ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS Datum 29 juni 2017 Versie 1 Status: Definitief
Inhoud 1 Inleiding 3 2 Taken en verantwoordelijkheden van gemeentelijke stakeholders 4 2.1 College van b&w 4 2.2 Portefeuillehouder informatiebeveiliging 5 2.3 Gemeenteraad 5 2.4 Griffier 6 2.5 Gemeentesecretaris 6 2.6 Coördinator ENSIA 7 2.7 CIO of informatiemanager 9 2.8 CISO 9 2.9 Controller 10 2.10 Lijnmanagers (ICT, HR, Burgerzaken/Publiekszaken, Sociaal domein, Ruimtelijke ordening) 11 2.11 Domeindeskundigen 11 2
1 Inleiding Gemeenten verantwoorden zich elk jaar over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. In 2017 gebeurt dit voor het eerst met een nieuwe Audit systematiek: de Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA maakt het beantwoorden van de uitvraag over informatieveiligheid beter en efficiënter. Met ENSIA verantwoordt de gemeente zich vanaf 2017 ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de gemeentelijke planning en control-cyclus. Zo krijgt het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente. Voorheen waren er aparte verantwoordingsprocedures voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). Met ENSIA is dit nu gebundeld. Dat wil zeggen dat gemeenten in één keer slim verantwoording afleggen over het gebruik van zes registratiesystemen. Dit document is bedoeld als ondersteuning voor alle gemeentelijke belanghebbenden die bij de invoering van ENSIA een rol vervullen. Het bevat een kort overzicht van alle relevante gemeentelijke stakeholders. Daarbij is aangegeven wat er van hen verwacht wordt voor een succesvolle implementatie van ENSIA. 3
2 Taken en verantwoordelijkheden van gemeentelijke stakeholders 2.1 College van b&w Vaststellen/benoemen Adequate en tijdige Benoemen coördinator. coördinator. rapportage aan de Keuze over in te voeren Laten uitvoeren van gemeenteraad over verbetermaatregelen en zelfevaluatie informatiebeveiliging in het prioritering hiervan. Informatiebeveiliging en jaarverslag (deadline De gemeenteraad informeren zelfevaluatie DigiD. opleveren jaarverslag uiterlijk over informatieveiligheid en Maken van afspraken binnen 15-07-2018). voortgang over ENSIA. de samenwerkingsverbanden Bij samenwerkingsverbanden over de omgang met als opdrachtgever informatiebeveiliging en verantwoordelijk voor de ENSIA. kwaliteit en veiligheid van het Het geven van opdracht aan gebruik van informatie. RE-Auditor om Assurance te Eindverantwoordelijk voor geven over de juistheid en horizontale verantwoording volledigheid van de van informatiebeveiliging. Collegeverklaring. Afgeven collegeverklaring informatiebeveiliging (DigiD en Suwi) en hiermee aangeven in hoeverre de beheermaatregelen aan de beveiligingsnormen voldoen. Hierbij ook aangeven - indien aan de orde - welke onderdelen daarvan zijn uitgezonderd. Opstellen paragraaf informatieveiligheid t.b.v. horizontale verantwoording. Vaststellen van maatregelen voor het verbeteren van Het afleggen van verantwoording aan de raad over 4
2.2 Portefeuillehouder informatiebeveiliging Opdracht geven aan Binnen het college van b&w Bepalen inhoud en frequentie gemeentesecretaris voor aanwijzen van coördinator. Gemeenteraad systematisch informeren over de ENSIAverantwoordelijk voor de (prioritering van) beveiliging van informatie binnen de bedrijfs(werk)processen. van de voorlichtingsinformatie richting de gemeenteraad. voortgang en hun rol daarin. Als bestuurlijk opdrachtgever College van b&w systematisch informeren over de ENSIA voortgang. verantwoordelijk voor de kwaliteit en veiligheid van het gebruik van informatie. Namens het college van b&w Verantwoordelijk voor het rol vervullen van bestuurlijk opdrachtgever voor de implementatie van ENSIA. maken van afspraken met samenwerkingsverband(en) over informatiebeveiliging. 2.3 Gemeenteraad Stellen van vragen over Het college van b&w Stellen van vragen over BIGinformatieveiligheid (BIG en controleren op de invoering en ENSIA-Invoering. ENSIA). van ENSIA. Onderzoek instellen naar Beoordelen paragraaf Opstellen paragraaf stand van zaken informatieveiligheid en Bedrijfsvoering, incl. paragraaf collegeverklaring. Informatieveiligheid, voor het Bepalen van beleidskeuzes. Beoordelen van voorgenomen maatregelen voor het verbeteren van jaarverslag. Eventueel aangevuld met separate rapportage 5
