Informatiebeveiliging en certificering
Marktvoorzieningen vervullen in het DSGO een belangrijke rol waarin ze namens andere partijen in ecosysteem handelen. In het uitvoeren van deze rol verwerken ze o.a. data van derden. Daarom is het essentieel dat partijen in het ecosysteem kunnen vertrouwen op de informatiebeveiliging van marktvoorzieningen. Om dit vertrouwen te creëren, is het van belang om te valideren dat marktvoorzieningen de risico’s van informatiebeveiliging minimaliseren. In het DSGO wordt dit gevalideerd door een ISO 27001 certificering inclusief het normenkader DSGO.
Bij het toetreding van een marktvoorziening wordt gevalideerd of een marktvoorziening ISO 27001 gecertificeerd is door een onafhankelijke en daartoe geaccrediteerde partij, inclusief het DSGO normenkader. Voor meer informatie zie Rol-gerelateerde validatie marktvoorzieningen.
ISO 27001
ISO 27001 is een internationaal erkend en veel gebruikte norm op het gebied van informatiebeveiliging. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. De ISO 27001 certificering (met inbegrip van het DSGO normenkader) moet uitgevoerd worden door een hiertoe geaccrediteerde auditor.
Marktvoorzieningen MOETEN een geldige ISO 27001 certificering hebben
Normenkader DSGO
Het normenkader DSGO voegt inhoudelijke normen toe aan de algemeen geformuleerde normen uit de ISO 27001 certificering. Het normenkader DSGO bestaat uit twee delen: een gemeenschappelijk normenkader die voor alle marktvoorzieningen van toepassing is, en een rol-gerelateerd normenkader welke verschillende betrouwbaarheidsniveaus kent welke verschillen per rol.
Marktvoorzieningen MOETEN in haar ISO 27001 certificering het normenkader DSGO meenemen
Marktvoorzieningen MOETEN voldoen aan het gemeenschappelijke normenkader
Het normenkader DSGO is te downloaden via deze link.
Leeswijzer normenkader
Het normenkader DSGO bevat vijf tabbladen:
De introductie bevat informatie hoe een partij het normenkader dient te lezen en hoe deze in te vullen. Ook wordt het normenkader in context geplaatst.
Het gemeenschappelijk normenkader geldt voor alle marktvoorzieningen. Marktvoorzieningen dienen aan alle normen te voldoen.
Drie rol-gerelateerde normenkaders: hier kunnen verschillende normen voor verschillende rollen gelden. Partijen hoeven enkel het normenkader voor de rol waarin ze toetreden te voldoen.
Merk op dat voor de authenticatiedienst verschillende betrouwbaarheidsniveaus erkent worden: eH2+, eH3 en eH4. De eisen van deze normen zijn ‘gestapeld’. Dat betekent dat eisen op een lager betrouwbaarheidsniveau van toepassing zijn op hogere betrouwbaarheidsniveaus tenzij anders is aangegeven. (toekomstige) authenticatiediensten dienen aan alle eisen die van toepassing zijn te voldoen om een betrouwbaarheidsniveau te realiseren.