Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Vergelijkbare documenten
Handreiking Implementatie Specifiek Suwinetnormenkader

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

ENSIA voor informatieveiligheid

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Verantwoordingsrichtlijn GeVS 2019 (versie )

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Handleiding ENSIA-tool. voor gemeenten

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Welkom bij parallellijn 1 On the Move uur

Assurancerapport van de onafhankelijke IT-auditor

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

ECIB/U Lbr. 17/010

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

Jaarverslag Informatiebeveiliging en Privacy

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Introductie Suwinet en ENSIA

2015; definitief Verslag van bevindingen

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

UWV 2 0 DEC SBK/98574/AM. Aan de staatssecretaris van Sociale zaken en Werkgelegenheid Mevrouw drs. T. van Ark Postbus LV Den Haag

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Format presentatie Kick-off

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

i\ r:.. ING. 1 8 FEB 2016

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

Stuurgroep Verantwoordingsstelsel ENSIA

Tweede Kamer der Staten-Generaal

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

7 maart Ons kenmerk TIS U Lbr. 19/010. Bijlage(n)

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Suwinet is de digitale infrastructuur die is ontwikkeld door en om ervoor te zorgen dat, de Suwi-partijen (UWV, SVB en

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

rliiiiihihhiiiivi.ilhn

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Informatieveiligheidsbeleid

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Aan welke eisen moet het beveiligingsplan voldoen?

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

ons kenmerk ECIB/U Lbr. 16/046

Gemeente Alphen aan den Rijn

Hoe operationaliseer ik de BIC?

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Bijeenkomst DigiD-assessments

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Rekenkamercommissie Brummen

Verbeterplan Suwinet

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

ons kenmerk ECSD/U Lbr. 14/091

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

Olst-Wijhe, 28 januari 2019 Zaaknummer: Beveiligingsplan Suwinet gemeente Olst-Wijhe

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Verantwoordingsrichtlijn

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

ENSIA guidance DigiD-assessments

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

BABVI/U Lbr. 13/057

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Mit VERZONDEN 2 4 ME! Geachte leden van de raad,

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Handreiking uitvoering ENSIA verantwoording 2018

Norm 1.3 Beveiligingsplan

Transcriptie:

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Versie 2.0 van mei 2019

Inhoud 1 Inleiding... 3 Waarom een handreiking voor de implementatie van het nieuwe normenkader?... 3 2 Algemene verschillen: Verantwoordingsrichtlijn GeVS 2011 en Specifiek Normenkader Suwinet Afnemers 2017... 3 3 Het nieuwe normenkader... 5 3.1 Highlights... 5 3.2 Hoe kun je het normenkader implementeren?... 6 4 Het specifieke normenkader Suwinet voor afnemers en ENSIA... 7 5 Nieuwe Suwinet normenkader i.r.t. Samenwerkingsverbanden... 9 2/9

1 Inleiding Met ingang van 1 april 2017 is het nieuwe Suwinet-normenkader afnemers van kracht geworden voor gemeenten. Dit normenkader vervangt het Normenkader GeVS 2011. De normen in het normenkader GeVS 2011 zijn in het kader van het programma Borging veilige gegevensuitwisseling via Suwinet tegen het licht gehouden, aangescherpt en in lijn gebracht met de generieke bestaande baselines voor informatiebeveiliging, namelijk de normenkaders van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging Rijksdienst (BIR). Momenteel (mei 2019) worden er analyses uitgevoerd om het Suwinet-normenkader in lijn te brengen met de Baseline Informatiebeveiliging Overheid (BIO). Dit document zal daar t.z.t. op aangepast worden. Bij de totstandkoming van het nieuwe Suwinet-normenkader is eerst vastgesteld welke risico s minimaal moeten worden afgedekt. Hierna zijn de normen aangescherpt en opgenomen in het Suwinet-normenkader. De normen zijn in lijn met bovengenoemde baselines. Waarom een handreiking voor de implementatie van het nieuwe normenkader? Na vaststelling en publicatie van het nieuwe Suwinet normenkader in april 2017 zijn veel vragen binnengekomen bij het toenmalige implementatieteam Borging veilige gegevensuitwisseling via Suwinet. Bijvoorbeeld: wat is het verschil tussen het oude en nieuwe normenkader en hoe komt de BIG terug in het nieuwe normenkader? Hoe kan het geïmplementeerd worden? Wat is de relatie met ENSIA en hoe kun je de conformiteitsindicatoren duiden? Met deze handreiking beogen wij de relatie tussen de verschillende onderwerpen uit te leggen en gaan wij in op de verschillen tussen het oude en nieuwe normenkader. Wij bieden handvatten om het nieuwe Suwinet normenkader te implementeren en gaan tenslotte in op de relatie van het nieuwe normenkader met ENSIA. 2 Algemene verschillen: Verantwoordingsrichtlijn GeVS 2011 en Specifiek Normenkader Suwinet Afnemers 2017 In volgend schema zijn de oude verantwoordingsrichtlijn GeVS 2011 en het Specifiek Normenkader Suwinet Afnemers tegenover elkaar gezet. Belangrijk verschil bij de totstandkoming van het nieuwe Suwinet normenkader is dat een andere methodiek is gebruikt. In het oude normenkader zijn de 115 normen voor afnemers, bronhouders en de beheerder samengevoegd en vervolgens onderverdeeld in 20 aandachtsgebieden. 3/9

