæssige handlinger vedrørende RA s forretningsgange og egne systemer, som indgår i eller føder data ind i Nets DanID s systemer til udstedelse af offentlige digitale signaturer og opbevaring af dokumentation herfor. RA skal loyalt samarbejde om implementering af ændringstiltag som følge af anmærkninger og anbefalinger fra egen, Nets DanID eller Nets DanID s systemrevisor. Ekstern SWAGN

2 Der udføres test af procedurer/forretningsgange både mht. design og implementeringsamt stikprøvevis test af kontrollernes funktionalitet dækkende hele erklæringsperioden. Såfremt en revisionshandling ikke kan gennemføres, skal der i kolonnen Resultat af revisionshandlinger begrundes, hvorfor revisionshandlingen ikke kan gennemføres. Testhandlinger De udførte testhandlinger bør omfatte en blanding af nedenstående testhandlinger. Det skal bemærkes, at test alene ved foresp ørgsel ikke er tilstrækkelig til at give den fornødne grad af sikkerhed for revisors konklusion. Inspektion Forespørgsler Observation Genudførelse af kontrollen Gennemlæsning af procedurer/forretningsgange og/eller opsætning af systemer. Dette omfatter bl.a. stillingtagen til, om specifikke procedurer/forretningsgange er designet, så de kan forventes at blive effektive, hvis de implementeres. På de tekniske platforme, databaser og netværkskomponenter kan det påses, at disse er opsat tilfredsstillende. Forespørgsel af passende personale. Forespørgsler omfatter, hvordan procedurer/forretningsgange er designet og implementeret. Observation af udførelse af procedurer/forretningsgange ved overvågning af faktisk udfør else. Er en af de handlinger, der er relevante, i relation til bekræftelse af at implementering har fundet sted. Gentagelse af den relevante procedure/forretningsgang og vurdering af, om resultatet er som forventet. Er en af de handlinger, der er relevante i relatio n til bekræftelse af at implementering har fundet sted. Reference I nedenstående tabel henvises til en række bilag, der er tilgængelig her: POCES certifikatpolitikken: RA-Universet: RA-portalen Ekstern SWAGN

3 Instruksen kan ikke betragtes som erstatning for de krav, som fremgår af certifikatpolitikken, eller forpligtelser i RA-aftalen om legitimering og registrering af brugere/borgere. 1 Politikker og procedurer/forretningsgange 1.1 Aftale om juni 2018, Bilag 1, bilag 1, pkt. f) Aftale om 3.2, 3.4 RA har implementeret et rammeværk for styring af informationssikkerheden, der efterlever principperne i eksempelvis ISO eller tilsvarende, og som omfatter den del af organisationen, som udfører RA-opgaven. RA har implementeret en procedure/forretningsgang med henblik på at sikre, at der er interne politikker og bestemmelser for sikkerhedsforanstaltninger, samt at der regelmæssigt foretages opfølgning på overholdelsen heraf. Inspicer dokumentation, der viser, at RA har implementeret et rammeværk for styring af informationssikkerheden, som omfatter den del af organisationen, som udfører RA-opgaven, der er i overensstemmelse med anerkendte standarder, eksempelvis ISO Dokumentation skal omfatte: informationssikkerhedspolitik og tilhørende medarbejderrettede politikker og procedurer, der også omfatter procedurer til at sikre tilstrækkelig databeskyttelse jf. Databehandleraftalen Et årshjul for arbejdet med informationssikkerhed Ledelsesgodkendt risikovurdering af informationssikkerheden hos RA, som omfatter RA-opgaven Beskrivelse af omfang for ledelsessystemet, som viser at dette dækker RA-opgaven. Ekstern SWAGN

4 Inspicer, at der er implementeret en procedure for udarbejdelse af en risikovurdering, der anvendes som grundlag for implementering af tekniske og organisatoriske sikringsforanstaltninger i forhold til RA-opgaven. Inspicer dokumentation, der viser, at der foretages periodisk opfølgning på overholdelse af politikker, procedurer/forretningsgange samt bestemmelser vedrørende sikkerhedsforanstaltninger i forhold til RA-opgaven. 1.2 Aftale og bilag POCES 6.1 RA skal sikre, at RA-aftalen og dens bilag overholdes samt de sikkerhedskrav, der er defineret i RA-aftalen for offentlige myndigheder. RA skal sikre at bestemmelserne for RA, som er fastlagt i Certifikatpolitik for OCESpersoncertifikater (POCES) vedrørende RAaktiviteter. POCES foreligger aktuelt i version 5. Inspicer dokumentation, der viser, at RA foretager periodisk kontrol af, om RA-aftalen og dens bilag overholdes. Inspicer dokumentation, der viser, at RA foretager periodisk kontrol af, om POCES vedrørende RA aktiviteter overholdes. 1.3 POCES Aftale om juni 2018, Bilag 1 RA skal sikre overensstemmelse med lovgivningen, herunder særligt GDPRforordningen. Observer, at RA har implementeret opdaterede og godkendte politikker og procedurer, der har til formål at sikre overholdelse af gældende relevant lovgivning i forhold til RA-opgaven. Ekstern SWAGN

5 2 Personalesikkerhed 2.1 POCES, Bilag 4 til RA-aftale, afsnit 3.2 RA skal kontrollere, at RA ens ledere og medarbejdere, der udfører betroede opgaver i eller for Nets DanID som CA, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv. Inspicer at der findes en proces eller procedurer, der sikrer at alle RA-medarbejdere skal fremvise en straffeattest, der viser de ikke er uegnet til at arbejde med RA-opgaven. Inspicer for et udvalgt antal RA-medarbejdere, at det er blevet påset, at de ikke er uegnet til at arbejde med RA-opgaven Ydermere skal der inspiceres at der er etableret en proces, der sikrer, at eksisterende RA-medarbejdere årligt indleverer en straffeattest, der viser de stadigvæk er egnet til at udføre RA-arbejde. 2.2 POCES, Bilag 2 til RA-aftale, afsnit RA-medarbejdere skal gennemføre en uddannelse, som sætter dem i stand til at udføre deres arbejde korrekt og sikkert. Inspicer dokumentation af udvalgte RAmedarbejdere, der har udstedt OCES-certifikater, at de har gennemført det uddannelsesprogram, som Nets DanID tilbyder, eller har modtaget tilsvarende niveau af uddannelse i udførelse af RA-opgaven. Dette kan for eksempel verificeres i form af uddannelsescertifikater/beviser for gennemført e- læring fra Nets DanID. 2.3 Aftale om Der er implementeret en procedure/forretningsgang hos RA med henblik på at sikre, at RA-medarbejdere til stadighed er bekendt med, og har tilstrækkelig uddannelse og instruktion i, Inspicer dokumentation, der viser, hvordan det sikres, at alle RA-medarbejdere til stadighed er bekendt med, og har tilstrækkelig uddannelse og Ekstern SWAGN

6 3.2 Konkretisering 2.4 Aftale om 3.1 Bilag 2, afsnit 4 3 Anmodning om certifikat 3.1 Bilag 3 til RA-aftale, offentlige myndigheder. I forhold til Kriminalforsorgen henvises der til afsnit for Kriminalforsorgens identifikationsprocedure. overholdelse af de aktuelt gældende interne politikker og bestemmelser. Der er implementeret en procedure/forretningsgang hos RA med henblik på at sikre, at RA-medarbejdere, som er autoriseret til at behandle persondata, er underlagt krav om tavshedspligt. RA-medarbejderen legitimerer ansøgeres identitet i henhold til gældende RA-aftale bilag 3 instruktion i, overholdelse af de aktuelt gældende interne politikker og bestemmelser. Eksempler omfatter: Gennemførte awareness kampagner On-boarding træning hvor sikkerhed indgår E-læringsprogrammer Inspicer proceduren/forretningsgangen i forbindelse med ansættelsesprocessen, og sikre, at denne omfatter krav til RA-medarbejdere om tavshedspligt i forhold til behandling af persondata og RAopgaven. Inspicer for et udvalg af RA- medarbejdere, at de har underskrevet en aftale om tavshedspligt/erklæring vedrørende behandling af persondata og udførelsen af RA-opgaven. Inspicer dokumentation, der viser, at RAmedarbejdere gennemfører uddannelse i, hvordan legitimering af ansøgers identiet kan og skal gennemføres. Forespørg udvalgte RA-medarbejder omkring kravene til legitimation af borgeres identitet, herunder, at RA-medarbejderne registrerer hvilke Ekstern SWAGN

7 typer af gyldig dokumentation, de har anvendt til at bevise deres identitet. 4 Udstedelse 4.1 Bilag 2 til RA-aftale, afsnit Spærring 5.1 Bilag 4 til RA-aftale, afsnit 3.1 RA skal inden udstedelse af NemID udlevere Regler for NemID til borgeren og opfordrer borgeren til at sætte sig ind i reglerne. RA skal straks spærre OCES-certifikatet, hvis RA bliver bekendt med, at borgeren ønsker at spærre sit OCEScertifikat eller afslutte brugen heraf der er vished eller mistanke om, at andre har fået eller kan have fået kendskab til borgerens private nøgle borgerens private nøgle er ødelagt der er konstateret unøjagtighed i OCEScertifikatets indhold eller anden information knyttet til borgeren borgeren ikke overholder Regler for NemID med offentlig digital signatur. Inspicer dokumentation, der viser at der findes en procedurer, der sikrer at RA-medarbejdere udleverer Regler for NemID. Forespørg et udvalgt antal RA-medarbejdere, hvordan Regler for NemID udleveres til borgere inden udstedelse af NemID. Inspicer dokumentation, der viser, at der er implementeret en procedure, der har til formål at sikre, at der sker betryggende spærring. Forespørg, om der har været hændelser, der har ført til, at der er sket straksspærring i erklæringsperioden. Såfremt der har været hændelser i erklæringsperioden, der har medført straksspærring, inspiceres dokumentation for et udvalg af sådanne hændelser, der viser, at straksspærring er sket uden unødig forsinkelse. Ekstern SWAGN

8 6 Behandling af personoplysninger 6.1 Aftale om 5 Aftale om 3.3 Der er implementeret en procedure/forretningsgang hos RA med henblik på at sikre, at personoplysninger, som vedrører RA-opgaven, behandles fortroligt og i overensstemmelse med Databehandleraftalens afsnit 5 Inspicer proceduren/forretningsgangen vedrørende behandling af personoplysninger med henblik på at vurdere, at der er taget stilling til, hvordan personoplysninger opbevares og behandles, således at disse holdes fortrolige. Inspicer dokumentation, der viser, at der er implementeret politikker eller forretningsgange, der har til formål at sikre mod, at vitterlighedsvidneerklæringer ikke deles med tredjeparter. 6.2 POCES Aftale om 5.1 RA skal sikre, at der ved behandling af personoplysninger er truffet foranstaltninger, der sikrer mod kompromittering af personoplysninger, og at disse ikke benyttes til formål, ud over hvad der er påkrævet for behandling i forhold til RA-opgaven. Inspicer dokumentation der viser i henhold til RAaftalen, at: Acceptabel brug af data og informationsaktiver er defineret Der er etableret klassifikation af (person)data og tilhørende regler for hvordan data må gemmes, behandles og transmitteres og deles. 6.3 Aftale om 2.1 Der er implementeret en procedure/forretningsgang hos RA med henblik på at sikre, at persondata alene anvendes i overensstemmelse med aftalen med Nets DanID, medmindre RA i henhold til lovgivningen kan pålægges at anvende persondata til øvrige formål. Inspicer proceduren/forretningsgangen vedrørende behandling af personoplysninger med henblik på at vurdere, om den sikrer, at persondata alene behandles og anvendes i overensstemmelse med aftalen med Nets DanID, medmindre myndigheden i henhold til lovgivningen kan pålægges at anvende persondata til øvrige formål. Ekstern SWAGN

