BWBR0015040
Geldig vanaf 2003-05-21
Artikel 3
Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen
1. Het personeel dat door de organisatie als auditor wordt ingezet om een conformiteitsbeoordeling uit te voeren van een certificatiedienstverlener:
a. heeft een opleiding op minimaal HBO-niveau dan wel een daaraan gelijkwaardige aanmerkelijke ervaring en aanvullende beroepsopleiding en -training;
b. beschikt over een equivalent van ten minste vier jaar voltijds praktijkervaring met betrekking tot informatietechnologie, waarvan tenminste twee jaar in een functie met betrekking tot Public Key Infrastructure en informatiebeveiliging;
c. heeft voldoende begrip van de technische technische specificatie ETSI TS 101 456 of een daarmee gelijkwaardige technische specificatie;
d. heeft voldoende begrip van de concepten van managementsystemen in het algemeen;
e. heeft voldoende begrip van onderwerpen die zijn gerelateerd aan Public Key Infrastructure, management van informatiebeveiliging en organisatorische betrouwbaarheid;
f. heeft voldoende kennis van de principes en processen gerelateerd aan risicobeoordeling en risicomanagement;
g. heeft een training van ten minste 5 dagen afgerond over het beoordelen van managementsystemen en het management van beoordelingsprocessen;
h. beschikt over de volgende persoonlijke eigenschappen: integer, onbevooroordeeld, volwassen houding, onderscheidingsvermogen, analytisch, vasthoudend en realistisch;
i. kan complexe operaties in een breed perspectief plaatsen en de rol van individuele eenheden in grote organisaties begrijpen;
j. heeft kennis en eigenschappen om beoordelingsprocessen te managen;
k. zorgt ervoor dat de eigen kennis en vaardigheden op het gebied van Public Key Infrastructure, management van informatiebeveiliging en beoordeling van managementsystemen voortdurend op peil worden gehouden;
l. heeft voorafgaand aan zelfstandig optreden als auditor ervaring opgedaan in het hele proces van beoordeling van certificatiedienstverleners, welke ervaring is verkregen door onder supervisie van een ervaren auditor deel te nemen aan minimaal vier beoordelingen bestaande uit totaal ten minste 20 dagen, hierbij inbegrepen toetsing van documentatie, implementatiebeoordeling en opstelling beoordelingsrapport.
2. In aanvulling op de eisen, genoemd in het eerste lid, voldoet een auditor die als leider van een auditteam optreedt, aan de volgende eisen:
a. hij heeft opgetreden als een gekwalificeerd auditor in ten minste drie complete beoordelingen van certificatiedienstverleners;
b. hij beschikt over adequate kennis en eigenschappen om het beoordelingsproces te managen;
c. hij beschikt over de capaciteit om effectief te communiceren, zowel mondeling als schriftelijk.
3. Een beoordelingsteam als geheel voldoet aan de volgende eisen:
a. in elk van de volgende kennisgebieden is tenminste één auditor binnen het beoordelingsteam gekwalificeerd om de verantwoordelijkheid te dragen voor: 1°. de benodigde kennis van wetgeving en regelingen waaraan binnen het specifieke veld van certificatiedienstverlening en informatiebeveiliging moet zijn voldaan;
2°. de benodigde kennis van de laatste stand van de techniek betreffende Public Key Infrastructure;
3°. De benodigde kennis om een aan informatiebeveiliging gerelateerde risicobeoordeling uit te voeren om kwetsbaarheden te ontwaren bij de certificatiedienstverlener, het begrijpen van hun betekenis voor de dienstverlening en het verminderen en onder controle brengen van deze kwetsbaarheden, en
4°. de benodigde kennis van kwesties van organisatorische betrouwbaarheid.
1°. de benodigde kennis van wetgeving en regelingen waaraan binnen het specifieke veld van certificatiedienstverlening en informatiebeveiliging moet zijn voldaan;
2°. de benodigde kennis van de laatste stand van de techniek betreffende Public Key Infrastructure;
3°. De benodigde kennis om een aan informatiebeveiliging gerelateerde risicobeoordeling uit te voeren om kwetsbaarheden te ontwaren bij de certificatiedienstverlener, het begrijpen van hun betekenis voor de dienstverlening en het verminderen en onder controle brengen van deze kwetsbaarheden, en
4°. de benodigde kennis van kwesties van organisatorische betrouwbaarheid.
b. het beoordelingsteam is competent om indicaties van kwetsbaarheden in de certificatiedienstverlening terug te leiden naar de desbetreffende elementen van het managementsysteem van de certificatiedienstverlener opdat deze verbeterd kunnen worden.
4. Om er voor te zorgen dat het beoordelingsteam alle noodzakelijke expertise tot zijn beschikking heeft, mogen technisch deskundigen met specifieke kennis over de onderwerpen, genoemd in het derde lid, onder a, 1° tot en met 4°, worden ingeschakeld om het beoordelingsteam te assisteren, ook al voldoen zij niet aan alle criteria voor een individuele auditor.
5. De technisch deskundigen, bedoeld in het vierde lid, zijn te allen tijde verantwoording schuldig aan de leider van het auditteam en functioneren niet onafhankelijk van de auditors in het team die wel gekwalificeerd zijn als auditor.
a. heeft een opleiding op minimaal HBO-niveau dan wel een daaraan gelijkwaardige aanmerkelijke ervaring en aanvullende beroepsopleiding en -training;
b. beschikt over een equivalent van ten minste vier jaar voltijds praktijkervaring met betrekking tot informatietechnologie, waarvan tenminste twee jaar in een functie met betrekking tot Public Key Infrastructure en informatiebeveiliging;
c. heeft voldoende begrip van de technische technische specificatie ETSI TS 101 456 of een daarmee gelijkwaardige technische specificatie;
d. heeft voldoende begrip van de concepten van managementsystemen in het algemeen;
e. heeft voldoende begrip van onderwerpen die zijn gerelateerd aan Public Key Infrastructure, management van informatiebeveiliging en organisatorische betrouwbaarheid;
f. heeft voldoende kennis van de principes en processen gerelateerd aan risicobeoordeling en risicomanagement;
g. heeft een training van ten minste 5 dagen afgerond over het beoordelen van managementsystemen en het management van beoordelingsprocessen;
h. beschikt over de volgende persoonlijke eigenschappen: integer, onbevooroordeeld, volwassen houding, onderscheidingsvermogen, analytisch, vasthoudend en realistisch;
i. kan complexe operaties in een breed perspectief plaatsen en de rol van individuele eenheden in grote organisaties begrijpen;
j. heeft kennis en eigenschappen om beoordelingsprocessen te managen;
k. zorgt ervoor dat de eigen kennis en vaardigheden op het gebied van Public Key Infrastructure, management van informatiebeveiliging en beoordeling van managementsystemen voortdurend op peil worden gehouden;
l. heeft voorafgaand aan zelfstandig optreden als auditor ervaring opgedaan in het hele proces van beoordeling van certificatiedienstverleners, welke ervaring is verkregen door onder supervisie van een ervaren auditor deel te nemen aan minimaal vier beoordelingen bestaande uit totaal ten minste 20 dagen, hierbij inbegrepen toetsing van documentatie, implementatiebeoordeling en opstelling beoordelingsrapport.
2. In aanvulling op de eisen, genoemd in het eerste lid, voldoet een auditor die als leider van een auditteam optreedt, aan de volgende eisen:
a. hij heeft opgetreden als een gekwalificeerd auditor in ten minste drie complete beoordelingen van certificatiedienstverleners;
b. hij beschikt over adequate kennis en eigenschappen om het beoordelingsproces te managen;
c. hij beschikt over de capaciteit om effectief te communiceren, zowel mondeling als schriftelijk.
3. Een beoordelingsteam als geheel voldoet aan de volgende eisen:
a. in elk van de volgende kennisgebieden is tenminste één auditor binnen het beoordelingsteam gekwalificeerd om de verantwoordelijkheid te dragen voor: 1°. de benodigde kennis van wetgeving en regelingen waaraan binnen het specifieke veld van certificatiedienstverlening en informatiebeveiliging moet zijn voldaan;
2°. de benodigde kennis van de laatste stand van de techniek betreffende Public Key Infrastructure;
3°. De benodigde kennis om een aan informatiebeveiliging gerelateerde risicobeoordeling uit te voeren om kwetsbaarheden te ontwaren bij de certificatiedienstverlener, het begrijpen van hun betekenis voor de dienstverlening en het verminderen en onder controle brengen van deze kwetsbaarheden, en
4°. de benodigde kennis van kwesties van organisatorische betrouwbaarheid.
1°. de benodigde kennis van wetgeving en regelingen waaraan binnen het specifieke veld van certificatiedienstverlening en informatiebeveiliging moet zijn voldaan;
2°. de benodigde kennis van de laatste stand van de techniek betreffende Public Key Infrastructure;
3°. De benodigde kennis om een aan informatiebeveiliging gerelateerde risicobeoordeling uit te voeren om kwetsbaarheden te ontwaren bij de certificatiedienstverlener, het begrijpen van hun betekenis voor de dienstverlening en het verminderen en onder controle brengen van deze kwetsbaarheden, en
4°. de benodigde kennis van kwesties van organisatorische betrouwbaarheid.
b. het beoordelingsteam is competent om indicaties van kwetsbaarheden in de certificatiedienstverlening terug te leiden naar de desbetreffende elementen van het managementsysteem van de certificatiedienstverlener opdat deze verbeterd kunnen worden.
4. Om er voor te zorgen dat het beoordelingsteam alle noodzakelijke expertise tot zijn beschikking heeft, mogen technisch deskundigen met specifieke kennis over de onderwerpen, genoemd in het derde lid, onder a, 1° tot en met 4°, worden ingeschakeld om het beoordelingsteam te assisteren, ook al voldoen zij niet aan alle criteria voor een individuele auditor.
5. De technisch deskundigen, bedoeld in het vierde lid, zijn te allen tijde verantwoording schuldig aan de leider van het auditteam en functioneren niet onafhankelijk van de auditors in het team die wel gekwalificeerd zijn als auditor.