MMOS-30 + -37 SecMgmt correctie op Auditrapport-attachment

Samenvatting

Waarom is deze RFC nodig?	Door een auditor erop gewezen dat er een paar schoonheidsfoutjes in de auditraport template excel staat bij versie 2.0 van afsprakenstelsel. En corrigeren van incorrecte links op pagina Beheersmaatregelen A.18.2.3
Oplossingsrichting	Vervangen auditrapport door aangepaste versie
RACI	Responsible: Accountable: $RFC_RACI_Accountable Consulted Ontwikkelteam (ontwikkeling@medmij.nl) Security Management (secmgt@medmij.nl) ~~Acceptatie (acceptatie@medmij.nl)~~ ~~Stelselregie~~ ~~Deelnemers (Expertgroepsessie)~~ Informed ~~Communicatie~~ ~~Loket (info@medmij.nl)~~ ~~Leveranciersmanagement~~
Aanpassing van	Pagina: Normenkader informatiebeveiliging A.18.2.3 https://vzvz.atlassian.net/l/cp/CpiTSCmF en https://vzvz.atlassian.net/l/cp/RTrM1PPM
Impact op rollen	n/a
Impact op beheer	n/a
Impact op RnA	n/a
Impact op Acceptatie	n/a
PIA noodzakelijk	n/a
Gerelateerd aan (Andere RFCs, PIM issues)	MMOS-30 MMOS-37
Implementatietermijn	eerste Patch optie
Motivatie verkorte RFC procedure (patch)	Correctie op V2.0.0 publicatie, geen inhoudelijke aanpassing

Uitwerking
Versie 2.0.0

Impact => PATCH

Huidige

Aanpassingen

Pagina: Normenkader informatiebeveiliging

2de paragraaf:

De deelnemer toont jaarlijks met een Aanvullende auditverklaring en onderbouwende rapportage (download) aan te voldoen aan het normenkader MedMij.

(download) File attachment onder download vervangen door XLS (zie ticket MMOS-30.

Pagina: Aanvullende auditverklaring en onderbouwende rapportage

Kader= > Down-load

Zie Aanvullende_auditverklaring_en_onderbouwende_rapportage_20221904.docx voor de Word-versie van de Aanvullende auditverklaring en onderbouwende rapportage.

Aanvullende_auditverklaring_en_onderbouwende_rapportage_20221904.docx vervangen door XLS (zie ticket MMOS-30)

Pagina: A.18.2.3 Beoordeling van technische naleving

De volgende specifieke MedMij eisen moeten ook aantoonbaar getoetst zijn in de pentest rapportage;

Voor alle deelnemers:
- DNSSEC zie core.dns.300 en core.dns.301
- TLS zie verantwoordelijkheid core.tls.301 in combinatie met core.tls.302 en core.tls.304
- NCSC webapplicatie richtlijnen U/PW.02, U/PW.03, U/WA.03, U/WA.04 NB deze zijn voor DigiD assessments al verplicht. Zie NOREA Handreiking DigiD assessments

In geval van een Authorization server:
- De uniciteit van de uitgegeven Authorization codes, Access tokens en Refresh tokens door middel van een code review, zie core.autorisatie.208

links aanpassen in MMOntwikkeling 2.0.0

core.dns.300 => Verantwoordelijkheden, Core#core.dns.300
core.dns.301 => Verantwoordelijkheden, Core#core.dns.301
core.tls.301 => Verantwoordelijkheden, Core#core.tls.301
core.tls.304 => Verantwoordelijkheden, Core#core.tls.304
core.autorisatie.208 => Verantwoordelijkheden, Core#core.autorisatie.208

Versie 1.6.0

Pagina: Aanvullende auditverklaring en onderbouwende rapportage

Kader= > Down-load

Zie Aanvullende_auditverklaring_en_onderbouwende_rapportage_20221904.docx voor de Word-versie van de Aanvullende auditverklaring en onderbouwende rapportage.

vervangen door XLS (Pagina: Normenkader informatiebeveiliging) (dit is de zelfde XML file (versie 1.6.0!)

Optioneel: Impact op foutafhandeling (zie https://confluence.vzvz.nl/display/MMAS/Foutmeldingen+MedMij )

Principe's

Principe		Principe
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal		11 Stelselfuncties worden vanaf de start ingevuld
2 Dienstverleners zijn transparant over de gegevensdiensten		12 Het afsprakenstelsel is een groeimodel
3 Dienstverleners concurreren op de functionaliteiten		13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
4 Dienstverleners zijn aanspreekbaar door de gebruiker		14 Uitwisseling is een keuze
5 De persoon wisselt gegevens uit met de zorgaanbieder		15 Het MedMij-netwerk is gebruiksrechten-neutraal
6 MedMij spreekt alleen af wat nodig is		16 De burger regisseert zijn gezondheidsinformatie als uitgever
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener		17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
9 De dienstverleners zijn deelnemers van het afsprakenstelsel		18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling		19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
Toelichting

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging	Kans	Impact	DreigingsID (intern)	Maatregelen

Bijlagen

File	Modified

Goedkeuring

Beoordelaar	Datum	Toelichting	Beoordelaar	Datum	Toelichting
Productmanager Stichting MedMij			Productmanager Beheerorganisatie
Leadarchitect Stichting MedMij			Leadarchitect Beheerorganisatie
Ontwerpteam
Deelnemersraad			Eigenaarsraad