ENSIA 2018: Informatieveiligheid is nooit af

31 oktober 2018

Informatie op een juiste wijze gebruiken en veiligstellen is van grote waarde voor iedere gemeente. Over het verslagjaar 2017 is voor het eerst gebruik gemaakt van één methodiek voor het toetsen van en verantwoorden over informatieveiligheid met behulp van ENSIA. De uitkomsten van de ENSIA zelfevaluaties zijn opgenomen in de gemeentelijke jaarverslagen, danwel separate rapportages aan de Raad (interne verantwoording). Daarnaast zijn de uitkomsten gebruikt voor de tweedelijns verantwoording aan de ministeries van de verschillende basisregistraties en applicaties zoals DigiD en Suwinet. Per 1 juli 2018 is het nieuwe verantwoordingsjaar met ENSIA van start gegaan.

In één keer slim verantwoording over het gebruik van zeven registratiesystemen

De verantwoordingsprocedure is gebundeld in één ENSIA proces. Voorheen waren er afzonderlijke verantwoordingsprocedures voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).

De zelfevaluatie met behulp van de ENSIA-tool moet vóór 31 december 2018 zijn ingeleverd. In het voorjaar van 2019 vindt verantwoording aan de gemeenteraad en de verticale toezichthouders plaats.

Structuur en inrichting ENSIA

undefined

Bron: https://www.vngrealisatie.nl/ensia

Aanpassingen ‘HANDREIKING ENSIA voor IT-auditors (RE’s) en nadere toelichting Carve-out en Inclusive benadering

Suwi-vragen

De aanpassing op de Suwi-vragen over 2018, betreft het onderkennen en herkennen van Suwi-taken en Suwi-voorzieningen. Dit onderscheid is noodzakelijk om de juiste normen in de juiste omgeving respectievelijk te verantwoorden en te toetsen. De handreiking wordt hierop aangevuld door vanuit een ondersteunende Excel toepassing aanvullende guidance te geven. Deze Excel toepassing wordt tevens door NOREA ter beschikking gesteld via: https://www.norea.nl/handreikingen

IT General Controls

Tenslotte is de handreiking verrijkt met gerichte aanwijzingen op de meting van effectiviteit van IT General controls.

DigiD: Carve-out methode

Hierbij ontvangt de houder (gemeente) een DigiD-assurance rapport van de externe partijen. De IT-auditor van de houder voert daarbij geen onderzoek uit naar de juistheid van de oordelen die zijn vermeld in de rapportage van de derde partijen en neemt ook geen verantwoordelijkheid voor de in die rapportage vermelde oordelen. De IT-auditor verwijst in zijn oordeel naar de assurance-rapporten van derde partijen voor de desbetreffende onderdelen. In de ENSIA-tool zijn specifieke faciliteiten opgenomen om de betreffende documenten op te nemen en aan de verticale toezichthouders ter beschikking te stellen.

Suwinet: Inclusive benadering

SZW verwacht van gemeenten dat zij ook in het geval van uitbesteding en / of samenwerking met andere organisaties de bestuurlijke verantwoordelijkheid blijven nemen en daarover verantwoording afleggen. Dit betekent dat de IT-auditor zich met betrekking tot Suwinet ook een oordeel moet vormen over de door de externe partijen uitgevoerde werkzaamheden en deze in zijn oordeelsvorming moet betrekken (‘inclusive benadering’).

Door niet alleen in één keer slim, maar ook in één keer goed verantwoording af te leggen, voorkomt u problemen en aanvullende werkdruk in het voorjaar van 2019. Wacht daarom niet tot eind december met het invullen van de ENSIA-tool, maar inventariseer nu alvast wat één en ander betekend voor uw organisatie. Ook voor ondersteuning bij uw verantwoordingproces en uw vragen over ENSIA kunt u terecht bij Vanberkel Professionals. John van der Burg is als IT-auditor betrokken bij de werkgroep ENSIA van het NOREA.

Delen