ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

Daarmee erkennen alle gemeenten het belang van informatieveiligheid en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als het gemeentelijk basisnormenkader voor informatieveiligheid. Gemeenten spraken in de resolutie af hun eigen toezichthouder, de gemeenteraad, in het jaarverslag te informeren over informatieveiligheid. Ook roepen zij op de verantwoordingslasten over informatieveiligheid te verminderen.

Die oproep was de aanleiding voor het project ENSIA, een initiatief van de VNG en de ministeries van BZK, I&W en SZW. ENSIA staat voor Eenduidige Normatiek Single Information Audit. Het heeft als doel een eenmalige informatieverstrekking en IT-audit te worden.

AuditConnect deed in het afgelopen jaar, het proefjaar van ENSIA, ruime ervaring op in het ondersteunen van de gemeenten bij de zelfevaluatie van de DigiD- en SUWInet-normen en het afgeven van de Assurance rapportage over de verklaring van het college van Burgemeester en Wethouders (B en W), alsook de onderliggende stukken.

Met deze ervaring staan wij ook voor het verantwoordingstraject over 2018 voor u klaar om deze ondersteuning te bieden en de benodigde Assurance rapportage op te stellen.

Wilt u ondersteuning voor ENSIA of informatie?

We komen graag met u in contact, bel 055-3010100 of mail info@auditconnect.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. AuditConnect helpt u met alle plezier verder!

Eenmalige verantwoording

Gemeenten spelen een belangrijke rol in het creëren van een betrouwbare overheid die zorgvuldig met informatie omgaat. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen.

Met het project ENSIA moet er een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gecreëerd worden. Daarbij ligt de focus op de horizontale verantwoording: binnen de gemeente, met een belangrijke rol voor de gemeenteraad.

Met ENSIA kunnen gemeenten in één keer verantwoording afleggen over informatieveiligheid gebaseerd op de BIG, dat aansluit op de planning en control-cyclus van de gemeente. Het gemeentebestuur krijgt zo meer overzicht over de informatieveiligheid van hun gemeente en kan beter sturen en verantwoording afleggen aan de gemeenteraad.

Ook structureert ENSIA de verticale verantwoording richting de Rijksoverheid in het kader van de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet).

Tijdpad ENSIA

Het tweede jaar van verantwoording met ENSIA is gestart op 1 juli jl., waarbij de zelfevaluatie voor 31 december 2018 moet zijn ingeleverd. In het voorjaar van 2019 vindt verantwoording aan de gemeenteraad en de verticale toezichthouders plaats. Dit betekent dat rapportages van toeleveranciers ruim voor deze tijd door de gemeente ontvangen en beoordeeld moeten zijn, specifiek in het kader van DigiD.

Ondersteuning van AuditConnect

AuditConnect is specialist op het gebied van informatiebeveiliging, privacy en auditing. Daardoor kan het bedrijf het gehele traject van de zelfevaluatie, het opstellen de collegeverklaring en het uitvoeren van de Assurance audit op de collegeverklaring begeleiden en uitvoeren.

AuditConnect hanteert in zijn aanpak de voorgestelde werkwijze van VNG. Deze werkwijze is te vinden op de site van VNG plan van aanpak ENSIA 2018.

Ondersteuning bij zelfevaluatie

ENSIA structureert de verticale verantwoording richting de rijksoverheid, over de BRP,PUN, DigiD, BAG, BGT, BRO en SUWInet. AuditConnect kan u ondersteunen bij de uitvoering van de zelfevaluatie voor deze verticale verantwoording.

Hierbij kan AuditConnect u helpen bij de aanpak van de zelfevaluatie, het identificeren van de bewijslast en adviseren, op basis van de analyse van de zelfevaluatie, en of er wel of niet aan de gestelde eisen wordt voldaan. Dit is tevens de input voor de evaluatietool die voor ENSIA wordt gebruikt.

Producten van deze dienst:

  • Rapportage van feitelijke bevindingen over de gewenste scope binnen de zelfevaluatietrajecten (BRP, PUN etc.). De scope wordt in overleg met de gemeente bepaald;
  • Advies over het wel of niet voldoen aan de criteria van de zelfevaluatie;
  • Dossieropbouw ter ondersteuning van de zelfevaluatie;
  • Opstellen van verbeterplannen, indien van toepassing, op de resultaten van DigiD en SUWInet.

Opstellen Collegeverklaring en ondersteunende rapportage

Onderdeel van de ENSIA is het opstellen van de collegeverklaring. Dat is voor de verticale verantwoording een verantwoordelijkheid van het College van Burgemeester en Wethouders. Hiervoor dient het voorgeschreven model te worden gebruikt, waarin het college zich verantwoordt over de informatieveiligheid van de gemeente ten aanzien van SUWInet en DigiD.

Daarnaast dient door het college de rapportages in het kader van de BAG, BGT en BRO te worden vastgesteld. Voor BRO geldt dat dit in 2018 een proefjaar is.

AuditConnect kan u ondersteunen in het opstellen van de rapportages ten behoeve van de BAG, BGT en BRO, die nodig zijn voor het college van B en W om vast te stellen of wordt voldaan aan het gewenste niveau van veiligheid op deze onderdelen van de BIG. AuditConnect kan het opleveren van rapportages over BAG, BGT en BRO verzorgen op basis van standaard rapportages.

Voor de ondersteuning bij het opstellen van de collegeverklaring is het noodzakelijk dat de zelfevaluaties zijn uitgevoerd, zodat de resultaten daarvan die door AuditConnect te samen met u in de collegeverklaring kunnen worden opgenomen.

Producten van deze dienst:

  • Opgestelde concept collegeverklaring, ten behoeve van de gemeenteraad;
  • Opgestelde conceptrapportages over BAG, BGT en BRO ten behoeve van de vaststelling door de het college van B en W.

Opstellen van de Assurance Rapportage

AuditConnect voert in het kader van de verantwoording over SUWInet en DigiD de uitvoering van de audit op de (concept)collegeverklaring en bijbehorende stukken uit. AuditConnect geeft daarbij een oordeel af over de getrouwheid van de collegeverklaring, wat wil zeggen de mate waarin deze overeenkomt met de werkelijkheid. De Assurance rapportage wordt opgesteld in lijn met de eisen van de NOREA inzake Assurance rapportages.

AuditConnect heeft zijn werkwijze vanuit zijn praktijkervaring met ENSIA 2017 aangescherpt, zodat de audit op de concept-collegeverklaring zo efficiënt mogelijk kan worden uitgevoerd.

AuditConnect vraagt u als onderdeel van zijn aanpak om het intakeformulier voor de audit ingevuld aan ons te retourneren, zodat wij beschikken over de noodzakelijke informatie om ons voor te kunnen op de uitvoering.

Uitgangspunten voor de uitvoering van de audit:

  • De Gemeente stelt haar ENSIA-coördinator aan als contactpersoon tussen Gemeente en AuditConnect;
  • U heeft voor de audit alle interne werkzaamheden voor de ENSIA-audit uitgevoerd en stelt de auditor de benodigde informatie en documentatie ter beschikking:
    • Een uitdraai van de door u ingevulde zelfevaluatie in de ENSIA tool;
    • De TPM(‘s) van uw leverancier(s), zoals die er zijn voor uw DigiD aansluiting;
    • Per aansluiting (zowel SUWInet als DigiD) een dossier waarin de beheersing van de opzet en het bestaan per te toetsen norm aantoonbaar wordt gemaakt;
    • De concept-Collegeverklaring;
    • Indien van toepassing het verbeterplan in het kader van SUWInet en DigiD;
  • De functionarissen die op de lijst met te interviewen personen dan wel een vervanger aanwezig zijn op minstens één van de onderzoeksdagen;
  • AuditConnect informeert over de datum waarop de stukken voor de collegevergadering van B en W dienen te worden ingediend, zodat wij de uitvoering en de oplevering van het rapport tijdig kunnen inplannen.

De uitvoering wordt in overleg op locatie uitgevoerd bij de Gemeente of het samenwerkingsverband, indien van toepassing.

Producten van deze dienst:

  • Assurancerapportage conform het format zoals beschikbaar gesteld door NOREA, de Nederlandse beroepsvereniging van IT auditors;
  • Waarmerking van de concept-collegeverklaring en onderliggende stukken door de RE verantwoordelijk voor de uitvoering van het onderzoek.

Wilt u ondersteuning rondom ENSIA of informatie?

Voor meer informatie en specifieke afstemming van onze diensten op uw situatie kunt u contact opnemen via 055-3010100 of mail info@auditconnect.nl AuditConnect helpen u graag verder!

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect