UPDATE: Eenduidige Normatiek Single Information Audit (ENSIA)


Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel om de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control-cyclus. Zoals aangegeven in mijn eerdere blog over ENSIA, naar mijn mening een veelbelovende en uitdagende systematiek om de (forse) verantwoordingslast

bij gemeenten terug te dringen. Inmiddels is het 2017, het jaar waarin de landelijke uitrol van ENSIA gepland staat. Daarom een update van de stand van zaken: Waar komen we vandaan? Waar staan we nu? En waar gaan we naartoe?

Het startpunt

Als gemeente ben je verplicht jaarlijks audits uit te laten voeren. In de huidige situatie betekent dit dat je vanuit verschillende beleidsperspectieven verantwoording moet afleggen op het gebied van informatieveiligheid. De wijze van uitvraag en detaillering verschilt per audit, echter de onderwerpen overlappen elkaar deels. Dit neemt veel tijd in beslag. In november 2013, bij het aannemen van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ , hebben gemeenten daarom de wens uitgesproken dat de audit- en monitorlast op het gebied van informatieveiligheid moet worden beperkt. De VNG heeft het Ministerie van BZK gevraagd om te onderzoeken of dit mogelijk is. Naar aanleiding hiervan heeft BZK de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) gevraagd invulling te geven aan het project ENSIA. Sinds de beëindiging van de Taskforce BID in 2015 valt het project direct onder BZK.

ENSIA-pilot

De Taskforce BID heeft onderzoek verricht naar in hoeverre de BIG overlap heeft met de door beleidsdepartementen gevraagde verantwoording. Met als conclusie dat de BIG aantoonbaar overlap heeft. Aan de hand hiervan is een plan van aanpak uitgewerkt waarin het terugdringen van de audit- en verantwoordingsinspanningen centraal staat, bekend onder de werktitel; ENSIA . Uitgangspunt hierbij is het principe van Single Information Single Audit. Om te testen of de systematiek ook in de praktijk goed toepasbaar is, is er afgelopen jaar een pilot uitgezet onder zeven gemeenten. De pilot bestond uit het invullen van een op verantwoording gerichte vragenlijst aan de hand van tien thema’s uit de BIG én uit een gesprek om deze ingevulde vragenlijst te doorlopen. Op basis van de ervaringen van de pilot-gemeenten, is er eind 2016 een besluit genomen over het beschikbaar stellen van de vragenlijst en tool.

Waarborg de efficiëntie

De vragenlijst en (online) tool is een begin, maar alleen hiermee ben je er nog niet. Als je hier als gemeente ook echt efficiency uit wilt halen en de auditlast daadwerkelijk wilt verminderen, is het belangrijk om dit organisatorisch goed in te richten. Een ISMS- of GRC-tool kan hier hulp bij bieden. Meer weten over ISMS? Lees dan eens het ISMS-document van de IBD, met daarin onder andere aan welke eisen een ISMS-systeem moet voldoen, of lees de ervaringen van de gemeente Edam-Volendam, die aan de hand van ISMS informatiebeveiliging borgen in de organisatie. Dat een ISMS-systeem ook echt meerwaarde biedt voor gemeenten, heeft Aranea onlangs aangetoond op basis van een onderzoek. Interessant is de relatie/verhouding tussen de ENSIA tool en bestaande ISMS-GRC-tools. Tijdens de ISMS leveranciersbijeenkomst op 8 december is hier aandacht aan besteed.

Naast het aanschaffen van een ISMS-systeem, is het verstandig om binnen de gemeente iemand aan te stellen die het ENSIA-proces coördineert en bewaakt, dit kan bijvoorbeeld de CISO zijn. Ook dienen de portefeuillehouder informatieveiligheid en alle verantwoordelijken geïnformeerd en betrokken te worden. Benieuwd naar meer tips voor gemeenten ter voorbereiding op ENSIA? Neem dan zeker een kijkje op de pagina van de Digitale Overheid of lees de blog over ENSIA op WIIFM.

Waar gaan we naar toe?

Ondanks dat de systematiek nog in de kinderschoenen staat zijn er al organisaties die roepen ‘ENSIA’-proof te zijn. Opmerkelijk, aangezien de pilot net is afgerond. Tevens zullen zij nog iets langer moeten wachten voor ze kunnen testen of ze daadwerkelijk ‘ENSIA’-proof zijn, de uitroldatum is namelijk uitgesteld en zal dus niet op 1 april 2017 plaatsvinden. Daarnaast is me ook niet duidelijk wat er inhoudelijk met deze uitspraak wordt bedoeld.

Wat kunt u wel verwachten? Als gemeente ontvangt u in juli de uitnodiging om de zelfevaluatie Informatieveiligheid uit te voeren. Er zijn twee peildata voor het aanleveren van deze vragenlijsten. Zo dienen vóór 1 oktober 2017 de zelfevaluatie vragenlijsten BRP en PUN aangeleverd te worden, en op 31 december 2017 is de deadline voor de vragenlijst van BAG, BGT, DigiD en Suwi. Voor 2018 is het de ambitie om de peildatum voor alle informatiestelsels te stellen op 31 december. En dat is nog niet alles. Naast de zelfevaluatie vragenlijst moet er ook een Collegeverklaring Informatieveiligheid voor in het gemeentelijk jaarverslag en een assurance rapport IT-auditor (over een nog nader vast te stellen scope) worden aangeleverd. Inderdaad, sommige zaken zijn nog niet helemaal helder.

Wrap up

De voorwaarde die gemeenten hebben uitgesproken tijdens het aannemen van de Resolutie is dat de audit- en monitorlast wordt beperkt. Eindstand 2016 is dat in vergelijking met de huidige situatie, het aantal vragen over informatieveiligheid met 15% is gereduceerd. Kunnen we daarmee daadwerkelijk zeggen dat er voldoende antwoord is gegeven op de wens van gemeenten? Of laat het eigenlijk nog wat te wensen over?

Kortom; of er echt sprake is van integrale verantwoording is nog maar de vraag. Er zal allicht nog wat tijd overheen gaan voordat die wens vervuld is. Desalniettemin hebben we met ENSIA een belangrijke stap voorwaarts gezet en verzekert het een centrale positie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Wat denk jij van het project ENSIA? Hebben we belangrijke informatie gemist in deze update? Laat het ons weten!

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…