In het algemeen geldt dat het nieuwe normenkader in basis dezelfde risico s afdekt als het oude normenkader. Bij het opstellen van het nieuwe normenkader is een grote inspanning gepleegd om onderscheid te maken welke normen voor welke doelgroep (afnemers, beheerder en bronhouders) van toepassing zijn en is de omvang van de normen waar mogelijk gereduceerd. Het resultaat hiervan is dat het aantal normen voor afnemers is teruggebracht naar 26. Daardoor zijn normen die niet van toepassing waren voor gemeenten, bijvoorbeeld eisen ten aanzien van softwareontwikkeling, ook niet opgenomen in het nieuwe normenkader. Het uitgangspunt van het nieuwe Suwinet Normenkader zijn de generieke bestaande baselines of normenkaders (BIR en BIG). De oude Suwinet normen zijn door de zeef van de BIG en de BIR gehaald. De normen die al goed door deze baselines worden afgedekt zijn niet in het nieuwe Suwinet normenkader opgenomen. 4/9

3 Het nieuwe normenkader In het nieuwe Suwinet-normenkader zijn de normen ondergebracht binnen een drietal domeinen, namelijk beleid, uitvoering en control. Verder spreekt het nieuwe Suwinet-normenkader over criteria. Een criterium is hetzelfde als een norm. Per criterium (wie en wat) wordt het doel beschreven (waarom) en welk risico het moet afdekken. Vervolgens zijn hier conformiteitsindicatoren aan gekoppeld. Een conformiteitsindicator kan worden opgevat als een implementatie-aanwijzing. Met andere woorden, u kunt het inzetten om de norm te implementeren. Het is echter geen verplichting. U kunt dus ook op een andere manier aan de norm voldoen. Het belangrijkste is dat het risico volledig is afgedekt en daarmee aan de norm wordt voldaan. De conformiteitsindicatoren vormen samen wel een goede richting om te voldoen aan de normen. 3.1 Highlights Het nieuwe Suwinet normenkader bevat een aantal onderwerpen waar gemeenten vragen over hebben gesteld. De meeste vragen zijn te herleiden tot een aantal termen en onderwerpen. 1. Aansluitbeleid Het aansluitbeleid verwijst naar het gemeente-breed informatiebeveiligingsbeleid met daarin specifieke aandacht voor het aansluiten op Suwinet. Aansluitbeleid en informatiebeveiligingsbeleid zijn in die zin vergelijkbaar. Overigens, gemeenten noemen dit ook vaak het beveiligingsbeleid Suwinet. 2. Risico-klasse/classificatie van informatie In het nieuwe normenkader wordt verwezen naar een door de bronhouders vast te stellen risicoklasse. Deze vaststelling heeft nog niet plaatsgevonden. Dat betekent dat de oude klasse geldt vanuit het voorgaande normenkader (classificatie 2). De IBD heeft hiervoor een praktische Handreiking Dataclassificatie ontwikkeld. Deze vindt u op www.informatiebeveiligingsdienst.nl 3. Suwinet deel landschap afnemers Dit betreft de IT-componenten die vanuit de gemeente een relatie hebben met Suwinet. Denk bijvoorbeeld aan de gemeentelijke kantoorautomatisering, het netwerk, de firewall en ook de applicatieserver. Indien men DKD-inlezen gebruikt, dan vallen ook de bijbehorende applicaties, waar gegevens uit Suwinet-Inkijk in komen te staan, onder het Suwinet deel landschap afnemers. 4. TPM TPM staat voor Third Party Memorandum. Dit is een middel om de betrouwbaarheid op gebied van informatiebeveiliging van een derde partij te kunnen vaststellen. Een TPM wordt opgesteld door een externe auditor. 5/9

5. Eisen aan wachtwoorden De scope van deze norm betreft zowel de eisen aan wachtwoorden aan Suwinet-zijde (door BKWI vast te stellen) als de (logische) toegangsbeveiliging aan gemeentezijde. Hierbij moet worden gedacht aan de toegang tot de gemeentelijke kantoorautomatisering/applicaties/netwerk. 6. OTAP OTAP staat voor Ontwikkel-/Test-/Acceptatietest-/Productie-omgeving. Dit betreft de scheiding van IT-omgevingen voor de verschillende stadia van software-ontwikkeling of bijvoorbeeld in productie name van software van derden. Deze norm ziet toe op procedures voor testen ten aanzien van de betrouwbaarheid van software, alvorens deze in productie wordt genomen. De inzet van nieuwe gemeentelijke software mag in die zin niet leiden tot beveiligingsrisico s voor Suwinet. Een tweede onderdeel van deze norm is het voorkomen van gebruik van Suwinetproductiegegevens buiten de reguliere productie-omgeving. Dat betekent dat gegevens uit Suwinet- Inkijk niet mogen worden gebruikt voor het testen van nieuwe software. Dit kan bijvoorbeeld het geval zijn als men gebruik maakt van een applicatie voor DKD-Inlezen. 7. Suwinet-Servers Onder Suwinet-servers worden de servers van de gemeente (of de hosting partij) verstaan die gekoppeld zijn aan en/of gebruik maken van het Suwinet. Bijvoorbeeld de applicatieserver waar de internet browser draait, de mailserver met Suwi-Mail of de applicatieserver voor de applicatie die gebruik maakt van DKD-inlezen. 8. Scope logging De scope van deze norm betreft zowel de logging door BKWI (denk aan de generieke en specifieke rapportages) maar ook de logging van handelingen voor zover deze plaatsvindt op en binnen de gemeentelijke IT-omgeving (werkplek, beheer). Het gaat bij logging dus vooral om de vraag: wie heeft wanneer welk persoonsgegeven verwerkt en voor welk doel?. 3.2 Hoe kun je het normenkader implementeren? De InformatieBeveiligingsDienst (IBD) heeft voor de implementatie van de BIG een handreiking ontwikkeld om binnen de gemeente te toetsen of en in welke mate de gemeente voldoet aan de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De stappen die zijn beschreven in de handreiking om de BIG te implementeren kunnen ook worden aangehouden voor de implementatie van het nieuwe Suwinet normenkader. Zoals aangegeven zijn ook de conformiteitsindicatoren inzetbaar om de normen te implementeren 6/9

4 Het specifieke normenkader Suwinet voor afnemers en ENSIA De verantwoording over informatieveiligheid met betrekking tot Suwinet is met ingang van 2017 ondergebracht in de bredere gemeentelijke verantwoording over informatieveiligheid in het kader van ENSIA (Eenduidige Normatiek Single Information Audit). Suwinet is één van de onderdelen waarover de gemeente zich horizontaal aan de gemeenteraad en verticaal aan de (landelijke) toezichthouders verantwoordt. ENSIA is gemeentebreed gebaseerd op de BIG, waardoor vragen breder kunnen spelen dan bij bijvoorbeeld de onderzoeken van de Inspectie SZW, waarin de focus beperkt bleef tot Suwinet. Het effectief en efficiënt inrichten van de beveiliging van de informatievoorziening vraagt om eenduidige normen (en verantwoording). Dat geldt voor Suwinet en ook voor de basis registratie personen (BRP), de paspoortwet (PUN), DigiD en gebouwenregistraties (BAG/BGT). De basis voor de controle van al deze normen en de verantwoording daarover, is gelegd in ENSIA. ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren. Dit doet ENSIA door het toezicht te bundelen en aan te laten sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier beter op sturen. Binnen ENSIA is gewerkt aan één integrale set van vragen die alle bestaande normen en maatregelen in één keer uitvraagbaar maakt. Dit is inclusief een eindrapportage, een met DigiD gecombineerde controle door een auditor en een verantwoording (horizontaal en verticaal). Het vernieuwde normenkader Suwinet voor afnemers is integraal binnen ENSIA opgenomen. Waarbij de formulering van de vragen is afgestemd op de gehanteerde structuur en terminologie van de BIG. Op die manier is het voor gemeenten eenvoudig om te voldoen aan de eisen van transparantie en audit. De vragenset van ENSIA is ontwikkeld door BZK, I en M, SZW, VNG en een aantal gemeenten. De vragenset is per 1 juli 2017 beschikbaar gesteld. Meer informatie is te vinden op de website van ENSIA en VNG-Realisatie. Verantwoording nieuwe Suwinet normenkader via ENSIA Gemeenten verstrekken via ENSIA informatie aan het ministerie van SZW. Het ministerie van SZW laat vervolgens via de beheerder (BKWI) een geconsolideerde rapportage opstellen, conform het nieuwe normenkader voor afnemers (C08 transparantie-eis). Vervolgens bundelt BKWI de verantwoording van gemeenten tot een totaal overzicht en rapporteert aan het ketenoverleg GeVS en de minister van SZW. Suwinet en ENSIA in de praktijk In de afgelopen jaren was er al de eis aan gemeenten zich te verantwoorden aan het BKWI als beheerder van Suwinet op grond van het (volledige) normenkader GeVS 2011. Daarnaast heeft de Inspectie SZW een aantal opeenvolgende onderzoeken uitgevoerd naar de kwaliteit van de 7/9

