In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics Wat betekent ENSIA voor uw College Wat betekent ENSIA voor uw Raad Gemeentelijk organiseren
ENSIA: Wat vooraf ging
Waarom vind ik ENSIA belangrijk? Informatie is een steeds belangrijker grondstof voor gemeentelijke dienstverlening Burger en bedrijf mogen zorgvuldige omgang met gegevens verwachten Gemeenten zijn verbonden partijen en lopen inherent risico In control op dataverwerking is dan ook een no-brainer ENSIA helpt om in control te zijn en permanent te verbeteren ENSIA helpt in vertrouwen bij departementaal toezichthouders
De BALV resolutie najaar 2013 Informatieveiligheid een randvoorwaarde voor professionele dienstverlening Implementatie BIG Visitatiecommissie Verklaring in jaarverslag tbv raad Stroomlijnen van (departementale) audit- en verantwoordingslast
Invulling geven aan de resolutie Gemeenten verantwoorden zich aan de eigen toezichthouder Gemeenten voeren zelfevaluatie informatieveiligheid uit. Rapporteren op basis daarvan in jaarverslag met een collegeverklaring. Landelijk toezichthouders steunen op gemeentelijke verantwoording op basis van deze zelfevaluatie In overleg met landelijk toezichthouders wordt de scope van één ENSIA audit bepaald (bestaande audits worden daardoor vervangen)
Ensia In a nutshell afnemers Afbakening door strategisch gremium ENSIA Tool Vragenlijst beschikbaar Ingevulde zelfevaluatie College Verklaring in jaarverslag 01/07 31/12 Q1 Q2 Verantwoording in raad 1 audit 2017 2018
Toegevoegde waarde voor gemeenten Door ENSIA heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid. Zo kan het bestuur beter sturen en verantwoording afleggen aan de gemeenteraad. De Raad kan haar toezichthoudende rol ook op informatieveiligheid invullen. Verantwoordingsinformatie wordt nog maar 1 keer op een efficiënte en effectieve wijze verzameld. De verzamelde informatie wordt vanuit één punt gedeeld met relevante toezichthouders. Er is nog maar één ENSIA audit. Een versterkt horizontaal toezicht vermindert de departementale toezichtsbehoefte
En daarnaast; ENSIA Bevordert de governance Positioneert informatieveiligheid Bevordert bewustwording over informatieveiligheid door hele organisatie heen Stimuleert en/of versnelt BIG-implementatie Bevordert samenwerking tussen afdelingen Bevordert samenhang in informatieveiligheid Positioneert CISO in zijn rol
Wat betekent ENSIA voor uw college? U ziet toe op tijdige oplevering resultaten zelfevaluatie; U stuurt CISO daar op aan. U draagt zorg voor een zinvolle paragraaf informatieveiligheid in uw gemeentelijk jaarverslag U baseert zich daarbij op de resultaten zelfevaluatie In overleg met uw CISO stelt u verbeterdoelen vast op basis van deze zelfevaluatie U neemt een collegeverklaring in het jaarverslag op die zich richt op ENSIA onderwerpen U geeft een auditor opdracht tot het geven van assurance op de collegeverklaring U bent voorbereid op vragen van uw gemeentelijk toezichthouder rond informatieveiligheid
Voor de discussie Bent u in control op informatieveiligheid? Hoe vult u uw verantwoordelijkheid rond informatieveiligheid in? Hoe wordt u geïnformeerd over de stand van zaken rond BIG implementatie? Legt u nu verantwoording af aan uw toezichthouder over informatieveiligheid? Hoe gaat ENSIA u helpen? Hoe kunt u mét ENSIA uw organisatie verbeteren?
Wat betekent ENSIA voor uw Raad? Uw raad wordt ge-informeerd over de stand van zaken informatieveiligheid in het jaarverslag. Uw raad neemt kennis van uw collegeverklaring en de daarop gegeven assurance Uw raad kan u daarop bevragen
Voor de discussie Is uw raad betrokken op Informatieveiligheid? Welke onderwerpen gerelateerd aan informatieveiligheid bespreekt u met uw Raad? Is uw raad effectief in haar toezicht op dit thema? Wat is ervoor nodig om uw Raad beter in positie te brengen? Hoe helpt ENSIA om uw Raad daarbij te helpen?
Scope 2017 gemeenten (naar verwachting) Zelfevaluatie Bestaande en bekende objecten Baseline Informatiebeveiliging Gemeenten Opleveren Collegeverklaring Alle gemeenten Gelijkgetrokken timing (tussen 0107 en 3112) Nog separaat niet informatieveiligheid BRP PUN Audit Bestaande en bekende objecten Eén audit Eén Assurancerapport
Organisatie in de gemeente Wijs een coördinator aan die proces bewaakt (CISO) Informeer portefeuillehouder informatieveiligheid; betrek hem bij uitkomsten/verbeterplannen Organiseer een kick-off met álle betrokkenen ICT organisatie Burgerzaken (BRP/PUN) Sociaal domein (Suwi) Digid Bag/BGT HRM Facilitymanagement
Organisatie in de gemeente Identificeer relevante samenwerkingsverbanden; welke afspraken zijn gemaakt rond verantwoording informatieveiligheid. Zorg tijdig voor verantwoordingsinformatie Wijs werkpakketten toe aan betrokken Bewaak voortgang; Wacht niet tot het laatste moment met afronden Presenteer resultaten aan alle betrokkenen; identificeer verbeterpunten Bereid paragraaf informatieveiligheid jaarverslag voor met portefeuillehouder In ieder geval collegeverklaring Stem af met reguliere gemeentelijke P&C cyclus
Audit Vanaf verslagjaar 2017 ENSIA audit (voor het eerst voorjaar 2018) De audit richt zich op aannemelijkheid collegeverklaring ENSIA Key-controls voor betrokken objecten Voldoen aan Digid normen In voorjaar 2017 nog één keer reguliere DigiD audit over 2016