De centrale penetratietest wordt conform het Beleid voor penetratietesten éénmaal per jaar uitgevoerd.

Hieronder staan de processtappen genoemd rondom het uitvoeren van deze test.


Toelichting

  1. Start opstellen opdracht

Input

  • Bevindingen eerdere penetratietesten
  • Input vanuit het security officers overleg
  • Aanbieding externe specialist

Activiteit

De Beheerorganisatie stelt een opdracht voor het uitvoeren van een centrale penetratietest op. In deze opdracht neemt de BO de bevindingen mee van de afgelopen centrale penetratietest en mogelijke input vanuit het security officers overleg.

Het Secretariaat van de CvD krijgt een afschrift van de opdracht.

De Beheerorganisatie verstrekt de opdracht tot het uitvoeren van een penetratietest aan een onafhankelijke externe specialist (Opdrachtnemer).

Output

Opdracht voor de penetratietest en een opdrachtnemer penetratietest.

Wie?

  • Beheerorganisatie
  • Opdrachtnemer
2. Voorbereiden opdracht

Input

Opdracht

Activiteit

De opdrachtnemer zorgt dat de Deelnemer een getekende vrijwaringsverklaring overlegt en maakt afspraken over de start van de testen. Zonder deze vrijwaringsverklaring kan de test niet starten en stopt het proces uitvoeren van de penetratietest voor de betreffende Deelnemer.

Output

  • Getekende vrijwaringsverklaring
  • Planning

Wie?

  • Opdrachtnemer
  • Deelnemer
3. Uitvoeren opdracht

Input

Planning

Activiteit

De Opdrachtnemer voert de penetratietesten uit.

De resultaten worden aan de hand van de principes hoor en wederhoor teruggekoppeld aan de Deelnemer.

De Deelnemer krijgt hierbij de mogelijkheid om bevindingen toe te lichten en/of op te lossen.

De Opdrachtnemer Penetratietest rapporteert integraal over de uitgevoerde penetratietesten aan de beheerorganisatie.

Output

Integraal testrapport

Wie?

  • Opdrachtnemer
  • Deelnemer
  • Beheerorganisatie
4. Communiceren resultaten penetratietest

Input

Integraal testrapport

Activiteit

De Beheerorganisatie stelt het individuele rapport beschikbaar aan de Deelnemer en aan het Secretariaat van de CvD. De Beheerorganisatie en Deelnemer gebruikt het rapport als input voor een volgende penetratietest.

Output

Individueel testrapport

Wie?

  • Deelnemer
  • Beheerorganisatie
  • Secretariaat van de CvD