Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Transcriptie

1

2 Even voorstellen Youri Lammerts van Bueren CISO BUCH-gemeenten Stuurgroeplid

3 1 Wat is ENSIA ENSIA: Eenduidige Normatiek Single Information Audit Nieuwe verantwoordingssystematiek voor gemeenten ten aanzien van informatieveiligheid Vervangt de huidige verantwoordingssystematiek over de BRP, PUN (nu PNIK) en DigiD Jaarlijks, start 1 juli 2017 Verantwoording gaat over kalenderjaar 2017; dus de DigiD-audit over 2016 dient gewoon uiterlijk 1 mei 2017 te zijn afgerond.

4 2 Waar komt ENSIA vandaan (aanleiding) Resolutie Informatieveiligheid (BALV 2013): Informatieveiligheid is belangrijk. We zetten hierin zelf stappen Wij hebben geen wetgeving nodig (autonomie) Verplichtende zelfregulering met de BIG als normkader Als wisselgeld van het Rijk: Geen extra wet- en regelgeving Wij blijven autonoom bepalen zelf de stappen en fasering Willen dat de BIG wordt erkend door het Rijk) Vermindering van auditlast (Project ENSIA vanuit BZK)

5 3 Het doel van ENSIA Het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de BIG Praktisch gezien: wat heb je eraan? Ontdubbeling van vragen Integraal overzicht Versterken horizontaal toezicht (positioneren raad) (NIEUW). Slim verantwoording afleggen op één moment via één centrale omgeving

6 4 De reikwijdte van ENSIA BRP PNIK SUWI DigiD BAG BGT BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

7 5 Wat is nieuw met ENSIA Oude situatie 2016 ENSIA-situatie 2017 Niet alle gemeenten verantwoorden zich bestuurlijk in het openbaar (transparantie; via P&C-cyclus) Er zijn verschillende vragenlijsten die op een verschillend moment worden uitgezet Nationale toezichthouders stellen veel dezelfde vragen Het college dient in het jaarverslag horizontaal verantwoording af te leggen aan de raad mbv collegeverklaring; assurancerapport en paragraaf IV in jaarverslag. Zelfevaluatie op basis van de BIG. Op één moment (vanaf juli) wordt uitgevraagd via één tooling (ENSIA) Ontdubbeling van vragen op basis van de BIG. Rapportages kunnen automatisch worden gegenereerd. Verticale verantwoording via de tooling Er was één IT-audit, namelijk op de DigiD Er is één IT-audit: op de DigiD, maar ook op de 7 SUWI-normen Niet-informatieveiligheidsvragen via andere tools Ook de niet-informatieveiligheidsvragen via ENSIA (wo ook BAG/BGT) 2017 is een overgangsjaar (zie volg. sheet)

8 6 Tijdsplanning ENSIA 2017 KWALITEITSMONITOR April oktober 2017 Specifieke BRP en PNIK vragen in de kwaliteitsmonitor ENSIA Juli-december 2017: invullen zelfevaluatie Vóór 1 oktober 2017 BRP en PNIK in ENSIA Vóór 31 december de overige vragen ingevuld Januari-juli 2018 Vóór 1 mei 2018 opstellen en uploaden collegeverklaring; uitvoeren IT-audit (DigiD + 7 Suwi-normen) en uploaden Assurance rapport. Vóór 1 mei 2018 uploaden rapport BAG en BGT Voor 15 juli horizontale verantwoording via jaarstukken

9 7 Hoe moet ik starten Gemeentesecretaris moet coördinator ENSIA aanwijzen ( De coördinator kan zich aanmelden voor regionale ENSIAsessies en ontvangt ondersteunende documentatie (ja, alleen de coördinator..) Omschrijvingen taken, verantwoordelijkheden van stakeholders E-omgeving (stapsgewijze aanwijzingen) Stappenplan Presentatiemateriaal (voor bijv aan de raad) Communicatieteksten (webteksten, intranetteksten etc) Format opdrachtverstrekking aan IT-auditor Format collegeverklaring Format assurancerapport Er komt veel ondersteunend materiaal beschikbaar 7 Hoe moet ik starten Stappenplan Fase I: Voorbereiding (1 april tot 1 juli 2017) Benoemen coördinator en aanmelden Aanmelden voor leeromgeving en regiobijeenkomst Inlezen Opstellen plan van aanpak Kick-off bijeenkomst Autorisaties inregelen voor ENSIA-tooling Fase II: Zelfevaluatie (1 juli tot 31 december 2017) Fase III: Verantwoording (1 januari tot 15 juli 2018)

10 7 Hoe moet ik starten Stappenplan Fase I: Voorbereiding (1 april tot 1 juli 2017) Fase II: Zelfevaluatie (1 juli tot 31 december 2017) Vragen zijn beschikbaar in ENSIA Bespreek detailplan/werkverdeling met invullers Intern communiceren Tussentijdse evaluatie (half aug/half sep/..) Inleveren/bevriezen BRP/PNIK 1 oktober Tussentijdse eveluatie (half okt/half nov) Verbeteracties doorvoeren ivm IT-audit Opdracht geven voor pentest DigiD TPM s verzamelen Bevriezen antwoorden in volle breedte op 31 december Fase III: Verantwoording (1 januari tot 15 juli 2018) 7 Hoe moet ik starten Stappenplan Fase I: Voorbereiding (1 april tot 1 juli 2017) Fase II: Zelfevaluatie (1 juli tot 31 december 2017) Fase III: Verantwoording (1 januari tot 15 juli 2018) Opstellen collegeverklaring Vaststellen collegeverklaring Uitvoeren IT-audit Opstellen en opleveren assurancerapport Uploaden collegeverklaring; assurancerapport en rapportage BAG/BGT Opstellen paragraaf IB in jaarverslag Vaststellen Jaarverslag <15 juli 2018 Einde

11

12

13

14 9 Waar vind ik meer informatie Site KING: Site VNG Site ENSIA: Procesbegeleider(s) ENSIA 5 personen vanuit KING Mail Ensia@kinggemeenten.nl of Eventueel mij: Yourilammerts@debuch.nl

15 Vragen? PROGRAMMA NETWERKDAG Plenaire afsluiting + borrel (verloting boeken)