ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

Transcriptie

1 ENSIA IMPLEMENTATIEPLAN Format Plan van Aanpak ENSIA

2 Datum 24 mei 2017 Versie 0.9 2

3 INHOUDSOPGAVE 1 GEBRUIK VAN FORMAT INLEIDING EN ACHTERGROND PROJECTDEFINITIE PROJECTDOELSTELLINGEN UITGANGSPUNTEN AANPAK EN METHODIEK PROJECTRESULTAAT WAT DOET IMPLEMENTATIE ENSIA NIET? RELATIES MET ANDERE PROJECTEN & ACTIVITEITEN ACTIVITEITEN EN PLANNING PROJECTPLANNING/FASERING PROJECTACTIVITEITEN EN PRODUCTEN RANDVOORWAARDEN EXTERNE AFHANKELIJKHEDEN RISICO S COMMUNICATIE ORGANISATIESTRUCTUUR SAMENSTELLING OPDRACHTGEVERSOVERLEG SAMENSTELLING WERKGROEP OVERLEGSTRUCTUUR STAKEHOLDERS PROJECTTOOLS BEGROTING

4 1 GEBRUIK VAN FORMAT Dit format projectplan implementatie ENSIA is gemaakt om ENSIA-coördinatoren te ondersteunen bij het organiseren van de verantwoording over informatieveiligheid. In het format is uitgegaan van de specifieke kenmerken van het invoeringsjaar Het gebruik van dit format is naar eigen inzicht toe te passen. Dit projectplan helpt u om de benodigde activiteiten te omschrijven om ENSIA te implementeren. Het plan heeft tot doel om de implementatie en uitvoering van ENSIA in goede banen te leiden en de rollen en taken projectmatig te organiseren. In dit plan komen alle voor de implementatie relevante onderwerpen aan bod: projectdefinitie en resultaten, activiteiten, planning, communicatie, organisatiestructuur en begroting. In het format zijn basisteksten, suggesties en vragen opgenomen die helpen om de aanpak te formuleren die het beste past bij uw gemeente. De implementatie raakt verschillende afdelingen van de gemeente en vraagt de inzet van mensen op operationeel, tactisch en strategisch niveau. Om draagvlak te creëren voor de aanpak, goedkeuring te krijgen voor inzet van mensen en eventueel middelen, raadt KING aan om het plan van aanpak te laten accorderen door het managementteam van uw gemeente. Toelichting op het gebruik van verschillende lettertypes: Cursief is de toelichting op het in de paragraaf beschreven onderwerp. Standaard geschreven teksten zijn teksten die u kunt overnemen in uw eigen plan van aanpak. [Geel gearceerd] zijn teksten waar de eigen gemeentenaam of naam van de medewerker kan worden ingevuld. 4

5 2 INLEIDING EN ACHTERGROND Waarom? Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met informatie omgaat. Gemeenten spelen hierin een belangrijke rol. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen. Ga in deze paragraaf in op andere onderwerpen die rondom informatiebeveiliging spelen in uw gemeente. Geef ook de context weer en de raakvlakken met andere (reeds gerealiseerde) thema s en projecten zoals BIG, eventuele bewustwordingscampagnes rondom informatieveiligheid en/of recente ervaringen met datalekken. Wat is ENSIA? Tijdens de Buitengewone Algemene Ledenvergadering van de VNG van november 2013 is de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen. Met het aannemen van de resolutie erkennen alle gemeenten het belang van informatieveiligheid en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als het gemeentelijk basisnormenkader voor informatieveiligheid. In de resolutie hebben gemeenten afgesproken hun eigen toezichthouder, de gemeenteraad, in het jaarverslag te informeren over informatieveiligheid. Gemeenten roepen in de resolutie op om de verantwoordingslasten over informatieveiligheid te verminderen. Dat was de aanleiding voor het project ENSIA. ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid. De focus ligt hierbij op de horizontale verantwoording: binnen de gemeente, met een belangrijke rol voor de gemeenteraad. ENSIA is een initiatief van de VNG en de ministeries van BZK, I&M en SZW. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad. ENSIA structureert ook de verticale verantwoording richting de rijksoverheid, over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Tijdpad ENSIA Op 1 juli 2017 start de implementatie van ENSIA. Tot die tijd kan de gemeente zich voorbereiden. De zelfevaluatie moet vóór 1 oktober - voor BRP en PUN - en vóór 31 december - informatieveiligheid BIG - zijn ingeleverd. In het voorjaar van 2018 vindt verantwoording aan de gemeenteraad en de verticale toezichthouders plaats. 5

6 3 PROJECTDEFINITIE 3.1 PROJECTDOELSTELLINGEN De gemeente [naam gemeente] beoogt met de implementatie van ENSIA: 1. Het nieuwe verantwoordingsproces in de gemeente te organiseren; 2. Met een brede betrokkenheid, informatieveiligheidsbewustzijn en bijdrage van medewerkers; 3. Met een integraal overzicht van waaruit een verbeterplan kan worden opgesteld en zelfregulering kan worden ingericht, zodat college en raad integraal kunnen sturen; 4. Dat het college verantwoording over informatieveiligheid aan de raad kan afleggen; 5. Tijdig en accuraat de verantwoording over DigiD en Suwi op te leveren aan de verticale toezichthouders (uiterlijk 1 mei 2018). 3.2 UITGANGSPUNTEN Welke uitgangspunten hanteert de gemeente bij de verdere uitwerking van de aanpak en het schrijven van het plan? Denk hierbij aan: - Streven naar een inrichting voor een structurele situatie waarbij horizontale samenwerking binnen uw organisatie voorop staat; - Continu verbeteren van informatieveiligheid door middel van jaarlijkse plannen en sturing; - Breed draagvlak en bewustzijn binnen de gemeente over informatieveiligheid; - Beschikbaarheid van resources als het gaat om aanspreekpunten bij burgerzaken (BRP/PUN/DigiD), sociaal domein (SUWInet), geografische informatie (BAG/BGT), ict (technische componenten), fac (fysieke beveiliging), hrm (personele beveiliging), inkoop, juridische zaken etc.; - Gebruikmakend van landelijk aangeboden formats, zoals ontwikkeld in het project ENSIA; - Referentie aan maximaal benodigd/gewenst/beschikbaar budget; - Verbeterplannen n.a.v. beantwoorden van vragen vallen wel/niet binnen de context van implementatie ENSIA; - Interne communicatie via bestaande kanalen, welke?. De gemeente is bij de uitwerking van dit projectplan uitgegaan van de volgende uitgangspunten: AANPAK EN METHODIEK Hoe wilt u het project aanpakken? Is het nodig om een aparte projectorganisatie in te richten of is er een bestaand overleg dat kan worden verbreed? Elementen die in de aanpak kunnen worden opgenomen zijn bijvoorbeeld: - Coördinatie van het project ligt bij..; - Breed samengestelde werkgroep bestaat uit.; - Er wordt samengewerkt met de intergemeentelijke sociale dienst, shared services center, etc.; - Aandacht voor informatievoorziening aan alle medewerkers. 6

7 3.4 PROJECTRESULTAAT Welke resultaten wilt u in uw gemeente bereiken met de implementatie van ENSIA? In onderstaande opsomming zijn de minimale resultaten opgenomen, zoals die door gemeenten en de rijksoverheid zijn afgesproken. U kunt hier naar eigen inzicht extra resultaten aan toevoegen, die van belang zijn voor uw gemeente. Het project Implementatie ENSIA beoogt met deze aanpak een aantal effecten bij onze gemeente te realiseren. Voor de verantwoording aan de raad gaat het om: 1. Een goed functionerende werkgroep t.b.v. de uitvoering van het ENSIA verantwoordingsproces; 2. In het jaarverslag wordt een paragraaf informatieveiligheid opgenomen; 3. In de raadsvergaderingen wordt het onderwerp informatieveiligheid besproken; 4. Er worden verbeteracties geformuleerd en belegd (voor Suwi en DigiD worden deze opgenomen in de collegeverklaring); 5. Borging van het horizontale verantwoordingsproces t.a.v. informatieveiligheid. Voor de verantwoording aan verticale toezichthouders gaat het om: 6. In het jaarverslag is de collegeverklaring informatieveiligheid opgenomen; 7. De auditor heeft assurance gegeven over Suwi en DigiD; 8. De voor verticale toezichthouders relevante informatie op het vlak van informatieveiligheid in de ENSIA-tool is uiterlijk 1 mei aangeleverd. 3.5 WAT DOET IMPLEMENTATIE ENSIA NIET? Vul hier in welke aspecten die ook met verantwoording te maken hebben, maar die niet in dit project(plan) worden meegenomen omdat ze niet vallen onder de scope van ENSIA. Denk hierbij bijvoorbeeld aan: - De implementatie van de BIG; - Mogelijke andere lokale projecten die met verantwoording te maken hebben; - Kwaliteitsmonitor BRP/PUN: de kwaliteitsmonitor BRP/PUN staat per 1 april 2017 open. De informatieveiligheidsvragen zijn uit de kwaliteitsmonitor gehaald en opgenomen in ENSIA. De ENSIA-vragen voor BRP en PUN moeten uiterlijk 1 oktober 2017 in de tool worden geupload. Deze antwoorden komen automatisch terecht in de kwaliteitsmonitor. RvIG zal via de gebruikelijk wijze omgaan met het beoordelen van de kwaliteitsmonitor. De verantwoording over BRP loopt hiermee mee in het proces van de Kwaliteitsmonitor en maakt daarom geen onderdeel uit van dit implementatie-traject. 7

8 3.6 RELATIES MET ANDERE PROJECTEN & ACTIVITEITEN Geef in deze paragraaf aan welke andere projecten er lopen die een raakvlak hebben met Implementatie ENSIA. Met welke projecten moet afstemming of samenwerking worden gezocht? Denk hierbij bijvoorbeeld aan samenwerkingsverbanden, lokale ontwikkelingen of projecten zoals: - Implementatie van de BIG; - Implementatie en/of gebruik van een ISMS. Maar wellicht ook landelijke projecten zoals: - DA2020; - Borging Veilig Gebruik SUWInet (BVGS); - Programma Digitaal 2017; - Implementatie BRP; - Waarstaatjegemeente.nl; - Kwaliteitsmonitor BRP. 8

9 4 ACTIVITEITEN EN PLANNING Dit hoofdstuk gaat in op de activiteiten die in het project moeten worden uitgevoerd: de fasering van het project, de activiteiten, de randvoorwaarden en de externe afhankelijkheden. De hoofdlijnen van de planning zien er als volgt uit. Horizontale verantwoording: De planning voor de verticale verantwoording ziet er op hoofdlijnen als volgt uit: 9

10 4.1 PROJECTPLANNING/FASERING Het project bestaat uit de volgende fases: 1. Voorbereiding (1 april 1 juli 2017) 2. Uitvoering zelfevaluatie (1 juli december 2017) 3. A. Afronding horizontale verantwoording (1 januari 15 juli 2018) 3. B. Verantwoording aan landelijke toezichthouders (1 januari 1 mei 2018) 4. Evaluatie (1 mei 1 juni 2018) 1. Lokale voorbereiding (1 april to 1 juli 2017) In deze fase wordt de coördinator aangewezen door de gemeentesecretaris, bezoekt de coördinator een informatiebijeenkomst van KING, wordt achtergronddocumentatie bestudeerd (o.a. via de online leeromgeving), wordt een plan van aanpak opgesteld, een kick-off bij de gemeente georganiseerd en de lokale projectorganisatie ingericht. Resultaat van deze fase: de gemeente is klaar om op 1 juli te starten met het invullen van de zelfevaluatie. 2. Uitvoering zelfevaluatie door gemeenten (1 juli december 2017) De zelfevaluatievragenlijst, de vragenlijst DigiD en vragenlijst BAG/BGT worden ingevuld. Het werkproces verantwoording door zelfevaluatie wordt verder uitgewerkt en uitgevoerd. Door regelmatige afstemming van betrokken medewerkers wordt de organisatie rondom informatieveiligheid binnen de gemeente continue verbeterd. Er wordt opdracht gegeven aan een auditor. Resultaat van deze fase: de gemeente is gestart met de verbetering van de processen rondom informatieveiligheid. De zelfevaluatievragenlijsten zijn ingevuld en geüpload. 3. A. Afronding horizontale verantwoording (1 januari 15 juli 2018) De paragraaf informatieveiligheid wordt opgesteld, en de paragraaf informatieveiligheid wordt besproken in de raad. Resultaat van deze fase: in de raad is gesproken over informatieveiligheid, n.a.v. de paragraaf informatieveiligheid. 3. B. Verantwoording aan landelijke toezichthouders (1 januari - 1 mei 2018) De collegeverklaring wordt opgesteld en er vindt een audit plaats. De collegeverklaring en het assurancerapport voor SUWInet en DigiD worden geüpload. Resultaat van deze fase: de gemeente heeft de verantwoording aan de verticale toezichthouders afgerond. 4. Evaluatie (1 mei 1 juni 2018) Afronding van het project. Evaluatie van de wijze van aanpak. Trekken van lessen voor de aanpak in Eventueel opstellen inhoudelijke en financiële eindverantwoording. Resultaat van deze fase: de gemeente heeft inzicht in het functioneren van haar wijze van aanpak. En weet indien nodig wat ze de volgende keer anders kan doen. 10

11 4.2 PROJECTACTIVITEITEN EN PRODUCTEN Deze paragraaf gaat in op de activiteiten die in de verschillende fases worden uitgevoerd. Voor een aantal van deze activiteiten is aanvullend achtergrondmateriaal beschikbaar in de leeromgeving. Uiteraard kunt u naar wens deze lijst uitbreiden met acties die in uw gemeente nodig zijn Voorbereiding (tot 1 juli 2017) In deze fase worden alle activiteiten uitgevoerd om op 1 juli te kunnen starten met de implementatie. Het gaat om: 1. Inwerken door coördinator en potentiële werkgroepleden: Verzamelen van relevante informatie door bezoek van coördinator aan informatiebijeenkomst, toegang tot leeromgeving en lezen van achtergrondinformatie. 2. Bepalen betrokkenheid: a. collega s en samenwerkingspartners. b. sturing portefeuillehouder. 3. Uitvoeren korte risico-analyse t.a.v. succes van implementatie ENSIA. 4. Opstellen plan van aanpak (door de coördinator en in afstemming met andere betrokkenen). 5. Inrichten projectorganisatie c.q. gemeentelijke werkgroep: Toewijzen taken, bevoegdheden en verantwoordelijkheden. 6. Kick-off: bijeenkomst met alle werkgroepleden, gemeentesecretaris en portefeuillehouder, eventueel betrokken afdelingshoofden. 7. Toewijzen van vragen aan werkgroepleden. 8. Interne communicatie: a. Er wordt een webbericht op intranet geplaatst (NB hiervoor kan de basistekst van KING worden gebruikt). b. Plannen presentatie aan de raad Uitvoering zelfevaluatie (1 juli december 2017) 1. Presentatie aan de raad (in overleg met portefeuillehouder). 2. Gemeentelijk werkgroepoverleg. 4. Opdracht (laten) geven pentest voor DigiD. 5. Third Party Mededeling (TPM nuttig voor de beveiligingsassessment DigiD): a. Vaststellen waarvoor TPM moet worden gevraagd en aan welke leverancier. b. Opdracht geven voor TPM. c. Verzamelen TPM (uiterlijk 15 oktober). d. Checken wat door TPM wordt gedekt en wat nog moeten worden ingevuld in de vragenlijst. NB TPM s zijn in veel gemeenten nodig voor DigiD. Je kunt ook denken aan een TPM of verklaring van een samenwerkingsverband. 6. Opdrachtverlening auditor. Keuze alleen Suwi en DigiD of ook breder, dat wil zeggen over (delen van) de zelfevaluatie informatieveiligheid 7. Doorlopen inventariseren van verbeteracties. 8. Inleveren in ENSIA-tool van zelfevaluatievragen BRP/PUN voor 1 oktober. De kwaliteitsmonitor staat sinds 1 april open. Burgerzaken is daar waarschijnlijk al mee aan de slag. De informatieveiligheidsvragen lopen mee met het proces van de kwaliteitsmonitor BRP/PUN. De ENSIA-vragen voor BRP/PUN moeten voor 1 oktober zijn ingevuld. Na afronding komt de 11

12 beantwoording van deze vragen automatisch terecht in de Kwaliteitsmonitor en bij RvIG. Het verantwoordingsproces loopt eveneens via de Kwaliteitsmonitor. 9. Inleveren zelfevaluatie BIG. 10. Communicatie: collega s inlichten over de afronding van de zelfevaluatie en de start van het verantwoordingsproces A. Afronding horizontale verantwoording (1 januari 15 juli 2018) 1. Opstellen paragraaf informatieveiligheid. 2. Vaststellen paragraaf informatieveiligheid in college van B&W. 3. Zorgen voor agenderen paragraaf in raad c.q. onder de aandacht brengen van informatieveiligheid (het proces zal gelijk lopen met behandeling van het jaarverslag in de raad). 4. Als er voor gekozen is dit separaat te doen, dan is een aparte agendering nodig. 5. Bespreken in raad B. Verantwoording aan verticale toezichthouders (1 januari 1 mei 2018) 1. Opstellen collegeverklaring. 2. Uitvoeren en faciliteren van Audit DigiD en Suwi. 3. Uploaden collegeverklaring, assurancerapport, TPM, rapportage BAG/BGT in ENSIA-tool Evaluatie (1 mei 1 juni 2018) Gezamenlijk evalueren van het proces. 4.3 RANDVOORWAARDEN Een goede implementatie heeft altijd een aantal randvoorwaarden. Bij de implementatie van ENSIA kun je denken aan: 1) Beschikbaarheid van inzet van medewerkers in projectorganisatie. 2) Commitment van gemeentesecretaris en portefeuillehouder. 3) Mandaat voor de uitvoering van het project. 4) Budget. 4.4 EXTERNE AFHANKELIJKHEDEN Zijn er ontwikkelingen buiten het project waar de implementatie van ENSIA van afhankelijk is? Welke zijn dat? Hoe kan je daar zo goed mogelijk mee omgaan? Denk hierbij bijvoorbeeld aan: - Tijdig kunnen inzetten van een goed geïnformeerde RE-Auditor (uiterlijk 15 oktober). - Beschikbaarheid pentesten t.b.v. DigiD. - Tijdige beschikking over TPM (uiterlijk 15 oktober). - Gemeenteraadsverkiezingen hoe zorg je voor betrokkenheid van zowel de oude als de nieuwe raad en portefeuillehouder?. 4.5 RISICO S Voordat u bent begonnen met het schrijven van het plan van aanpak, heeft u de risico s t.a.v. een succesvolle implementatie van ENSIA (dus niet de beveiligingsrisico s) in kaart gebracht. De analyse van de risico s kan helpen met het scherper maken van het plan van aanpak. In deze paragraaf kunt u deze analyse opnemen. Welke risico s t.a.v. de uitvoering van de implementatie zijn er? Met welke acties ondervang je deze risico s? 12

13 5 COMMUNICATIE Naast de deelnemers aan de werkgroep is het van belang te zorgen voor betrokkenheid van: 1) Het college van burgemeester en wethouders en de raad, zodat zij hun verantwoordelijkheid in het horizontale en verticale verantwoordingsproces kunnen nemen. 2) Collega s, zodat zij op de hoogte zijn van de verandering in het verantwoordingsstelsel en zich meer bewust worden van het belang van informatieveiligheid. College en raad Het is aan te raden om in de communicatie naar het college en de raad aan te sluiten bij de politieke agenda van uw gemeente. Staat dit onderwerp op de agenda? Zijn er toezeggingen gedaan door het bestuur t.a.v. informatieveiligheid? Heeft er een datalek plaatsgevonden in uw gemeente? Zorg dat in uw boodschap naar het college en de raad duidelijk is hoe een zorgvuldige verantwoordingsprocedure bijdraagt aan het verbeteren van de informatieveiligheid van uw gemeente. Collega s Om te zorgen dat het proces soepel verloopt is het van belang dat uw collega s tijdig op de hoogte zijn van de werkzaamheden. Wij adviseren om hen altijd mee te geven waarom het belangrijk is dat de zelfevaluatie wordt uitgevoerd en wat hun rol daarin is. Voor communicatie aan de leden van de werkgroep kunt u denken aan: 1) presentatie bij start van ENSIA (kick-off) zie format presentatie in leeromgeving. Voor communicatie aan college en raad (in overleg met het college) kunt u denken aan: 2) presentatie bij start van ENSIA zie format presentatie aan de raad in leeromgeving; 3) tussentijds voortgangsbericht; 4) informatieveiligheid en ENSIA meenemen in briefing van nieuwe wethouders en raadsleden (na de gemeenteraadsverkiezingen 2018); 5) agenderen van vaststelling collegeverklaring in B&W van januari/februari 2018; 6) agenderen van bespreking paragraaf informatieveiligheid in raadsvergadering van mei/juni Voor communicatie aan collega s kunt u denken aan: 1) intern nieuws/webbericht n.a.v. start ENSIA zie format in leeromgeving; 2) intern nieuws/webbericht n.a.v. opleveren zelfevaluatie-vragenlijsten (dec 2017/jan 2018); 3) intern nieuws/webbericht n.a.v. vaststellen collegeverklaring, dan wel bespreking van paragraaf informatieveiligheid in de raad; 4) aansluiting op en bijdragen aan (interne) bewustwordingscampagne informatieveiligheid wellicht is de implementatie van ENSIA voor uw gemeente aanleiding om informatieveiligheid verder op de kaart te zetten? Een CISO heeft hierin een voortrekkersrol. Zoek daarvoor contact met de CISO. Tools voor bewustwording kunt u vinden bij de IBD, Tip: Spion op je pad, een serious boardgame voor gemeenten: 5) het op het intranet overnemen van berichten over informatieveiligheid van KING, VNG en IBD. 13

14 6 ORGANISATIESTRUCTUUR Dit hoofdstuk gaat in op de samenstelling van het opdrachtgeversoverleg, de werkgroep, de overlegstructuur, projecttooling en overige stakeholders. Bedenk wie u nodig heeft binnen de eigen gemeente bij het realiseren van het projectplan. U kunt hierbij denken aan: Portefeuillehouder; Gemeentesecretaris/algemeen directeur; Lijnmanagers (ICT, HR, Financiën/Middelen/Control, Burgerzaken, Sociaal domein, Geografische informatie); CIO; CISO / adviseur informatiebeveiliging en privacy; Domeindeskundigen en gegevensbeheerders op het terrein van DigiD, Suwi, BAG, BGT, BRP, PUN; Controller. Kijk goed wie u nodig heeft voor de besluitvorming. En wie u nodig heeft in uw werkgroep. Voor meer informatie over de rollen en taken van de diverse medewerkers zie het document ENSIA rolen taakbeschrijving in de leeromgeving. In veel gemeenten is sprake van samenwerkingsverbanden voor bijvoorbeeld ICT of sociale dienst (ISD). Betrek ook medewerkers van samenwerkingsverbanden bij de implementatie van ENSIA. Zij werken immers ook met (gevoelige) gegevens. Ook al heeft een gemeente uitvoerende taken uitbesteed, de gemeente blijft verantwoordelijk voor het op orde hebben van de informatieveiligheid! Bedenk bij het uitwerken van de organisatiestructuur ook wanneer en de wijze waarop u de auditor wilt betrekken. 14

15 6.1 SAMENSTELLING OPDRACHTGEVERSOVERLEG Met het opdrachtgeversoverleg kan de coördinator verbinding houden met de opdrachtgever. Zorg dat helder is wie binnen de gemeente de opdrachtgever voor het project ENSIA is. Leg ook vast hoe vaak dit overleg wordt gevoerd (zie overlegstructuur). Zorg als coördinator voor achtervang en leg dit met de opdrachtgever vast. Het opdrachtgeversoverleg hoeft geen separaat overleg te zijn, het kan onderdeel zijn van een bestaand overleg. Tabel 1. Samenstelling opdrachtgeversoverleg ENSIA ROL NAAM TAKEN/VERANTWOORDELIJKHEDEN Opdrachtgever Portefeuillehouder Bestuurlijk eindverantwoordelijk voor het project Zorgt voor eventuele financiële middelen voor de [naam uitvoering van het project portefeuillehouder] Bewaakt de voortgang van het project op strategisch niveau Gedelegeerd Gemeentesecretaris, Is ambtelijk verantwoordelijk voor de uitvoering van ENSIA opdrachtgever Afdelingshoofd, lid Stuurt coördinator aan MT? Opdrachtnemer, [naam coordinator] Zorgt voor de dagelijkse uitvoering van het project. Zie profiel coördinator coördinator [naam achtervang] 15

16 6.2 SAMENSTELLING WERKGROEP Uit de pilots ENSIA die in het najaar 2016 zijn gehouden, is gebleken dat het handig is om een werkgroep of projectteam samen te stellen met medewerkers met een verschillende achtergrond. In de tabel is een overzicht opgenomen van de verschillende deskundigheden die worden gevraagd. In de tweede kolom kan de naam van de medewerkers die deelnemen aan de werkgroep worden ingevuld. Uit de pilots is geen eenduidig beeld naar voren gekomen hoeveel capaciteit wordt gevraagd van de verschillende mensen die een bijdrage leveren aan het invulproces. Voor de coördinator is een voorzichtige inschatting van 4 uur per week gemaakt. Om de zelfevaluatie te kunnen uitvoeren is de inzet gewenst van de volgende rollen c.q. personen. Afhankelijk van de gemeentegrootte is het mogelijk dat één persoon meerdere rollen vervult. Tabel 2. Samenstelling ENSIA werkgroep ROL NAAM TAKEN/VERANTWOORDELIJKHEDEN Coördinator [ ] Is primair verantwoordelijk voor het project Rapporteert aan de portefeuillehouder Overlegt regelmatig met opdrachtgever Is het aanspreekpunt voor vragen Projectondersteuner [ ] Zorgt voor de projectondersteuning Zorgt voor de interne coördinatie, planning, (afhankelijk van voortgangsbewaking en rapportage gemeentegrootte) CISO / adviseur [ ] Betrokkenheid vanuit informatieveiligheid Zie profiel CISO op informatieveiligheid en privacy Domeindeskundige BRP [ ] Bijdrage aan beantwoorden van vragen Agenderen van ENSIA in werkoverleg van eigen afdeling Afstemmen met contactpersoon zelfevaluatie BRP/PUN (deze persoon is aanspreekpunt voor RvIG voor het invullen van de Kwaliteitsmonitor BRP/PUN) Domeindeskundige PUN [ ] Afstemmen met contactpersoon zelfevaluatie BRP/PUN (deze persoon is aanspreekpunt voor RvIG voor het invullen van de Kwaliteitsmonitor BRP/PUN) Agenderen van ENSIA in werkoverleg van eigen afdeling Domeindeskundige Suwi [ ] Mede invullen van vragen m.b.t. Suwi Agenderen van ENSIA in werkoverleg van eigen afdeling Domeindeskundige DigiD [ ] Bijdrage aan invullen DigiD-vragenlijst Medewerker HR [ ] Mede invullen vragen gerelateerd aan de eigen domeinen /Financien/Middelen/ Agenderen van ENSIA in werkoverleg van eigen Control/Inkoop afdeling Privacy officer [ ] Mede invullen vragen gerelateerd aan privacy Agenderen van ENSIA in werkoverleg van eigen afdeling Communicatiemedewerker [ ] Aanpassen webberichten Plaatsen webberichten Redigeren eindrapportages In deze paragraaf kunt u ook nog aangeven hoe de werkgroep zich verhoudt tot andere overleggen die mogelijk binnen de gemeenten raakvlakken hebben met informatieveiligheid en/of verantwoording. 16

17 6.3 OVERLEGSTRUCTUUR Bedenk met wie het van belang is om gedurende het project te overleggen, met welke frequentie en met welk doel. De hieronder genoemde overleggen zijn minimaal van belang. Onderstaande tabel kunt u gebruiken om de situatie in uw eigen gemeente verder uit te werken. Tabel 3. Overlegstructuur OVERLEG DEELNEMER FREQUENTIE DOEL Opdrachtgever Opdrachtgever Eens per Informeren opdrachtgever opdrachtnemer Gedelegeerd twee à drie over voortgang overleg opdrachtgever Opdrachtnemer/ coördinator maanden Werkgroepoverleg Coördinator Maandelijks Afstemmen over verschillen Leden tussen domeinen werkgroep Afstemmen over het invullen vragenlijst Bespreken voortgang Inventariseren van benodigde verbeteracties 6.4 STAKEHOLDERS Interne stakeholders Wie zijn de stakeholders die u in het project wilt betrekken en die geen onderdeel uitmaken van de werkgroep? Denk hierbij bijvoorbeeld aan: - College van B&W; - Afdelingshoofden sociale zaken, burgerzaken, publiekszaken, financiën, HR; - Collega s van andere afdelingen; - Raadsleden. Bedenk voor elk van deze stakeholders waarvoor u hen zou willen betrekken en hoe u dat doet. Tabel 4. Stakeholders STAKEHOLDER NAAM DOEL College van B&W [Naam] Vaststellen paragraaf informatieveiligheid Vaststellen collegeverklaring Portefeuillehouder [Naam] Uitnodigen voor kick-off Manager burgerzaken [Naam] Verbeteracties binnen burgerzaken berspreken Agenderen van ENSIA in werkoverleg 17

18 Samenwerkingsverbanden Denk bij het uitwerken van de organisatiestructuur ook aan samenwerkingsverbanden. De gemeente is verantwoordelijk voor de informatieveiligheid, ook als werk is uitbesteed aan samenwerkingsverbanden. De gemeente blijft verantwoording over informatieveiligheid afleggen aan gemeenteraad en verticale toezichthouders. Het is dus van belang dat u contact onderhoudt met het samenwerkingsverband. Wellicht kan een vertegenwoordiger van het samenwerkingsverband meedraaien in de werkgroep. Of is het zinvol om regelmatig te overleggen met het samenwerkingsverband. Onderwerpen waarover met het samenwerkingsverband mogelijk afspraken kunnen worden gemaakt: - Gezamenlijke projectorganisatie; - Het delen van de vragenlijst die voor meerdere gemeenten identiek wordt ingevuld; - Gezamenlijke inkoop van de auditor, indien de samenwerking gaat over Suwi en DigiD - Is verantwoording over informatieveiligheid in gezamenlijke afspraken opgenomen? Externe stakeholders Er zijn ook partijen buiten de gemeente nodig om van de implementatie van ENSIA een succes te maken. Denk hierbij aan: - De auditor; - De uitvoerder van pentest; - Softwareleveranciers t.b.v. TPM. Bedenk voor elke stakeholder waarvoor u deze wilt betrekken, op welke wijze en welke deadlines er zijn. Tabel 5. Stakeholders STAKEHOLDER NAAM DOEL WIJZE VAN CONTACT Softwareleverancier [Naam bedrijf] TPM Via opdrachtverlening t.bv Opdrachtverlening (zomer 2017) Gewenste opleverdatum uiterlijk 15 oktober Onafhankelijke [Naam bedrijf] Uitvoeren Zie pentester pentest content/uploads/2014/11/ handreikingpenetratietesten-v1.0.pdf Auditor [Bedrijf en Uitvoeren Opdrachtverlening uiterlijk naam audit oktober 2017 contactpersoon] Zie format opdracht auditor 18

19 Ondersteuning door KING KING ondersteunt gemeenten op diverse thema s van informatieveiligheid. U kunt verwijzingen naar deze ondersteuning opnemen in het projectplan. Voor ondersteuning kan een beroep worden gedaan op: - KING, voor implementatievragen via ensia@kinggemeenten.nl - IBD, voor vragen over de BIG via info@ibdgemeenten.nl - Logius, voor vragen over DigiD: - RvIG, voor vragen over BRP en PUN info@rvig.nl - ICTU voor vragen over ENSIA-tool via ensia@ictu.nl 6.5 PROJECTTOOLS ENSIA-tool Het invullen van de vragenlijst wordt ondersteund door de ENSIA-tool. Deze tool is per 1 juli beschikbaar. De ENSIA-tool is gericht op het kunnen afleggen van verantwoording aan raad en verticale toezichthouders. Kenmerken van de tool: - is een commercieel gebouwde SaaS-oplossing, gebaseerd op de tool Vensters voor Bedrijfsvoering; - is ontwikkeld conform de principes 'security & privacy by design'; - voldoet aan de eisen zoals die gesteld zijn in de (tactische) BIG en de Wbp/AVG; - is voorzien van twee-factor-authenticatie 1 ; - de gemeente kan zelf gebruikersrechten toekennen, verruimen en beperken (exclusiviteit t.a.v. de eigen organisatie-informatie is gegarandeerd); - beheer en exploitatie is ondergebracht bij Logius. ISMS Sommige gemeenten maken gebruik van een ISMS. De ENSIA-tool maakt het mogelijk om de vragenlijst te exporteren. Deze kan in de ISMS-tooling worden geïmporteerd. Het is op dit moment nog niet mogelijk om antwoorden uit ISMS in ENSIA te importeren. Geef in deze paragraaf aan of u wel of geen gebruik maakt van ISMS voor het beantwoorden van de vragenlijst. En hoe u de samenhang tussen beide tools borgt. 1 Voor het inloggen op ensia.nl wordt gebruikt gemaakt van: gebruikersnaam, wachtwoord en een code verkregen via de app google identity 19

20 Archief/Documentatie Om de basisdocumentatie waarop de antwoorden op de ENSIA-vragen zijn gebaseerd makkelijk te kunnen terugvinden, is het van belang om vanaf het begin van het project te zorgen voor een heldere eenduidige archivering van stukken, volgens een goede structuur. Leg in deze paragraaf vast: - De structuur waarin documenten worden opgeslagen; - De nummering van documenten; - Wie toegang heeft tot de map met documenten; - Wie welke rechten heeft (lezen, schrijven, muteren, verwijderen); - Wie de structuur van de map bewaakt; - Waar de documenten worden opgeslagen, geraadpleegd en gearchiveerd (zaaksysteem?). In de leeromgeving is een voorstel voor structurering van de documenten opgenomen. 20

21 7 BEGROTING In de pilotfase hebben gemeenten de zelfevaluatie uitgevoerd zonder extra budget - anders dan het budget dat er al was voor de verantwoording naar de verticale toezichthouders. Het kan dus goed zijn dat uw gemeente geen aanvullend budget nodig heeft voor ENSIA. Er zijn echter wel delen van het project waar mogelijk (extra) budget voor nodig is. Het kan ook zijn dat kosten bij ENSIA moeten worden ondergebracht die voorheen op een andere plek in de begroting stonden. Bijvoorbeeld kosten voor: - Inhuur uitvoering pentest; - Inhuur auditor; - Inhuur van vervangers van mensen die activiteiten voor het project ENSIA doen; - Bij een samenwerkingsverband zijn er wellicht kosten verbonden aan het betrekken van een medewerker van het samenwerkingsverband; - Kosten voor de uitvoering van verbeterplannen; - Kosten die gemaakt worden voor overleg, zoals een vergaderlocatie. 21

22 KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN JS DEN HAAG POSTBUS GK DEN HAAG T F INFO@KINGGEMEENTEN.NL 22