ENSIA Audit

Open onze factsheet over ENSIA als pdf.

ENSIA: één verantwoording over informatiebeveiliging

Gemeenten werken steeds meer digitaal en verwerken belangrijke gegevens waaronder ook vertrouwelijke persoonsgegevens van burgers. Onvoldoende beveiliging leidt tot incidenten die grote impact en politiek gevolgen kunnen hebben. Gezamenlijk hebben gemeenten in 2013 uitgesproken informatiebeveiliging te implementeren op basis van de BIG (Baseline informatiebeveiliging Gemeenten) en deze norm ook als eis te hanteren naar hun serviceproviders en toeleveranciers.

Naast dit streven dienen gemeenten zich jaarlijks, op basis van verschillende regelgeving, te verantwoorden over de status van hun beveiligingsmaatregelen rond de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).

Met de introductie van ENSIA (Eenduidige Normatiek Single Information Audit) is nu één verantwoording over informatieveiligheid geïmplementeerd die aansluit op de gemeentelijke planning- en control cyclus en de losse verantwoordingen zal vervangen.

ENSIA-verantwoordingsproces

Het ENSIA-verantwoordingsproces bestaat uit (zelf)evaluaties, (zelf)assessments en het opstellen van een collegeverklaring informatiebeveiliging. In deze collegeverklaring doet de gemeente zelf een uitspraak over de mate van in control zijn op de informatiebeveiligingsstandaarden. De gemeentebestuurder wordt de eigenaar van ‘informatieveiligheid’. Een gecertificeerde IT Auditor (RE) dient deze verklaring te toetsen. Deze ENSIA-audit resulteert in een Assurance rapport bij de collegeverklaring. Met de collegeverklaring en het Assurance rapport kan de gemeente zich via de ENSIA-tooling verantwoorden naar een groot aantal organisaties zoals Logius, BZK, RvIG, I&M, BKWI, SZW en het Kadaster.

Vragen en uitdagingen
Met de ENSIA-audit komen de verschillende verantwoordingen te vervallen. Dit kan leiden tot een aanzienlijke beperking van de auditinspanning. Er zijn of blijven wellicht ook vragen en uitdagingen:

  1. Hoe regel ik het auditproces efficiënt in?
  2. Wat moet er in een Collegeverklaring staan?
  3. Op welke wijze kan de ENSIA-coördinator het bewustzijn over informatieveiligheid op een voldoende niveau krijgen?
  4. Hoe kan de gemeente nog besparen op auditwerkzaamheden?
  5. Hoe kom en blijf ik in control op de ENSIA-normen?
  6. Welke stappen dien ik als gemeente te zetten om te komen tot een positieve collegeverklaring?
  7. Hoe bereid ik mij dit jaar en komende jaren voor op ENSIA?

     

ENSIA-dienstverlening

Het is ons gedachtegoed dat ENSIA niet op zichzelf staat. Voor een ‘secure’ gemeente is een bredere aanpak noodzakelijk. Binnen een dergelijke aanpak spelen ook zorgvuldig ingeregelde risico- en security management processen een rol. Ook dient er continu aandacht te zijn voor security awareness bij alle medewerkers. Bij een juiste implementatie van zo’n information security management systeem zal de gemeente in control komen en dan weinig moeite hebben om haar collegeverklaring op te stellen.

De dienstverlening vanuit Secura rond ENSIA is breed en compleet. Bij ons kunt u terecht voor onder andere adviesdiensten en het begeleiden van verbetertrajecten:

Uiteraard kunnen we u ook ondersteunen met audits, zoals:

Secura biedt hiermee complete dienstverlening rond ENSIA met adviesopdrachten en assurance (verwante) opdrachten. Voor de assurance opdrachten hebben wij een team gecertificeerde auditors bestaande uit RE’s en CISA’s.

Onze RE’s zijn actief betrokken bij de ontwikkeling van normenkaders, richtlijnen, handreikingen, standaarden en templates van de beroepsorganisatie NOREA. R.G.S. (Ruud) Kerssens RE RA CISA CRISC, Manager Service Line Advisory & Audit bij Secura is bij de NOREA aangemeld als beschikbaar voor de uitvoering van Privacy audit of adviesopdrachten. Ruud is bovendien aangesloten bij de Kennisgroep Privacy van de NOREA. Deze kennisgroep ontwikkelt publicaties en handreikingen ten behoeve van audit- en/of adviesopdrachten in verband met de bescherming en beveiliging van persoonsgegevens.

U krijgt ervaren auditors die van de hoed en de rand weten.

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa