ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Vergelijkbare documenten
ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

ENSIA voor informatieveiligheid

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Handleiding ENSIA-tool. voor gemeenten

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Assurancerapport van de onafhankelijke IT-auditor

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Format presentatie Kick-off

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

Jaarverslag Informatiebeveiliging en Privacy

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

ENSIA guidance DigiD-assessments

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

ENSIA guidance DigiD-assessments

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

concept besluitenlijst b en w-vergadering

ECIB/U Lbr. 17/010

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

Informatiebeveiliging in Súdwest-Fryslân

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Audit. Margon Tuinstra (programmamanager VIPP GGZ) Theo de Breed (NOREA) 9 mei 2019

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Stuurgroep Verantwoordingsstelsel ENSIA

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Welkom bij parallellijn 1 On the Move uur

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Rapportage Informatiebeveiliging 2018

Informatieveiligheidsbeleid

DigiD beveiligingsassessment Decos Information Solutions

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Bijeenkomst DigiD-assessments

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Handreiking uitvoering ENSIA verantwoording 2018

Reg.nr. : /215/382/3151 Betreft : Boardletter n.a.v. de tussentijdse controle 2017 gemeente Purmerend

Handreiking uitvoering ENSIA verantwoording 2018

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Jacques Herman 21 februari 2013

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

Handreiking Implementatie Specifiek Suwinetnormenkader

Raadsbrief. Onderwerp Zelfevaluatie Informatieveiligheid Registratienummer Datum 13 maart 2018 Betreft

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

VIPP-assessments Handreiking voor de IT-auditor. Theo de Breed RE CISA Lid werkgroep ZekeRE Zorg, NOREA ( ) 15 november 2017

Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet

No. Onderwerp Besluit Portefeuillehouder 1. Besluitenlijst van de vergadering gehouden op 12 maart 2019, Ongewijzigd vastgesteld.

HANDREIKING IMPLEMENTATIE ENSIA

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Jaarverslag informatieveiligheid en privacybescherming gemeente Zaanstad Periode: 2017

UWV 2 0 DEC SBK/98574/AM. Aan de staatssecretaris van Sociale zaken en Werkgelegenheid Mevrouw drs. T. van Ark Postbus LV Den Haag

Gemeente Alphen aan den Rijn

HANDREIKING DIGID-ZELFEVALUATIE

Mit VERZONDEN 2 4 ME! Geachte leden van de raad,

Concept-HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Samenwerkingsverbanden en de GDI

Handleiding uitvoering ICT-beveiligingsassessment

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Rapportage Informatiebeveiliging 2017

Ervaringen met het NBA-LIO volwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB

Verantwoordingsrichtlijn GeVS 2019 (versie )

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Suwinet is de digitale infrastructuur die is ontwikkeld door en om ervoor te zorgen dat, de Suwi-partijen (UWV, SVB en

Verantwoordingsrichtlijn

INFORMATIEVOORZIENING

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 1.0

ENSIA IMPACTANALYSE. Een onderzoek naar impact van de implementatie van ENSIA

College Kwaliteitsonderzoek CKO JAARVERSLAG 2018

MKB Cloudpartner Informatie TPM & ISAE

Transcriptie:

ENSIA Het audit perspectief René IJpelaar Achmed Bouazza Werkgroep ENSIA 4 juli 2017

Agenda Even voorstellen Uitgangspunten ENSIA Auditproces ENSIA voor de IT auditor Aandachtspunten bij het auditproces (Algemeen / DigiD specifiek / Kwaliteitsbeheersing) Wat doet NOREA Openstaande / nog op te lossen punten Vragen 2

Even voorstellen Achmed Bouazza RE CISA 16+ jaar ervaring als IT auditor Sinds 6,5 jaar bij Mazars (Senior Manager) Expertise op het gebied van: Assurance opdrachten (ISAE 3402, TPM s) Web application security / DigiD assessments IT audits ihkv de jaarrekeningcontrole Betrokken bij ENSIA Pilots sinds eind 2016 Lid van NOREA werkgroep ENSIA en redactielid De IT-Auditor 3

Even voorstellen René IJpelaar RE CISA CEH 17 jaar werkzaam als IT auditor Sinds 5 jaar bij BKBO als oprichter Expertise op het gebied van: DigiD assessments Ethical Hacker Suwinet audits Baseline Informatiebeveiliging Gemeenten ISO27001 Privacy Impact Assessments Betrokken bij ENSIA Pilots sinds eind 2016 Lid van NOREA werkgroep ENSIA en DigiD 4

Uitgangspunten ENSIA Single Audit gedachte 1 normenkader en 1 IT audit Normenkader gebaseerd op de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten) 7 objecten van onderzoek voorzien: BIG DigiD (Digitale Persoonsidentificatie) in scope voor IT assurance 2017 SUWInet (Structuur Uitvoeringsorganisatie Werk en Inkomen) in scope voor IT assurance 2017 BRP (Basisregistratie Personen) PUN (Paspoortuitvoeringsregeling) BAG (Basisregistratie Adressen en Gebouwen) BGT (Basisregistratie Grootschalige Topografie) 5

Auditproces ENSIA voor IT auditor 1/2 Gemeentelijke coördinator ENSIA stelt tijdens zelfevaluatie dossier samen voor BIG, BRP, PUN, BAG, BGT en voor DigiD en SUWInet (laatste 2 in scope voor assurance rapport 2017) 2 momenten van uploaden zelfevaluatie door gemeente (via ENSIA tool): 1 oktober voor BRP en PUN 31 december voor de rest / volle breedte BIG (incl. DigiD en SUWInet) Gemeente kiest o.a. IT auditor en autoriseert deze Aparte template voor opdrachtverlening in ontwikkeling IT auditor neemt voor DigiD en SUWInet kennis van ingevulde zelfevaluatie via ENSIA tool plus de geüploade TPM( s) ENSIA coördinator levert dossier met evidence aan IT auditor buiten de tooling om IT auditor komt langs in Q1 2018 voor formele toetsing van DigiD en SUWInet normen Diepgang: Opzet en Bestaan In latere jaren kan scope en diepgang ook werking gaan betreffen (streven NOREA) 6

Auditproces ENSIA voor IT auditor 2/2 ENSIA zelfevaluatie heeft een brede scope, echter de gemeente stelt collegeverklaring op voor verantwoording aan gemeenteraad over de voor 2017 geselecteerde normen voor SUWInet en DigiD IT auditor beoordeelt alleen DigiD en SUWInet voor 2017 In collegeverklaring worden naast SUWInet alle DigiD aansluitingen waar de gemeente houder van is tezamen verantwoord IT auditor geeft daarbij een verklaring bestaande uit: Assuranceverklaring bij collegeverklaring onder ISAE 3000 A Bijlage A met uitgevoerde werkzaamheden, bevindingen en aanbevelingen (gaat niet mee in tooling) Wat wordt geüpload in ENSIA voor stakeholders : Collegeverklaring (1) Assuranceverklaring IT auditor (1) Bijlagen B & C per DigiD aansluiting TPM( s) per DigiD aansluiting Deadline rapportage IT auditor is nog steeds 1 mei 2018 7

8

Aandachtspunten Auditproces ENSIA Algemeen Gemeenten dienen tijdig een IT auditor te selecteren Er komt een template opdrachtverlening Gemeentelijke coördinatoren dienen getraind te worden om audit evidence op te leveren IT auditor dient zich vooraf te verdiepen in nieuwe normeringen DigiD en SUWInet Guidance DigiD beschikbaar, guidance SUWInet wordt aan gewerkt en wordt in september verwacht Het is aan te bevelen om een nulmeting / proefaudit voorafgaand aan de formele audit uit te voeren, in samenwerking met de gemeente rol voor IT auditor! 9

Aandachtspunten Auditproces ENSIA DigiD specifiek Nieuwe DigiD normen 2.0 Guidance reeds beschikbaar Gemeentelijke samenwerkingsverbanden die DigiD houder zijn leggen direct aan Logius verantwoording af, zoals nu al het geval is Gemeenten kunnen afspraken maken met samenwerkingsverbanden over wijze van verantwoording Aansluitvoorwaarden DigiD van Logius blijven van kracht: Binnen 2 maanden DigiD rapport aan Logius bij nieuwe aansluiting Logius ontvangt met assurancerapport ook verklaring over SUWInet willen ze liever niet, wordt besproken tussen Logius en BZK Tijdens zelfevaluatie (okt- dec) dienen gemeenten reeds antwoord te geven over TPM vragen DigiD terwijl deze nieuwe TPM er mogelijk nog niet is Nog niet helder/duidelijk hoe hiermee omgegaan wordt 10

Aandachtspunten Auditproces ENSIA Kwaliteitsbeheersing Zorg voor goede dossiervorming In Bijlage A (DigiD) aangeven wat de uitgevoerde werkzaamheden zijn geweest en welke detailbevindingen en aanbevelingen er zijn Nagaan op welke wijze collegiale toetsing / review kan plaatsvinden 11

Wat doet NOREA? NOREA werkgroep ENSIA ingesteld sinds mei 2017 (voorzitter: Peter Verstege) Subwerkgroepen voor Oordeelsvorming en Guidance ingesteld (geleid door resp. Peter Verstege en Maarten Mennen) Voorlichtingssessies en opleidingen voor IT auditors inzake ENSIA regelen Contact onderhouden met BZK, VNG en Logius omtrent vaktechnische en organisatorische vraagstukken 12

Openstaand / Nog op te lossen (1/2) COMPLEX VRAAGSTUK: Hoe om te gaan met oordeelsvorming inzake DigiD en SUWInet voor 2017, bijv.: oordeel per norm vs overkoepelend oordeel één oordeel over twee objecten; SUWInet en DigiD meerdere DigiD aansluitingen vs overkoepelend oordeel presentatie voor de lezer / bewoordingen / geen onterechte assurance aan ontlenen uniforme uitvoering door auditors publieksvriendelijke verwoording versus vaktechnische vereisten etc. Guidance vanuit Werkgroep NOREA wordt in oktober verwacht Verzoek aan eenieder om vragen uit de praktijk zsm te delen met de werkgroep voor tijdige afstemming met BZK / VNG 13

Openstaand / Nog op te lossen (2/2) Hoe om te gaan met TPM s tijdens zelfevaluatie? In jaarverslag gemeente wordt een paragraaf Informatiebeveiliging opgenomen die verwijst naar de zelfevaluatie ENSIA wat zal de rol van de accountant hierbij zijn? Diverse vragen vanuit de deelnemers van de Werkgroep en de praktijk 14

Tot slot Subwerkgroepen Oordelen (okt) en Guidance SUWInet (sept) komen vroeg in najaar met nadere informatie Volgende voorlichtingssessie uiterlijk in november met nadere toelichting NOREA Werkgroep ENSIA vraagt IT auditors om eventuele vragen / ervaringen / issues te delen met werkgroep 15

Vragen? 16

Bedankt Voor meer informatie kun je contact opnemen met: René IJpelaar rene@bkbo.nl 06-28978955 Achmed Bouazza achmed.bouazza@mazars.nl 06-43994867 NOREA NOREA werkgroep ENSIA Peter Verstege (voorzitter) PVerstege@deloitte.nl Maarten Mennen (plv. voorzitter) mjgmennen@rsm-nl.nl 4 juli 2017

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback