IT audits

ENSIA

ENSIA (Eenduidige Normatiek Single Information Audit) heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen.

Horizontale verantwoording

Met de resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente” van 2013 hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. Deze baseline is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. 2019 is het laatste jaar dat er verantwoording over de BIG wordt afgelegd. In 2020 zal dat gebeuren op basis van de Baseline Informatiebeveiliging Overheid (BIO). De horizontale verantwoording bestaat uit de zelfevaluatie, een IT-audit, een verklaring van het College van B&W en een passage over informatieveiligheid in het jaarverslag.

Verticale verantwoording

Over de BRP en Reisdocumenten, Suwinet, BAG, BGT, BRO en DigiD moeten gemeenten ook verantwoording afleggen. Dit noemen we de ‘verticale verantwoording’. De horizontale verantwoording richting gemeenteraad vormt hiervoor de basis. De normen van de BIG en de specifieke normen van de BRP, PUN, Suwinet, BAG, BGT, BRO en DigiD zijn opgenomen in de zelfevaluatievragenlijst. In deze vragenlijsten vindt u ook vragen over niet-informatieveiligheidsaspecten van genoemde stelsels, zodat u deze niet op een apart moment hoeft te beantwoorden.

Single Information Audit

Uitgangspunt van ENSIA is de single information audit. Dit betekent dat u maar één keer per jaar deze zelfevaluatielijsten hoeft in te vullen. De informatie wordt gebruikt voor de horizontale verantwoording richting gemeenteraad en de diverse verticale verantwoordingslijnen richting departementen.

Initiatief

ENSIA is een gezamenlijk project van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, de VNG, gemeenten, het ministerie van Sociale Zaken & Werkgelegenheid en het ministerie vanBinnenlandse Zaken en Koninkrijksrelaties (DGBRW).

Werkwijze 2020 en 2021

Met ENSIA krijgt het gemeentebestuur meer inzicht in de stand van zaken van de informatieveiligheid en kan beter sturen op informatieveiligheid. Het gemeentebestuur legt verantwoording over de informatieveiligheid af aan de gemeenteraad.

Departementen en toezichthouders maken voor dat deel waarvoor zij verantwoordelijk zijn, gebruik van de informatie die in het gemeentelijke verantwoordingsproces naar voren komt.

Per 1 juli 2020 start de nieuwe cyclus voor uitvoering van de zelfevaluatie informatiebeveiliging. De gemeente organiseert het ENSIA verantwoordingsproces. Elke gemeente heeft een aanspreekpunt voor het ENSIA proces. Deze ENSIA coördinator draagt zorg voor:

  • Invullen en aanleveren zelfevaluatie vragenlijst (juli - december 2020).
  • Genereren rapportage BRP en Reisdocumenten en uploaden via Kwaliteitsmonitor RvIG (uiterlijk 14-02-2021).
  • Opstellen en uploaden Collegeverklaring informatiebeveiliging en Assurance rapport (vóór 30-04-2021).
  • Opstellen en uploaden rapportage BAG, BGT en BRO (vóór 30-04-2021).
  • Het College van B&W legt verantwoording af over informatieveiligheid aan de gemeenteraad (vóór 15-07-2021).
  • De resultaten van de vragenlijst waarstaatjegemeente.nl worden per gemeente na 01-05-2021 automatisch gepubliceerd op de website.

Meer informatie over ENSIA?

Voor meer informatie over ENSIA of over de dienstverlening van de IT-audit Company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.