informatiebeveiliging van Suwinet door gemeenten. De Inspectie SZW heeft deze onderzoeken afgebakend tot een selectie van zeven normen. Het nieuwe normenkader Suwinet vereist dat gemeenten de informatiebeveiliging zodanig inrichten dat wordt voldaan aan de gestelde normen. De verantwoording vindt plaats in de ENSIA vragenlijst, aangevuld met een audit op een deel van de normen. In ENSIA kunnen gemeenten conform de structuur van de BIG aangeven hoe de informatieveiligheid voor Suwinet is georganiseerd. De ENSIA-vragen die zijn gerelateerd aan het normenkader Suwinet bevatten een verwijzing naar de betreffende norm (is opgenomen in de toelichting bij de vragen). Let er op dat door de vraagstelling (ja/nee vragen) het aantal vragen groter is dan het aantal normen. Een norm kan in meerdere vragen in ENSIA terugkomen en een vraag kan betrekking hebben op meer domeinen dan alleen het SUWI domein. Over welke normen legt de gemeente verantwoording af aan het ministerie van SZW? In de verantwoording gaat het om 13 normen waarover de gemeente zich verantwoordt in de collegeverklaring die uiteindelijk door de Register EDP-Auditor/RE wordt getoetst. Deze 13 normen zijn onder andere gebaseerd op de bekende 7 normen zoals de inspectie die in voorgaande jaren toetste en enkele normen die uit de onderzoeken van de Autoriteit Persoonsgegeven (AP) naar voren zijn gekomen. In onderstaande tabel zijn deze normen opgenomen. BIG Suwinet 1 Generieke controls met specifieke objectgerichte aanvullingen 5.1.1 Beleidsdocument voor informatiebeveiliging x (B01) 5.1.2 Beoordeling van het informatiebeleid x x 6.1.1 Betrokkenheid van het college van B en W bij informatiebeveiliging x x 6.1.2 Coördineren van informatiebeveiliging x (B01, B03, B04) 6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging x (B05) Objectgerichte controls 8.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging x 10.1.3 Functiescheiding x (B05) 10.10.1 Aanmaken auditlogbestanden x (C05) 10.10.2 Controle van het systeemgebruik x (C06) 11.2.1 Registratie van gebruikers x (U03) 11.2.4 Beoordeling van toegangsrechten van gebruikers x (U03, C04) 11.5.2 Gebruikersidentificatie en -authenticatie x (U03) 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen x (U11) De bovenstaande 13 normen zijn in de ENSIA vragenlijst gekoppeld aan 36 hoofdvragen. Het verschil in aantal komt doordat de normen als eenduidige vragen zijn geformuleerd in de vragenlijst. De beantwoording van deze vragen vormt de basis voor de verantwoording van het College aan het Rijk. 1 Wanneer er geen verwijzing naar een Suwinetnorm is aangegeven is, betekent dit dat de vraag vanuit de BIG is toegevoegd. Daarmee wordt het meegenomen in de beoordeling van de informatiebeveiliging rondom Suwinet. 8/9

In totaal zijn in de vragenlijst 36 vragen opgenomen die relevant zijn voor suwi. De volledige set van antwoorden wordt meegenomen in de verantwoording van het College aan de raad d.m.v een paragraaf in het jaarverslag. 5 Nieuwe Suwinet normenkader i.r.t. Samenwerkingsverbanden Er zijn in de eerste periode veel vragen gesteld hoe vanuit het normenkader voor Suwinet om te gaan met de verschillende vormen van samenwerking en hoe zich dit verhoudt tot (gemandateerde en gedelegeerde) overgedragen bevoegdheden. Het Ministerie van SZW heeft de grondslag voor (alle) verantwoording Suwinet toegelicht. De gemeente is en blijft verantwoordelijk voor het aantoonbaar voldoen aan de normen voor Suwinet, ook al zijn de taken overgeheveld naar een samenwerkingsverband, in wat voor vorm dan ook. De verantwoording van de gemeente over het voldoen aan het specifieke normenkader Suwinet omvat derhalve ook de activiteiten binnen het samenwerkingsverband. 9/9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback