Realisatie. Format ENSIA. Plan van Aanpak Versie 2.0

Transcriptie

1 Realisatie Format ENSIA Plan van Aanpak 2019 Versie 2.0

2 Versiebeheer Versie Wijzigingen Datum 1 Eerste versie Juni Bijlage opgenomen met rollen en omschrijving interne stakeholders Tekstuele aanpassing doorgevoerd op procesbeschrijving BRP en reisdocumenten (pagina 6) September 2019 Colofon Format Plan van Aanpak 2019 Versie 2.0 Vereniging van Nederlandse Gemeenten, Den Haag, september VNG Realisatie

3 Inhoudsopgave ENSIA... 1 Colofon... 2 Inhoudsopgave... 3 Gebruik van het format... 4 Inleiding en achtergrond... 5 Waarom?... 5 Wat is ENSIA?... 5 Tijdpad ENSIA... 5 Wijzigingen ENSIA Definitie... 7 Doelstellingen... 7 Uitgangspunten... 7 Aanpak en methodiek... 7 Resultaat... 7 Wat doet de verantwoording met ENSIA niet?... 8 Relaties met andere projecten en activiteiten... 8 Activiteiten en planning... 9 Planning/fasering Samenstelling opdrachtgevers-overleg Samenstelling werkgroep Overlegstructuur Stakeholders Interne stakeholders Samenwerkingsverbanden Externe stakeholders Begroting Bijlage Rol- en taakbeschrijving interne stakeholders VNG Realisatie 3

4 Gebruik van het format Dit format Plan van Aanpak ENSIA 2019 is gemaakt om ENSIA-coördinatoren te ondersteunen bij het organiseren van de verantwoording over informatieveiligheid. In het format is uitgegaan van de specifieke kenmerken van het invoeringsjaar Het gebruik van dit format is naar eigen inzicht toe te passen. Dit plan van aanpak helpt u om de benodigde activiteiten te omschrijven om de ENSIA verantwoording uit te voeren. Het plan heeft tot doel om uitvoering van ENSIA in goede banen te leiden en de rollen en taken te organiseren. In dit plan komen de volgende voor de uitvoering relevante onderwerpen aan bod: beschrijving ENSIA 2019 en resultaten, activiteiten, planning, communicatie, organisatiestructuur en begroting. In het format zijn basisteksten, suggesties en vragen opgenomen die helpen om de aanpak te formuleren die het beste past bij uw gemeente. De organisatie van de verantwoording raakt verschillende afdelingen van de gemeente en vraagt de inzet van mensen op operationeel, tactisch en strategisch niveau. Om draagvlak te creëren voor de aanpak, goedkeuring te krijgen voor inzet van mensen en eventueel middelen, raadt VNG Realisatie aan om het plan van aanpak te laten accorderen door het managementteam van uw gemeente. Toelichting op het gebruik van verschillende lettertypes: Cursieve tekst betreft een toelichting op het in de paragraaf beschreven onderwerp. Standaard geschreven teksten zijn teksten die u kunt overnemen in uw eigen plan van aanpak. [Geel gearceerd] zijn teksten waar de eigen gemeentenaam of naam van de medewerker kan worden ingevuld. 4 VNG Realisatie

5 Inleiding en achtergrond Waarom? Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met informatie omgaat. Gemeenten spelen hierin een belangrijke rol. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoeringsen dienstverleningsprocessen. Ga in deze paragraaf in op andere onderwerpen die rondom informatiebeveiliging spelen in uw gemeente. Geef ook de context weer en de raakvlakken met andere (reeds gerealiseerde) thema s en projecten zoals de resultaten van de zelfevaluatie 2018 en de afspraken voor doorontwikkeling die gemaakt zijn. Wat is ENSIA? Tijdens de Buitengewone Algemene Ledenvergadering van de VNG van november 2013 is de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen. Met het aannemen van de resolutie erkennen alle gemeenten het belang van informatieveiligheid en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als het gemeentelijk basisnormenkader voor informatieveiligheid. In de resolutie hebben gemeenten afgesproken hun eigen toezichthouder, de gemeenteraad, in het jaarverslag te informeren over informatieveiligheid. Gemeenten roepen in de resolutie op om de verantwoordingslasten over informatieveiligheid te verminderen. Dat was de aanleiding voor het project ENSIA. ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid. De focus ligt hierbij op de horizontale verantwoording: binnen de gemeente, met een belangrijke rol voor de gemeenteraad. ENSIA is een initiatief van de VNG en de ministeries van BZK en SZW. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad. ENSIA structureert ook de verticale verantwoording richting de rijksoverheid, over de Basisregistratie Personen (BRP) en reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). Tijdpad ENSIA Op 1 juli 2019 start het derde jaar van verantwoording met ENSIA, tevens het laatste verantwoordingsjaar op basis van de BIG én het overgangsjaar naar de BIO. De zelfevaluatie moet vóór 31 december 2019 zijn ingeleverd. In het voorjaar van 2020 vindt verantwoording aan de gemeenteraad en de verticale toezichthouders plaats. Alle verbeteracties die worden ingezet zullen op basis van de controls en maatregelen van de BIO worden genomen. VNG Realisatie 5

6 Wijzigingen ENSIA 2019 In 2019 worden een aantal wijzigingen doorgevoerd die impact hebben op de uitvoering van de verantwoording ENSIA. 1. BRO verantwoording verplicht Met ingang van het verantwoordingsjaar 2019 is het afleggen van verantwoording over de Basisregistratie Ondergrond (BRO) niet langer optioneel, maar geldt een verplichting tot verantwoording. Het betreft een zelfevaluatie met vragen over het proces, tijdigheid, volledigheid, juistheid en maatregelen. Geef aan of afgelopen jaar al ervaring opgedaan is met de verantwoording in het proefjaar. Werk hierna de uitvoeringsconsequenties verder uit. Wie is verantwoordelijk voor dit proces? 2. BRP en reisdocumenten rapportage uit ENSIA Vanuit de BIG vragenlijst wordt de zelfevaluatie informatieveiligheid uitgevoerd over de Basisregistratie Personen (BRP), de wet- en regelgeving over de Paspoortuitvoeringsregeling Nederland (PUN) en het proces rond de aanvraag en uitgifte van paspoorten en Nederlandse identiteitskaarten (PNIK). Het gebruik van de afkortingen PUN en PNIK is in ENSIA vervangen door de verzamelnaam reisdocumenten. De antwoorden uit de BIG zelfevaluatie over informatieveiligheid die betrekking hebben op de BRP en reisdocumenten worden na 31 december overgenomen naar twee rapportages welke worden gedownload vanuit de ENSIA tooling. Eerder werden de antwoorden met een puntentelling automatisch overgeheveld naar de kwaliteitsmonitor. Dit leidde elk jaar tot handmatige bijstelling van de uitkomsten (puntentelling). Dit is nu niet meer het geval. Beide uittreksels worden na vaststelling geüpload via de kwaliteitsmonitor op uiterlijk 14 februari Werk hierna de uitvoeringsconsequenties verder uit. Houdt bijvoorbeeld rekening met afstemming met de afdeling Burgerzaken voor dit proces. 3. Van BIG naar BIO Dit verantwoordingsjaar is het laatste jaar waar gemeenten zich op basis van de BIG verantwoorden. Per 1 januari 2020 is de Baseline Informatieveiligheid voor de Overheid (BIO) van toepassing. Het jaar 2019 is een overgangsjaar waarin wij ons verantwoorden op basis van de BIG en gereed maken voor de implementatie van de BIO. Het BIO normenkader is gebaseerd op de ISO Uitgangspunten van de BIO zijn: De scope van de BIO bestaat uit de bedrijfsvoeringsprocessen van de ambtelijke organisatie. De BIO kent 3 basis beveiligingsniveaus (BBN). Via de baseline toets wordt het BBN van een proces bepaald. Voor gemeenten geldt dat de meeste processen op BBN2 zullen uitkomen, doordat in deze processen gewerkt wordt met persoonsgegevens. De maatregelen bij controls (doelstellingen) zijn verplicht, zolang als de controls van toepassing zijn. Wanneer controls geen maatregelen kennen, dienen vooraf maatregelen opgesteld te worden. Maatregelen kennen een eindverantwoordelijke. Werk hierna de uitvoeringsconsequenties verder uit. Is er een uitvoeringsverbinding tussen de verantwoording ENSIA op basis van de BIG en aansluiting op de implementatie van de BIO? De verbeteringen die u wilt doorvoeren op basis van de zelfevaluatie ENSIA zullen binnen een passende BIO control en maatregelen gaan vallen. Zie ook de site van de IBD voor formats over de implementatie van de BIO via 6 VNG Realisatie

7 Definitie Doelstellingen De gemeente [naam gemeente] beoogt met de implementatie van ENSIA: Het verantwoordingsproces in de gemeente te organiseren; Met een brede betrokkenheid, informatieveiligheidsbewustzijn en bijdrage van medewerkers; Met een integraal overzicht van waaruit een verbeterplan kan worden opgesteld en zelfregulering kan worden ingericht, zodat college en raad integraal kunnen sturen; Dat het college verantwoording over informatieveiligheid aan de raad kan afleggen; Tijdig en accuraat de verantwoording over DigiD, Suwinet, BAG, BGT, BRO, BRP en reisdocumenten op te leveren aan de verticale toezichthouders. Uitgangspunten Welke uitgangspunten hanteert de gemeente bij de verdere uitwerking van de aanpak? Denk hierbij aan: Streven naar een inrichting voor een structurele situatie waarbij horizontale samenwerking binnen uw gemeente voorop staat; Continu verbeteren van informatieveiligheid door middel van jaarlijkse plannen en sturing; Breed draagvlak en bewustzijn binnen de gemeente over informatieveiligheid; Beschikbaarheid van resources als het gaat om aanspreekpunten bij burgerzaken (BRP/reisdocumenten/DigiD), sociaal domein (Suwinet), geografische informatie (BAG/BGT/BRO), ICT (technische componenten), facilitaire zaken (fysieke beveiliging), HRM (personele beveiliging), inkoop, juridische zaken etc.; Referentie aan maximaal benodigd/gewenst/beschikbaar budget; Gebruikmakend van verbeterplannen ENSIA 2018 n.a.v. uitgevoerde zelfevaluatie; Interne communicatie via bestaande kanalen, welke?. De gemeente gaat bij de uitwerking van de ENSIA verantwoording 2019 uit van de volgende uitgangspunten:.... Aanpak en methodiek Hoe wilt u het organisatie van de verantwoording aanpakken? Wat zijn de ervaringen met het verantwoordingsjaar 2018 (intern en extern). Elementen die in de aanpak kunnen worden opgenomen zijn bijvoorbeeld: Coördinatie van het project ligt bij..; Breed samengestelde werkgroep bestaat uit.; Er wordt samengewerkt met de intergemeentelijke sociale dienst, shared services center, belastingsamenwerkingsverband, etc.; De wijze van beantwoording van de zelfevaluatie in ENSIA (gezamenlijk/uitzetten van vragen bij domeinen) Proces om te komen tot een definitief antwoord (comply of explain) Aandacht voor informatievoorziening aan alle medewerkers. Resultaat Welke resultaten wilt u in uw gemeente bereiken met de zelfevaluatie en verantwoording met ENSIA? In onderstaande opsomming zijn de minimale resultaten opgenomen, zoals die door gemeenten en de rijksoverheid zijn afgesproken. U kunt hier naar eigen inzicht extra resultaten aan toevoegen, die van belang zijn voor uw gemeente. Met het uitvoeren van de zelfevaluatie en het afleggen van verantwoording met ENSIA beoogt de VNG Realisatie 7

8 gemeente een aantal effecten te realiseren: Voor de verantwoording aan de raad gaat het om: Een goed functionerende werkgroep t.b.v. de uitvoering van het ENSIA verantwoordingsproces; In het jaarverslag is verslag gedaan over de status van informatieveiligheid; In de raadsvergaderingen wordt het onderwerp informatieveiligheid besproken; Er worden verbeteracties geformuleerd en belegd (voor Suwinet en DigiD worden deze opgenomen in de collegeverklaring); Borging van het horizontale verantwoordingsproces t.a.v. informatieveiligheid. Voor de verantwoording aan verticale toezichthouders gaat het om: De auditor heeft assurance gegeven over de collegeverklaring over Suwinet en DigiD; Het college heeft de rapportages BRP en reisdocumenten (relatie met kwaliteitsmonitor Burgerzaken) vastgesteld; Het college heeft de rapportages uit ENSIA m.b.t de BAG, BGT en BRO vastgesteld; De voor verticale toezichthouders relevante informatie op het vlak van informatieveiligheid in de ENSIA-tool is tijdig ingeleverd. Wat doet de verantwoording met ENSIA niet? Vul hier in welke aspecten die ook met verantwoording te maken hebben, maar die niet in dit project(plan) worden meegenomen omdat ze niet vallen onder de scope van ENSIA. Denk hierbij bijvoorbeeld aan: Mogelijke andere lokale projecten die met verantwoording te maken hebben; Kwaliteitsmonitor BRP en reisdocumenten: Evenals vorig jaar worden de informatieveiligheidsvragen over de BRP en de reisdocumenten binnen ENSIA gesteld voor uitvoering van de zelfevaluatie en verantwoording. De antwoorden op de ENSIA-vragen voor BRP en reisdocumenten moeten uiterlijk 31 december 2019 in de tool worden ingeleverd. In de fase verantwoorden vanaf 1 januari 2020, zal over het verantwoordingsjaar 2019 een rapportage te downloaden zijn uit ENSIA. Deze rapportage uit ENSIA wordt na vaststelling geupload via de kwaliteitsmonitor. De verantwoording over BRP en de reisdocumenten loopt hiermee mee in het proces van de Kwaliteitsmonitor en maakt daarom niet voor het gehele proces deel uit van het verantwoordingsproces met ENSIA. De verantwoording BRP en reisdocumenten dient uiterlijk 14 februari 2020 opgeleverd te zijn aan RvIG. Relaties met andere projecten en activiteiten Geef in deze paragraaf aan welke andere projecten er lopen die een raakvlak hebben met Implementatie ENSIA. Met welke projecten moet afstemming of samenwerking worden gezocht? Denk hierbij bijvoorbeeld aan samenwerkingsverbanden, lokale ontwikkelingen of projecten zoals: o Ontwikkelingen m.b.t. de uitvoering van verbeteringen die zijn opgesteld vanuit de zelfevaluatie 2018 o Implementatie van de BIO o Implementatie en/of gebruik van een ISMS o o Digitale agenda 2020 ( Herijking afspraken met samenwerkingspartners (SLA s) 8 VNG Realisatie

9 Activiteiten en planning Dit hoofdstuk gaat in op de activiteiten die in het project moeten worden uitgevoerd: de fasering van het project, de activiteiten, de randvoorwaarden en de externe afhankelijkheden. De hoofdlijnen van de planning zien er als volgt uit. Horizontale verantwoording: De planning voor de verticale verantwoording ziet er op hoofdlijnen als volgt uit: VNG Realisatie 9

10 Planning/fasering Het project bestaat uit de volgende fasen: Fase Tijd Voorbereiding 1 juni juli 2019 Uitvoering zelfevaluatie 1 juli december 2019 Verantwoorden (verticaal en horizontaal) 1 januari juli 2020 Evaluatie 1 mei juni 2020 Activiteiten voorbereiding Voorbereiding 1/6 1/ (her)benoeming ENSIA coördinator Bestudering achtergrond informatie Scope 2019 Opstellen plan van aanpak Uitvoeren korte risico-analyse t.a.v. succes ENSIA Inventariseren en informeren intern en extern betrokkenen Toewijzen taken bevoegdheden en verantwoordelijkheden Verantwoordelijken domeinen (BRP/reisdocumenten/BAG/BGT/BRO/SUWI/DIGID) Verantwoordelijken op afdelingen (IT, HRM, Facilitair, Inkoop, Juridisch) Betrokkenen vanuit samenwerkingsverbanden o SSC IT o Regionale Sociale Dienst o Regionale Belastingsamenwerking ENSIA collega s in de regio Auditor Leveranciers Portefeuillehouder(s) FG Controller Raad Communicatie Afstemming interne communicatie Kick-off verantwoording ENSIA 2019 Uitkomsten ENSIA 2018 Scope 2019 Planning o Project o Bijeenkomsten o Aanleveren informatie Hoe werken we samen Toelichting op gebruik ENSIA o Rollen en autorisaties o Antwoorden & comply or explain Samenwerkingsverbanden o Wijze van aanleveren antwoorden o Planning o TPM Wie Gemeentesecretaris ENSIA coördinator ENSIA coördinator ENSIA coördinator ENSIA coördinator Resultaat: 1. De gemeente is klaar om op 1 juli 2019 te starten met het invullen van de zelfevaluatie. 10 VNG Realisatie

11 Activiteiten uitvoering zelfevaluatie Uitvoering zelfevaluatie 1/7 31/ Opdracht auditor Scope Collegeverklaring 2019 Carve in TPM van samenwerkingsverbanden SUWI (afweging gezamenlijke opdrachtverstrekking) Aanvraag TPM( s) DigiD leverancier(s) Oplevering voor 15 oktober 2019 Opdracht (laten) geven voor uitvoeren PENtest Autoriseren betrokkenen ENSIA Uitzetten van vragenlijsten bij betrokkenen Afstemming (terugkerend) Presentatie aan de raad (in afstemming met portefeuillehouder) Bewaken voortgang (continue) Aanlevering TPM s leveranciers Input samenwerkingsverbanden antwoorden vragenlijst (TPM samenwerkingsverbanden SUWI) Domeinspecifieke zelfevaluaties Invullen ENSIA zelfevaluatie 2019 (BIG) Inventariseren van in te zetten verbeteracties voor Akkoord op definitieve antwoorden Inleveren vragenlijsten voor 31 december 2019 ENSIA zelfevaluatie 2019 (BIG) DigiD BAG BGT BRO BRP en reisdocumenten Waar staat je gemeente Informeren stakeholders over afronding zelfevaluatie en start van verantwoordingsproces Wie ENSIA coördinator ENSIA coördinator Resultaat: 1. Directe maatregelen zijn ingezet indien de resultaten uit de zelfevaluatie hier aanleiding voor geven. 2. De gemeente heeft alle vragenlijsten beantwoord en ingeleverd voor 31 december VNG Realisatie 11

12 Activiteiten verantwoording (horizontaal en verticaal) Afronding horizontale verantwoording (raad) 1/1 15/ Analyse uitkomsten zelfevaluatie Opstellen horizontale (gemeente brede) rapportage ENSIA Opstellen verbeterplan (ten minimale voor Suwinet en DigiD) Opstellen concept Collegeverklaring DigiD en Suwinet Plannen audit Collegeverklaring DigiD en Suwinet Voorbespreking uitkomsten audit met portefeuillehouder/opdrachtgever Voorbereiden audit Collegeverklaring DigiD en Suwinet Uitvoeren en faciliteren audit Collegeverklaring SUWI en DigiD Aanlevering Assurancerapport Afstemming concern control over tekst in jaarverslag gemeente over informatiebeveiliging (binnen de paragraaf bedrijfsvoering) Inplannen behandeling College B&W Vaststellen rapportage BRP en reisdocumenten (14/2/2020) Collegeverklaring DigiD en Suwinet Vaststelling rapportages BAG, BGT & BRO Behandeling College B&W Vaststelling rapportage BRP en reisdocumenten (14/2/2020) Ondertekening collegeverklaring Suwinet & DigiD Vaststelling rapportages BAG, BGT & BRO Afronding auditproces Waarmerken individuele documenten PDF Uploaden documenten verticale verantwoording in ENSIA uiterlijk 30 april 2020 Informeren van de raad via separate rapportage over status informatiebeveiliging (niet openbaar) Beleid, doelstellingen & ambities Samenvatting gemeente brede beeld en resultaten zelfevaluatie ENSIA 2019 Belangrijkste maatregelen Realisatie van doelstellingen/verbeteringen Incidenten Meerjarenperspectief Bijlagen: o Collegeverklaring en assurancerapport Suwinet en DigiD o Vastgestelde rapportages BAG/BGT/BRO o Vastgestelde rapportage BRP en reisdocumenten Agendering en bespreking uitkomsten in de raad Wie Auditor Concerncontrol ENSIA coördinator Auditor Resultaat: 1. De gemeente heeft de verantwoording aan de verticale toezichthouders afgerond. 2. De raad is geïnformeerd op hoofdlijnen via het openbaar jaarverslag van de gemeente. 3. De raad is via een separate (niet-openbare) rapportage geïnformeerd over de status van informatieveiligheid, waarbij de domeinrapportages, de collegeverklaring en assurancerapport over de verschillende stelsels zijn bijgesloten. Activiteiten evaluatie Evaluatie 1/5 1/ Gezamenlijke evaluatie aanpak Borgen van resultaten evaluatie (lessons learned) tbv verantwoording op basis van de BIO Wie Werkgroep ENSIA ENSIA-coördinator Resultaat: 1. De gemeente heeft inzicht in het functioneren van haar wijze van aanpak. Tevens is bekend wat de volgende verantwoordingscyclus anders worden gedaan. 12 VNG Realisatie

13 Samenstelling opdrachtgeversoverleg Met het opdrachtgeversoverleg kan de coördinator verbinding houden met de opdrachtgever. Zorg dat helder is wie binnen de gemeente de opdrachtgever voor de ENSIA verantwoording is. Leg ook vast hoe vaak dit overleg wordt gevoerd (zie overlegstructuur). Zorg als coördinator voor achtervang en leg dit met de opdrachtgever vast. Het opdrachtgeversoverleg hoeft geen separaat overleg te zijn, het kan onderdeel zijn van een bestaand overleg. Tabel 1. Samenstelling opdrachtgeversoverleg ENSIA Rol Naam Taken/verantwoordelijkheden Opdrachtgever Portefeuillehouder Bestuurlijk eindverantwoordelijk voor het project [naam Zorgt voor eventuele financiële middelen voor de uitvoering portefeuillehouder] van het project Bewaakt de voortgang van het project op strategisch niveau Gedelegeerd opdrachtgever Opdrachtnemer, coördinator Gemeentesecretaris, Afdelingshoofd, lid MT? [naam coördinator] [naam achtervang] Is ambtelijk verantwoordelijk voor de uitvoering van ENSIA Stuurt coördinator aan Zorgt voor de dagelijkse uitvoering van het project. Samenstelling werkgroep In de tabel is een overzicht opgenomen van de verschillende deskundigheden die betrokken zijn bij de zelfevaluatie. In de tweede kolom kan de naam van de medewerkers die deelnemen aan de werkgroep worden ingevuld. Om de zelfevaluatie te kunnen uitvoeren is de inzet gewenst van de volgende rollen c.q. personen. Afhankelijk van de gemeentegrootte is het mogelijk dat één persoon meerdere rollen vervult. Tabel 2. Samenstelling ENSIA werkgroep Rol Naam Taken/verantwoordelijkheden Coördinator [ ] Is primair verantwoordelijk voor het project Projectondersteuner (afhankelijk van gemeentegrootte) CISO / adviseur informatieveiligheid Functionaris Gegevensbescherming (FG) VNG Realisatie Rapporteert aan de portefeuillehouder Overlegt regelmatig met opdrachtgever Is het aanspreekpunt voor vragen [ ] Zorgt voor de projectondersteuning Zorgt voor de interne coördinatie, planning, voortgangsbewaking en rapportage [ ] Betrokkenheid vanuit informatieveiligheid Zie profiel CISO op [ ] Betrokkenheid vanuit privacy Zie content/uploads/2019/05/ handreiking-positionering- van-de-fg.pdf Domeindeskundige BRP [ ] Bijdrage aan beantwoorden van vragen Agenderen van ENSIA in werkoverleg van eigen afdeling Afstemmen met contactpersoon zelfevaluatie BRP en reisdocumenten (deze persoon is aanspreekpunt voor RvIG voor het invullen van de Kwaliteitsmonitor BRP en reisdocumenten) 13

14 Rol Naam Taken/verantwoordelijkheden Domeindeskundige PUN [ ] Afstemmen met contactpersoon zelfevaluatie BRP en Domeindeskundige(n) Suwinet reisdocumenten (deze persoon is aanspreekpunt voor RvIG voor het invullen van de Kwaliteitsmonitor BRP/PUN) Agenderen van ENSIA in werkoverleg van eigen afdeling [ ] Mede invullen van vragen m.b.t. Suwinet binnen de gemeente Agenderen van ENSIA in werkoverleg(en) indien van toepassing: o o o o P-Wet/IOAZ/IOAW RMC Burgerzaken Gemeentelijk Gerechtsdeurwaarders Domeindeskundige DigiD [ ] Bijdrage aan invullen DigiD vragenlijst Agenderen van ENSIA in werkoverleg van eigen afdeling Domeindeskundige BAG Bijdrage aan invullen BAG vragenlijst Agenderen van ENSIA in werkoverleg van eigen afdeling Domeindeskundige BGT Bijdrage aan invullen BGT vragenlijst Agenderen van ENSIA in werkoverleg van eigen afdeling Domeindeskundige BRO Bijdrage aan invullen BRO vragenlijst Medewerker HR /Financiën/Middelen/ Control/Inkoop Functionaris Gegevensbescherming (FG) Agenderen van ENSIA in werkoverleg van eigen afdeling [ ] Mede invullen vragen gerelateerd aan de eigen domeinen Agenderen van ENSIA in werkoverleg van eigen afdeling [ ] Mede invullen vragen gerelateerd aan privacy Communicatiemedewerker [ ] Aanpassen webberichten Aanspreekpunt Samenwerkingsverband IT/SSC Aanspreekpunt Belastingsamenwerking Agenderen van ENSIA in werkoverleg van eigen afdeling Plaatsen webberichten Redigeren eindrapportages [ ] Bijdrage aan invullen IT vragen BIG vragenlijst [ ] Bijdrage aan invullen Suwinet vragen BIG vragenlijst m.b.t. gebruik Suwinet voor Gemeenten Gerechtsdeurwaarders Aanspreekpunt ISD [ ] Bijdrage aan invullen Suwinet vragen BIG vragenlijst mbt gebruik Sociale Dienst (uitvoering P-wet/IOAZ/IOAW) Coördinatie uitvoering SUWI audit (afgestemd met deelnemende gemeenten in de samenwerking) In deze paragraaf kunt u ook nog aangeven hoe de werkgroep zich verhoudt tot andere overleggen die mogelijk binnen de gemeenten raakvlakken hebben met informatieveiligheid en/of verantwoording. 14 VNG Realisatie

15 Overlegstructuur Bedenk met wie het van belang is om gedurende het project te overleggen, met welke frequentie en met welk doel. De hieronder genoemde overleggen zijn minimaal van belang. Onderstaande tabel kunt u gebruiken om de situatie in uw eigen gemeente verder uit te werken. Tabel 3. Overlegstructuur Overleg Deelnemer Frequentie Doel Opdrachtgever Opdrachtgever opdrachtnemer overleg Gedelegeerd opdrachtgever Opdrachtnemer/ coördinator Werkgroepoverleg Coördinator Leden werkgroep Regionaal overleg Coördinatoren Auditor (op aanvraag) Verantwoordelijken bij samenwerkingsverbanden Eens per Informeren opdrachtgever over twee à drie voortgang maanden Maandelijks Afstemmen over verschillen tussen domeinen Afstemmen over het invullen vragenlijst Bespreken voortgang Inventariseren van benodigde verbeteracties Maandelijks Afstemmen over opdrachtgeverschap naar samenwerkingsverbanden Afstemmen over scope (welke vragen ENSIA) en auditwerkzaamheden (TPM s) samenwerkingsverbanden Afstemmen over aanleveren antwoorden vragenlijst VNG Realisatie 15

16 Stakeholders Interne stakeholders Wie zijn de stakeholders die u in het project wilt betrekken en die geen onderdeel uitmaken van de werkgroep? Denk hierbij bijvoorbeeld aan: - College van B&W; - Afdelingshoofden sociale zaken, burgerzaken, publiekszaken, financiën, HR; - Collega s van andere afdelingen; - Raadsleden. Bedenk voor elk van deze interne stakeholders waarvoor u hen zou willen betrekken en hoe u dat doet. In de bijlage geven we een overzicht van gangbare taken, bevoegdheden en verantwoordelijkheden van stakeholders. Het kan praktisch zijn om deze bijlage aan het aan uw situatie aangepaste plan van aanpak toe te voegen. U kunt de bijlage aanpassen aan uw specifieke situatie Tabel 4. Stakeholders Stakeholder Naam Doel College van B&W [Naam] Vaststellen paragraaf informatieveiligheid Vaststellen collegeverklaring Portefeuillehouder [Naam] Uitnodigen voor kick-off Gemeentesecretaris [Naam] Borging benodigde capaciteit voor uitvoering taken Informeren resultaten zelfevaluatie Directeur Bedrijfsvoering [Naam] Informeren resultaten zelfevaluatie Concerncontrol [Naam] Input jaarrekening over informatieveiligheid Lijnmanagement: Manager burgerzaken [Naam].... [Naam].. Verbeteracties binnen burgerzaken berspreken Agenderen van ENSIA in werkoverleg.. Samenwerkingsverbanden Denk bij het uitwerken van de organisatiestructuur ook aan samenwerkingsverbanden. De gemeente is verantwoordelijk voor de informatieveiligheid, ook als werk is uitbesteed aan samenwerkingsverbanden. De gemeente blijft verantwoording over informatieveiligheid afleggen aan gemeenteraad en verticale toezichthouders. Het is dus van belang dat u contact onderhoudt met het samenwerkingsverband. Onderwerpen waarover met het samenwerkingsverband mogelijk afspraken kunnen worden gemaakt: - Gezamenlijke projectorganisatie; - Het delen van de vragenlijst die voor meerdere gemeenten identiek wordt ingevuld; - Gezamenlijke inkoop van de auditor, indien de samenwerking gaat over Suwinet; - Is verantwoording over informatieveiligheid in gezamenlijke afspraken opgenomen? Externe stakeholders Er zijn ook partijen buiten de gemeente nodig om van de implementatie van ENSIA een succes te maken. Denk hierbij aan: - De auditor; - De uitvoerder van pentest; - Softwareleveranciers t.b.v. TPM. Bedenk voor elke stakeholder waarvoor u deze wilt betrekken, op welke wijze en welke deadlines er zijn. 16 VNG Realisatie

17 Tabel 5. Stakeholders Stakeholder Naam Doel Wijze van contact Softwareleverancier(s) [Naam bedrijf] TPM t.bv Via opdrachtverlening Opdrachtverlening (zomer 2019) Gewenste opleverdatum uiterlijk 15 oktober Onafhankelijke [Naam bedrijf] Uitvoeren Zie pentester pentest duct/handreiking-penetratietesten-v1-0/ Auditor [Bedrijf en Uitvoeren audit Opdrachtverlening uiterlijk oktober 2018 naam Zie format opdracht auditor contactpersoon] VNG Realisatie 17

18 Begroting Voor de verantwoording ENSIA 2018 is mogelijk budget benodigd geweest. Op basis van deze ervaringen kunt u de begroting opstellen voor Bij de opstelling van de begroting kunt u denken aan kosten voor: - Inhuur uitvoering pentest; - Inhuur auditor; - Inhuur van vervangers van mensen die activiteiten voor het project ENSIA doen; - Bij een samenwerkingsverband zijn er wellicht kosten verbonden aan het betrekken van een medewerker van het samenwerkingsverband; - Kosten voor de uitvoering van verbeterplannen; - Kosten die gemaakt worden voor overleg, zoals een vergaderlocatie. 18 VNG Realisatie

19 Bijlage Rol- en taakbeschrijving interne stakeholders Deze bijlage bevat een kort overzicht van alle relevante gemeentelijke stakeholders. Daarbij is aangegeven wat er van hen verwacht wordt voor een succesvolle uitvoering van het ENSIA verantwoordingsproces. VNG Realisatie 19

20 Taken en verantwoordelijkheden interne stakeholders College van b&w TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Vaststellen/benoemen Adequate en tijdige Benoemen coördinator. Coördinator. rapportage aan de Keuze over in te voeren Laten uitvoeren van gemeenteraad over verbetermaatregelen en zelfevaluatie Informatiebeveiliging en zelfevaluatie DigiD, BAG, BGT Maken van afspraken binnen de samenwerkingsverbanden over de omgang met informatiebeveiliging en ENSIA. Het geven van opdracht aan RE-Auditor om Assurance te geven over de juistheid en volledigheid van de Collegeverklaring. Afgeven collegeverklaring informatiebeveiliging (DigiD en Suwinet) en hiermee aangeven in hoeverre de beheermaatregelen aan de beveiligingsnormen voldoen. Hierbij ook aangeven - indien aan de orde - welke onderdelen daarvan zijn uitgezonderd. Opstellen paragraaf informatieveiligheid t.b.v. horizontale verantwoording in de Vaststellen jaarrekening van maatregelen voor het verbeteren van informatieveiligheid. Het afleggen van verantwoording aan de raad over informatieveiligheid. informatiebeveiliging in het prioritering hiervan. Jaarverslag. De gemeenteraad informeren Bij samenwerkingsverbanden als opdrachtgever verantwoordelijk voor de kwaliteit en veiligheid van het gebruik van informatie. Eindverantwoordelijk voor horizontale verantwoording van informatiebeveiliging. over informatieveiligheid en 20 VNG Realisatie

21 Portefeuillehouder informatiebeveiliging aanwijzen van coördinator. Gemeenteraad systematisch informeren over de ENSIA- voortgang en hun rol daarin. College van b&w systematisch informeren over de ENSIA voortgang. Namens het college van b&w rol vervullen van bestuurlijk opdrachtgever voor de uitvoering van ENSIA. (prioritering van) beveiliging van informatie binnen de bedrijfs(werk)processen. Als bestuurlijk opdrachtgever verantwoordelijk voor de kwaliteit en veiligheid van het gebruik van informatie. Verantwoordelijk voor het maken van afspraken met samenwerkingsverband(en) over informatiebeveiliging. TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Opdracht geven aan Binnen het college van b&w Bepalen inhoud en frequentie gemeentesecretaris voor verantwoordelijk voor de van de voorlichtingsinformatie richting de gemeenteraad. Gemeenteraad TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Stellen van vragen over Het college van b&w Stellen van vragen over informatieveiligheid (BIG, BIO controleren op de invoering status BIG, implementatie en ENSIA. Beoordelen paragraaf informatieveiligheid en collegeverklaring. Beoordelen van voorgenomen maatregelen voor het verbeteren van informatieveiligheid. Opstellen paragraaf Bedrijfsvoering, incl. paragraaf Informatieveiligheid, voor het jaarverslag. Eventueel aangevuld met separate rapportage informatieveiligheid. BIO en uitvoering ENSIA. Onderzoek instellen naar stand van zaken informatieveiligheid. Bepalen van beleidskeuzes. VNG Realisatie 21

22 Griffier TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Regelmatig agenderen van Tijdige agendering. Verslaglegging, voortgang implementatie BIG en verantwoording ENSIA bij de gemeenteraad. Als onderdeel van jaarverslag: opstellen annotatie bij jaarverslag aandacht voor informatieveiligheid. Als er sprake is van een separate verantwoording: uitgebreide annotatie over ENSIA-verantwoording. Agenderen jaarverslag dan wel stukken verantwoording informatieveiligheid ter informatie: o o o Paragraaf informatieveiligheid Collegeverklaring Assurance rapport Ontvangen, verzamelen en distribueren van Collegeverklaring, paragraaf Informatieveiligheid (eventueel separate Rapportage informatieveiligheid). verantwoording en adviseren van de gemeenteraad inzake verantwoording ENSIA. Gemeentesecretaris TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Namens de Is eindverantwoordelijk voor portefeuillehouder: vervullen tijdige uitvoering van ENSIA van de rol van gedelegeerd opdrachtgever voor de operationele sturing van ENSIA uitvoering. Benoemen van de coördinator. Sturing van de uitvoering van ENSIA verantwoording Beschikbaar stellen van benodigde middelen en resources voor de uitvoering van ENSIA. Faciliteren van coördinator ENSIA bij besluitvorming. met bijbehorende tijd, geld en kwaliteitsaspecten. 22 VNG Realisatie

23 2.6 Coördinator ENSIA TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Schrijven plan van aanpak Projectleiding. Het nemen van operationele voor uitvoering ENSIA. Zorgdragen voor brede beslissingen binnen het Opzetten projectorganisatie. betrokkenheid en draagvlak raamwerk van het (met de Plannen en uitvoeren Kick- binnen de organisatie. opdrachtgever Off Borgen van tijdige inlevering overeengekomen en Organiseren ENSIA- Verantwoordingsproces. van antwoorden en het volledig uploaden van goedgekeurde) plan van aanpak met vastgestelde Intern uitzetten vragenlijst documenten. tijd, geld en en inleveren antwoorden die Voortgang van het project kwaliteitsafspraken. nodig zijn voor zelfevaluatie DigiD en Suwinet en antwoorden die nodig zijn voor volledige zelfevaluatie informatieveiligheid (vóór 31 december 2019) Uploaden verantwoordingsdocumenten (Collegeverklaring en bijlagen, TPM s en verantwoordingsrapporta ges Opstellen van de collegeverklaring Informatiebeveiliging. Organiseren opdrachtverlening voor IT-audit. Organiseren opdracht voor pentesten per DigiD-aansluiting. Faciliteren werkzaamheden van RE-Auditor en bewaken tijdige oplevering Assurance Rapport. ENSIA-proces en stappen afstemmen met de REauditor. binnen scope. Tijdige afsluiting van implementatie van ENSIA, binnen met de opdrachtgever overeengekomen afspraken over tijd, geld en kwaliteit. Nauw overleg met CISO m.b.t. afstemmen procedures, maatregelen en controles die wel/niet worden uitgevoerd. VNG Realisatie 23

24 TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Verzamelen TPM s van derde partijen en controleren op compleetheid. Inventariseren en toewijzen van verbeterpunten. Ondersteunen van domeindeskundigen bij de verantwoording en bij invullen zelfevaluatievragenlijsten. Organiseren werkgroep overleggen en bijeenkomsten. Coördineren/faciliteren van alle activiteiten die leiden tot paragraaf Informatiebeveiliging in jaarverslag en eventuele separate Rapportage informatieveiligheid. Interne communicatie t.b.v. domeindeskundigen, management, maar ook niet direct betrokkenen. Externe communicatie en afstemming met ondersteunende organisaties VNG Realisatie. 24 VNG Realisatie

25 2.7 CIO of informatiemanager Indien CIO door gemeentesecretaris is aangewezen als coördinator, dan heeft hij/zij dezelfde taken en verantwoordelijkheden als deze coördinator (zie paragraaf 2.6). TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Ondersteunen van Opstellen Uitbreiden van middelen in coördinator bij definiëren van taken en toewijzen aan bijv. proceseigenaren. Afstemming met CISO over informatiebeveiligingsbeleid en de uitvoering daarvan. Bepaling van consequenties na implementatiefase ENSIA. Aanpassen begroting t.b.v. verantwoording informatieveiligheid. Borgen van archivering van ENSIA- verantwoordingsdocumentatie Informatiebeveiligingsbeleid en plan. Aansturen op de invoering van procedures, maatregelen en controles. Afspraken met leveranciers over het treffen en verantwoorden van informatieveiligheidsmaatregelen. termen van manuren of geld. Escaleren waar nodig. 2.8 CISO Indien CIO door gemeentesecretaris wordt aangewezen als coördinator ENSIA, dan heeft hij/zij dezelfde taken en verantwoordelijkheden als deze coördinator (zie paragraaf 2.6). TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Ondersteunen van Verantwoordelijk voor het De belangrijkste bevoegdheid coördinator als expert op het opstellen, bijstellen, is om op elke plek binnen de terrein van informatiebeveiliging. Opstellen, bijstellen, vernieuwen en herzien van het Informatiebeveiligingsbeleid en de daaruit voortvloeiende Informatiebeveiligings- plannen. vernieuwen en herzien van het Informatiebeveiligingsbeleid en de daaruit voortvloeiende Informatiebeveiligingsplannen (inclusief verbeteracties). Projecten leiden die als doel hebben beveiligingsmaatregelen te organisatie gevraagd en ongevraagd onderzoek te kunnen doen en zo nodig zaken af te dwingen. Bij (grote) beveiligingsincidenten/- risico s heeft de CISO de bevoegdheid direct in te grijpen (met verantwoording Opnemen van verbeterpunten vanuit evaluatie ENSIA implementeren of de kwaliteit van de beveiliging op langere termijn te handhaven en waar nodig te verbeteren. achteraf richting het management). VNG Realisatie 25

26 TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN in de informatiebeveiligings- Prioriteren van maatregelen Gevraagd en ongevraagd plannen. die ingevoerd worden om de rapporteren aan het college Ondersteunen van effectiviteit van van b&w of de Raad. lijnmanagement bij verbeteracties. Adviseren van het (lijn)management bij de uitwerking van het informatiebeveiligingsbeleid in informatiebeveiligingsplannen voor hun verantwoordelijkheidsgebieden. Daarnaast adviseren bij de implementatie van deze plannen. Afstemmen van ENSIA met overige lopende projecten in de organisatie. informatieveiligheid te vergroten. 2.9 Controller TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Afstemmen met ENSIAcoördinator Nauw overleg met CISO voor Toetsen of procedures worden over P&C-cyclus. de uitvoering van interne gehandhaafd, maatregelen Input leveren aan passende audits, of specifieke worden toegepast, en tekst voor paragraaf plekken waar procedures, controles worden uitgevoerd. bedrijfsvoering voor jaarverslag. maatregelen en controles (lees: verantwoording) De belangrijkste bevoegdheid is om op elke plek binnen de Rapporteren van de getoetst worden. organisatie gevraagd en uitkomsten van interne Rapporten van interne audits ongevraagd onderzoek te audits, beveiligingsincidenten (i.s.m. CISO) en misstanden aan college of b&w. overeenkomen met college b&w. kunnen doen en zo nodig zaken af te dwingen. Gevraagd en ongevraagd rapporteren aan het college van b&w of de raad. 26 VNG Realisatie

27 2.10 Lijnmanagers (zoals Burgerzaken/Publiekszaken, Sociaal domein, Ruimtelijke ordening, ICT, HR, Facilitair) TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Maken van resource Is primair verantwoordelijk Bepalen welke medewerkers afspraken met coördinator. voor de domein/materie uit de afdeling in de rol van Tijdige levering van medewerkers, met juiste specifieke kennis en ervaring van opgeleverde resources. domeindeskundigen bijdragen aan de uitvoering van expertise, aan het ENSIA- Kwaliteit bewaken van ENSIA. project. informatiebeveiliging van die Bepalen wie als Tijdige realisatie van domeinen waarvoor zijn gegevensbeheerder fungeren, verbeteracties voortvloeiend uit het ENSIA-project. afdeling verantwoordelijk die een rol hebben in de voor is. Opnemen van verbeteracties in informatiebeveiligingsplan en zorgen voor de tijdige realisatie. Realiseren van constante aandacht voor informatieveiligheid in eigen domein, inclusief verbeteringen. waarborging van informatieveiligheid Domeindeskundigen Domeindeskundigen zijn medewerkers afkomstig van de afdelingen of samenwerkingsverbanden zoals: zoals Burgerzaken/Publiekszaken, Sociaal domein, Ruimtelijke ordening, ICT, HR of Facilitair. Ze worden door hun lijnmanager in overleg met een coördinator aan het project beschikbaar gesteld. Elke domeindeskundige heeft specifieke kennis van het eigen domein en al dan niet kennis van informatiebeveiliging op dit domein (BRP, Reisdocumenten, Suwinet, BAG, BGT, BRO en DigiD). TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Deelname aan kick-off ENSIA Inzicht verwerven in Met coördinator vaststellen welke zelfevaluatievragen hij/zij oppakt. Beantwoorden van ENSIA- zelfevaluatie binnen (met de coördinator overeengekomen) informatieveiligheidsaspecten van het eigen domein. Is, met anderen, verantwoordelijk voor tijdige beantwoording van ENSIAzelfevaluatie vragen, tijds- en kwaliteitsafspraken. waarover met de coördinator Legt hiaten of uitzonderingen afspraken zijn gemaakt. vast in de ENSIA-vragenlijst Fungeert als en doet voorstellen voor verbeteracties. gegevensbeheerder die een VNG Realisatie 27

28 TAKEN VERANTWOORDELIJKHEDEN BEVOEGDHEDEN Rapporteren over voortgang rol heeft in de waarborging van de taken aan de coördinator. Deelname aan werkgroep bijeenkomsten voor afstemming over de zelfevaluatievragen. Informeert collega s binnen het domein over ENSIAverantwoordingsproces en informatieveiligheid. Verbinden van kennis van domein met informatieveiligheid. Pakt indien nodig in overleg met CISO, coördinator en lijnmanager verbeteracties op. van informatieveiligheid. 28 VNG Realisatie