Toelichting

Memorandum Cybersecurity en Informatiebeveiliging

Wanneer een organisatie bij TT3P een security audit heeft laten uitvoeren en TT3P heeft kunnen constateren dat er afdoende beheersmaatregelen voor informatiebeveiliging zijn geïmplementeerd, het informatiebeveiligingsbeleid afdoende is gedocumenteerd en TT3P heeft kunnen vaststellen dat de bewuste organisatie met regelmaat aantoonbaar de beheersmaatregelen toetst op hun werking, dan ontvangt deze van TT3P het Cybersecurity Certificaat.

Over de controle van de echtheid en geldigheid van het Cybersecurity Certificaat leest u verder op deze pagina.

Lees meer

Wat doet TT3P?

TT3P biedt onafhankelijke analyses op het gebied van cybersecurity en informatiebeveiliging, waarmee het risico op gijzeling van bedrijfsgegevens en het onrechtmatig toegang verkrijgen tot data door onbevoegde derden aanmerkelijk kan worden verkleind.

Onafhankelijk omdat TT3P direct in opdracht van de bewuste organisatie werkt en geen belang heeft bij het verkopen van aanpalende security diensten. Die diensten betrekt de opdrachtgever bij zijn eigen ICT leverancier.

Met het rapport van een audit van TT3P kan de opdrachtgever naar volgorde van prioriteit afgewogen beheersmaatregelen treffen, waarbij de investering en de verkleining van het beveiligingsrisico tegen elkaar opwegen.

Wat is een Cybersecurity Audit?

Een security audit is een grondig onderzoek door onze auditor bij een organisatie op locatie naar alle aspecten van cybersecurity en algemene informatiebeveiliging. Hierbij wordt niet alleen gekeken naar de technische beheersmaatregelen en effectiviteit daarvan, maar ook naar alle voorzieningen die zijn getroffen om ervoor te zorgen dat deze maatregelen blijven werken. We noemen dat de organisatorische maatregelen.

De security audit kenmerkt zich doordat er daadwerkelijk controle bij een organisatie intern wordt uitgevoerd op de werking en effectiviteit van de technische en organisatorische beheersmaatregelen. Uit de security audit volgt een uitgebreid auditrapport met omschrijving van de onderzoekswerkzaamheden, de uitkomsten daarvan, een praktische lijst met checks en aanbevelingen en gedetailleerde toelichtingen, waarmee een organisatie snel verbeteringen kan doorvoeren als dat van toepassing is.

Scope van de security audit

De volgende gebieden zijn direct onderwerp van de security audits die worden uitgevoerd door TT3P:

  • Management en AVG
  • Inventarisatie en beheer van hardware-middelen
  • Inventarisatie en beheer van software-middelen
  • Netwerkbeveiliging
  • Continu beheer van kwetsbaarheden
  • Rollen en rechten
  • Configuratie en wijzigingenbeheer
  • Softwareontwikkeling

De security audit is vormgegeven op basis van de Nederlandse norm voor Informatietechnologie, Beveiligingstechnieken en Managementsystemen voor informatiebeveiliging (NEN-EN- ISO/IEC/27001+A11:2020) en in lijn met overige basisprincipes voor algehele informatiebeveiliging.

 

Een organisatie die een audit heeft doorlopen met TT3P ontvangt altijd:

  • Een ICT-security auditrapport op maat voor intern gebruik binnen de organisatie met daarin een prioriteitenlijst met te implementeren of verbeteren beheersmaatregelen en een formeel audit rapport voor extern gebruik (om aan belanghebbenden (aandeelhouders, financiers, leveranciers, opdrachtgevers) te kunnen overleggen).
  • Een toelichtend adviesgesprek achteraf.
  • Indien gewenst hulp bij verbetering.
  • Doorlopend telefonische ondersteuning bij security noodgevallen.

Een organisatie die een audit heeft doorlopen met TT3P ontvangt alleen het Cybersecurity Certificaat indien:

  • Op de checks van de audit een score wordt behaald van minimaal 80% en er voldoende technische en organisatorische beheersmaatregelen zijn geïmplementeerd;
  • en er actueel, aantoonbaar en gedocumenteerd informatiebeveiligingsbeleid aanwezig is;
  • en de beschreven technische en organisatorische beheersmaatregelen regelmatig aantoonbaar op hun werking worden gecontroleerd.

Controle van het Cybersecurity Certificaat?

Het Cybersecurity Certificaat is tijdgebonden en wordt alleen uitgereikt indien wordt voldaan aan bovenstaande voorwaarden. Belanghebbenden dienen te controleren of het certificaat nog geldig is op basis van de afgiftedatum. Het certificaat is tot maximaal een jaar na afgifte geldig. Mocht een belanghebbende de echtheid willen verifieren dan kan zekerheid worden verkregen door contact op te nemen met onze organisatie. 

Let op: het Cybersecurity Certificaat van TT3P garandeert dat op het moment van onderzoek is voldaan aan bovenstaande voorwaarden. The Trusted Third Party (TT3P) B.V. biedt geen garantie tegen (cyber)security indidenten en datalekken bij de onderzochte organisatie.