ENSIA 2019: Informatieveiligheid is nooit af

27 september 2019

Interim Professional, John van der Burg, heeft een update geschreven over het verantwoordingsjaar ENSIA 2019.

In een eerder bericht informeerde wij u over de doelstellingen en ontwikkelingen rondom ENSIA 2018. Inmiddels is het nieuwe verantwoordingsjaar ENSIA 2019 van start gegaan.

Vanwege de komst van de Baseline Informatiebeveiliging Overheid (BIO) als baseline over verantwoordingsjaar 2020, is door de Regiegroep ENSIA voor verantwoordingsjaar 2019 besloten tot beperkte aanpassingen in de verantwoordingsprocessen. Op basis hiervan wordt slechts een beperkt aantal wijzigingen doorgevoerd in de handreiking ENSIA van het NOREA. De formats Assurance-rapporten zijn inhoudelijk niet gewijzigd ten opzichte van voorgaand verantwoordingsjaar (2018=2019). ENSIA 2019 is een overgangsjaar naar de invoering van de BIO. Door middel van pilots in 2019 wordt de BIO vertaald naar richtlijnen en de handreiking ENSIA 2020.

Over het verantwoordingsjaar 2019 richt de IT-audit zich op de DigiD-normen en een selectie van Suwinet normen.

DigiD

De NOREA werkgroep DigiD assessments beveelt IT-auditors aan om bij de uitvoering van DigiD Assessments de maatregelen vanuit het “Addendum Handreiking bij DigiD-assessments 2.0” te onderkennen om zodoende de verantwoordelijke partij daar waar relevant te kunnen adviseren om deze maatregelen te treffen. Deze maatregelen zijn voor de DigiD Assessment 2019 nog niet verplicht, maar deze worden mogelijk wel onderdeel van het raamwerk voor 2020 en zijn gebaseerd op de laatste inzichten omtrent de kwetsbaarheden en technische beveiliging van websites. De handreiking DigiD-assessments en het addendum zijn terug te vinden op de website van het NOREA.

Suwinet

Bij uitbesteding door de gemeente aan een externe partij (samenwerkingsverband / externe leverancier / combinatie van beide) heeft het de voorkeur dat de externe partij een assurance-rapport (conform Richtlijn 3000 of ISAE 3402) verzorgt dat betrekking heeft op de in het kader van ENSIA gestelde normen. In het assurance-rapport wordt vervolgens een verwijzing opgenomen naar het assurance-rapport van de externe partij (carve out methode). Gemeenten dienen hiertoe tijdig afspraken te maken met de externe partij. Op de website van het NOREA komt binnenkort een “TEMPLATE NOREA Assurance-rapport uitbestede Suwi-taken” beschikbaar.

Gemeenten zijn ook in het geval van uitbesteding en / of samenwerking met andere organisaties verantwoordelijk voor alle van toepassing zijnde normen en dienen hier verantwoording over af te leggen in de ENSIA tool. Meer informatie omtrent uitbesteding door gemeenten is opgenomen in de handreiking ENSIA welke binnenkort verschijnt op de website van de Werkgroep NOREA.

Door niet alleen in één keer slim, maar ook in één keer goed verantwoording af te leggen, voorkomt u problemen en aanvullende werkdruk in het voorjaar van 2020. Wacht daarom niet tot eind december met het invullen van de ENSIA-tool, maar inventariseer nu alvast wat één en ander betekend voor uw organisatie. Ook voor ondersteuning bij uw verantwoordingproces en uw vragen over ENSIA kunt u terecht bij Vanberkel Professionals. John van der Burg is als IT-auditor betrokken bij de werkgroep ENSIA van het NOREA.

 

Delen