9 6.4 POCES, RA sikrer, at statistiske oplysninger omkring anvendelsen af OCES-personcertifikater ikke kan henføres til det enkelte OCES-certifikat. Forespørg, om der foretages registrering af anmodning om OCES-personcertifikater ud over de registreringer, der foretages i de systemer, der anvendes til registrering af anmodning om OCEScertifikater. Såfremt der foretages sådanne registreringer, inspiceres et udvalg af sådanne registreringer med henblik på at konstatere, om det ikke er muligt at henføre sådanne registreringer til det enkelte OCEScertifikat. 6.5 Aftale om 3.2 Konkretisering RA har implementeret tekniske sikringsforanstaltninger og procedurer/forretningsgange med henblik på at lave sikker log-in på RAportalen med på de arbejdsstationer, der benyttes til at tilgå RA-portalen Inspicer dokumentation, omfattende konfigurationsindstillinger, der viser, at der er implementeret en automatisk blokering af brugeradgange ved gentagne fejlede logins på de arbejdsstationer der benyttes til adgang til RA-portalen Inspicer at der kun anvendes arbejdsstationer, der er godkendt af RA. Inspicer at RA-enheden har implementeret en procedure, som tilsikrer løbende gennemførelse af opdatering af pc-arbejdspladsens software, herunder at sikkerhedssoftware bliver opdateret løbende. Inspicer et udvalg af pc-arbejdspladser for om disse er opdateret i henhold til en dokumenteret procedure og med rimlighed kan konstateres at Ekstern SWAGN

10 være opdateret med relevante softwareopdateringer. Observer, at der er implementeret skærmlås, der automatisk slås til efter et givent antal minutter. 6.6 Aftale om 4.5 Kun relevant, hvis RA overfører data til lande uden for EØS. RA har implementeret en procedure/forretningsgang, der sikrer, at der ikke sker overførsel af Nets DanID s data til lande uden for EØS, uden at der forinden er indhentet skriftlig godkendelse hertil fra Nets DanID, og følgende betingelser er opfyldt: RA har tilvejebragt de fornødne garantier i relation til overførslen. Den registrerede har bevaret sine rettigheder, som kan håndhæves. RA overholder sine forpligtelser i relation til GDPR ved tilstrækkelig beskyttelse af de overførte data. RA overholder de instrukser, som er modtaget fra Nets DanID i relation til behandling af persondata. Inspicer dokumentation, der viser, at der er implementeret en procedure/forretningsgang, der har til formål at sikre, at der ikke sker overførsel af Nets DanID s data til lande uden for EØS, uden at der forinden er indhentet skriftlig godkendelse hertil fra Nets DanID. Inspicer dokumentation, der viser, at RA har indhentet skriftlig godkendelse fra Nets DanID ved overførsel af Nets DanID s data til lande uden for EØS. 7 Kontrol af adgang til systemer, data og netværk 7.1 POCES RA har implementeret processer for adgangskontrolstyring for adgang til RAportalen, herunder sikringsforanstaltninger og Inspicer dokumentation, der viser, at der er implementeret procedurer/forretningsgange, der sikrer, at de implementerede Ekstern SWAGN

11 Aftale om 5.4 Aftale om 3.2 Konkretisering Bilag 2 til RA-aftale, afsnit Aftale om 3.2 procedurer/forretningsgange med henblik på at sikre at begrænse adgang til personoplysninger til personer, som er beskæftiget med RAopgaver. RA har implementeret tekniske og organisatoriske sikringsforanstaltninger med henblik på at forhindre, at persondata: ved uheld eller skadeshensigt ødelægges, tabes eller ændres gøres tilgængelige uden godkendelse sikringsforanstaltninger sikrer mod, at kun medarbejdere, som er beskæftiget med RA-opgaver, har adgang til personoplysninger. Inspicer for et udvalg af RA-medarbejdere at: Der foreligger instruktion og godkendelse af medarbejdere der er blevet tildelt adgang til RA-portalen Der er findes processer eller instruktioner for ændring af RA-medarbejderes roller Nedlæggelse af RA-administrator, RAsuperbruger og RA-medarbejder adgange er styret Der foretages periodisk opfølgning med eksisterende RA-medarbejdere med henblik på at sikre at der stadigvæk er et arbejdsbetinget behov for adgang. Medarbejdere der har adgang til RAportalen har være igennem RA-træning inden de har fået adgang til RA-portalen. At alle RA-medarbejdere gennemfører den årlige RA-træning 7.2 Bilag 2 til RA-aftale, afsnit RA skal udnævne en eller flere administratorer med medarbejdercertifikat, der inden for RA s egen organisation giver adgang til de RAmedarbejdere med medarbejder-certifikater, der skal have mulighed for at logge på RAportalen og medvirke ved udstedelse af offentlig digital signatur. Inspicer dokumentation, der viser, at RA har udnævnt en eller flere administratorer med medarbejdercertifikat, der inden for RA s egen organisation giver adgang til de RA-medarbejdere med medarbejdercertifikater, der skal have mulighed for at logge på RA-portalen og medvirke ved udstedelse af offentlig digital signatur. Ekstern SWAGN

12 7.3 Aftale om 3.2 Konkretisering RA har tilrettelagt tekniske sikringsforanstaltninger og procedurer/forretningsgange med henblik på at sikre, at der opretholdes et sikkerhedsniveau tilsvarende intern adgang ved anvendelse af fjern- eller hjemmearbejdspladser i forbindelse med behandling af personoplysninger, som vedrører RA. Inspicer dokumentation, der viser, at RA benytter best practise VPN i forbindelse med fjernadgang til RA-portalen, der sikrer en tilstrækkelig beskyttelse mod autoriseret aflytning af data (beskyttelse af integritet og fortrolighed) i form af stærk kryptering. 7.4 Aftale om 3.2 Konkretisering RA anvender et sikret netværk til at koble op på RA-portalen. Inspicer dokumentation, der viser, at al kommunikation mellem RA og Nets DanID sker gennem det interne netværk der benyttes til at koble på RA-portalen, og dette er logisk adskilt fra alle andre netværk, herunder fra åbne netværk som borger/gæstenetværk), og det derfor ikke er muligt at tilgå tjenester på det interne netværk fra andre netværk, herunder borger/gæstenetværket. 8 Logning 8.1 POCES RA skal sikre, at alt arkivmateriale påføres tidsstempling på arkiveringstidspunktet og indføres i en log. Inspicer dokumentation, der viser, at der er implementeret en procedure vedrørende logning af arkivmateriale med arkiveringstidspunkt. Det vil i de fleste tilfælde omfatte vitterlighedsvidneerklæringer og fuldmagter, enten gemt i fysisk form eller fx gemt i elektroniske journaliseringssystemer (ESDH) Ekstern SWAGN

13 9 Backup og genskabelse 9.1 POCES RA har implementeret en procedure/forretningsgang med henblik på at sikre, at arkiveret information kan gøres tilgængelig i tilfælde af tvister, og at alt arkiveret materiale opbevares i mindst løbende kalenderår + fem år. Eneste dokumentation hvor dette er relevant omfatter fysiske vitterlighedsvidneerklæringer og fuldmagter i ikke-digital form eller hvis det registreres i deres elektroniske sagsstyringssystemer (ESDH) Inspicer dokumentation, der viser, at der er implementeret en procedure, der har til formål at sikre, at arkiveret information opbevares, er tilgængeligt og beskyttet mod uautoriseret adgang i mindst løbende kalenderår + fem år. Dette omfatter vitterlighedsvidneerklæring, fuldmagter og eventuelt anden relevant dokumentation. Eksempel hvis der foretages dokumentation i lokale sagsstyringssystemer (ESDH) omkring afviste udstedelser, spærring, vitterlighedsvidneerklæringer, fuldmagter, m.fl. 10 Fysisk sikkerhed 10.1 Aftale om 3.12 RA indhenter godkendelse fra Nets DanID, såfremt der skal foretages RA-arbejde udenfor RA-lokationen jf. Bilag 1 til Aftale om Databehandling. Konsulater og Ambassader har ikke adgang til RA-portalen, men modtager i stedet instruks om udlevering pr brev. Ved forespørgsel få bekræftet, at det er aftalt, hvordan der skal ske underretning til Nets DanID i tilfælde af, at lokationer udenfor kommunen skal udføre RA-opgaver. Inspicer dokumentation, der viser, at der er indhentet samtykke fra Nets DanID, såfremt der er sket ændringer i allerede godkendte udenlandske servicecentre (Konsulat/Ambassader), hvor der udleveres OCES-certifikater. Ekstern SWAGN

14 10.2 Bilag 4 til RA-aftale, afsnit Databrud 11.1 Aftale om 3.9 Bilag 4 til RA-aftale, afsnit 3.2 Nøglekort, midlertidigt adgangskodebreve og cd-rom til blindeløsningen skal opbevares sikkert i aflåst gemme indtil udlevering, så det ikke er muligt at kopiere eller stjæle materialet. RA har implementeret en procedure/forretningsgang med henblik på at sikre, at Nets DanID, med til nets-cert@nets.eu, underrettes uden unødig forsinkelse, om: anmodning om adgang til persondata fra myndigheder, medmindre dette er direkte tilladt i henhold til lovgivning mistanke eller konstatering af brud på persondatasikkerheden eller andre forhold, hvor RA ikke overholder sine forpligtelser i relation til tekniske og organisatoriske sikringsforanstaltninger enhver henvendelse om adgang til persondata fra enten den registrerede eller tredjepart. Foretag inspektion af lokationen med henblik på at konstatere, hvor nøglekort og midlertidige adgangskoder opbevares betryggende, således at uautoriseret adgang til lageret undgås, og at nøglekort samt midlertidige adgangskoder opbevares et sikkert sted, hvortil der er begrænset adgang. Inspicer proceduren/forretningsgangen vedrørende underretning til Nets DanID med henblik på at vurdere, om den sikrer, at der sker underretning i tilfælde af: anmodning om adgang til persondata fra myndigheder, medmindre dette er direkte tilladt i henhold til lovgivning mistanke eller konstatering af brud på persondatasikkerheden eller andre forhold, hvor RA ikke overholder sine forpligtelser i relation til tekniske og organisatoriske sikringsforanstaltninger enhver henvendelse om adgang til persondata fra enten den registrerede eller tredjepart. Forespørg, om der inden for erklæringsperioden har været hændelser, herunder forespørgsler, der har medført behov for at underrette Nets DanID. Inspicer et udvalg af hændelser, hvor der er sket underretning til Nets DanID med henblik på at Ekstern SWAGN

15 vurdere, om der er sket underretning uden unødig forsinkelse Aftale om 3.10 RA har implementeret procedurer/forretningsgange med henblik på at sikre, at RA umiddelbart kan assistere Nets DanID med håndtering af henvendelser fra de registrerede i forhold til RA-aftalen og i henhold til GDPR, herunder henvendelser om indsigtsret, berigtigelse, begrænsning og sletning, i det omfang Nets DanID ikke selv har mulighed for at imødekomme henvendelse. Inspicer dokumentation der viser at RA har en procedurer for at assistere Nets DanID i håndtering af henvendelser fra de registrerede, herunder henvendelser om indsigtsret, berigtigelse, begrænsning og sletning med henblik på at vurdere, om proceduren/forretningsgangen er fuldstændig. Forespørg, om der inden for erklæringsperioden har været henvendelser fra de registrerede, herunder henvendelser om indsigtsret, berigtigelse, begrænsning og sletning. Ekstern SWAGN