2.4 Griffier Regelmatig agenderen van Tijdige agendering. Verslaglegging, voortgang implementatie Ontvangen, verzamelen en verantwoording en adviseren BIG- en ENSIA bij de gemeenteraad. Als onderdeel van jaarverslag: opstellen annotatie bij jaarverslag aandacht voor Als er sprake is van een separate verantwoording: uitgebreide annotatie over ENSIA-verantwoording. Agenderen jaarverslag dan wel stukken verantwoording informatieveiligheid ter vaststelling: distribueren van Collegeverklaring, paragraaf Informatieveiligheid (eventueel separate Rapportage informatieveiligheid). van de gemeenteraad inzake ENSIA project. o Paragraaf informatieveiligheid o Collegeverklaring o Assurance rapport 2.5 Gemeentesecretaris Namens de Is eindverantwoordelijk voor portefeuillehouder: vervullen tijdige implementatie van van de rol van gedelegeerde ENSIA met bijbehorende tijd, opdrachtgever voor de geld en kwaliteitsaspecten. operationele sturing van ENSIA-invoering. Benoemen van de coördinator. Sturing van de implementatie van ENSIA. Beschikbaar stellen van benodigde middelen en resources voor de invoering van ENSIA. Faciliteren van coördinator ENSIA bij besluitvorming. 6
2.6 Coördinator ENSIA Schrijven plan van aanpak Projectleiding. Het nemen van operationele voor implementatie ENSIA. Zorgdragen voor brede beslissingen binnen het Opzetten projectorganisatie. Plannen en uitvoeren Kickbetrokkenheid en draagvlak binnen de organisatie. raamwerk van het (met de opdrachtgever Off Borgen van tijdige inlevering overeengekomen en Organiseren ENSIA- Verantwoordingsproces. Intern uitzetten vragenlijst van antwoorden en het volledig uploaden van documenten. goedgekeurde) plan van aanpak met vastgestelde tijd, geld en en Voortgang van het project kwaliteitsafspraken. inleveren antwoorden die binnen scope. nodig zijn voor zelfevaluatie Tijdige afsluiting van BRP en PUN (vóór 1 oktober 2017) en antwoorden die nodig zijn voor volledige zelfevaluatie implementatie van ENSIA, binnen met de opdrachtgever overeengekomen afspraken over tijd, geld en kwaliteit. informatieveiligheid (vóór 31 Nauw overleg met CISO december 2017) Uploaden documenten: - Collegeverklaring - Assurance Rapport m.b.t. afstemmen procedures, maatregelen en controles die wel/niet worden uitgevoerd. - Bijlage B+C - TPM s Opstellen van de collegeverklaring Informatiebeveiliging. Organiseren opdrachtverlening voor ITaudit. Organiseren opdracht voor pentesten per DigiDaansluiting. Faciliteren werkzaamheden van RE-Auditor en bewaken tijdige oplevering Assurance Rapport. ENSIA-proces en stappen afstemmen met de REauditor. 7
Verzamelen TPM s van derde (DigiD) partijen en controleren op compleetheid. Inventariseren en toewijzen van verbeterpunten. Ondersteunen van domeindeskundigen bij de verantwoording en bij invullen zelfevaluatievragenlijsten. Organiseren werkgroep overleggen en bijeenkomsten. Coördineren/faciliteren van alle activiteiten die leiden tot paragraaf Informatiebeveiliging in jaarverslag en eventuele separate Rapportage Interne communicatie t.b.v. domeindeskundigen, management, maar ook niet direct betrokkenen. Externe communicatie en afstemming met ondersteunende organisaties VNG, KING en ICTU. Overdracht naar gemeentelijke beheerorganisatie: ENSIAverantwoording maakt na afronding van de implementatie deel uit van jaarlijks regulier proces. 8
2.7 CIO of informatiemanager Indien CIO door gemeentesecretaris is aangewezen als coördinator, dan heeft hij/zij dezelfde taken en verantwoordelijkheden als deze coördinator (zie paragraaf 2.6). 2.8 CISO Indien CIO door gemeentesecretaris wordt aangewezen als coördinator ENSIA, dan heeft hij/zij dezelfde taken en verantwoordelijkheden als deze coördinator (zie paragraaf 2.6). Ondersteunen van Opstellen Uitbreiden van middelen in coördinator bij definiëren van Informatiebeveiligingsbeleid termen van manuren of geld. taken en toewijzen aan bijv. en plan. Escaleren waar nodig. proceseigenaren. Aansturen op de invoering Afstemming met CISO over informatiebeveiligingsbeleid van procedures, maatregelen en controles. en de uitvoering daarvan. Afspraken met leveranciers Bepaling van consequenties na implementatiefase ENSIA. Aanpassen begroting t.b.v. verantwoording over het treffen en verantwoorden van informatieveiligheidsmaatregelen. Borgen van archivering van ENSIAverantwoordingsdocumentatie. Ondersteunen van Verantwoordelijk voor het De belangrijkste bevoegdheid coördinator als expert op het terrein van informatiebeveiliging. Opstellen, bijstellen, vernieuwen en herzien van opstellen, bijstellen, vernieuwen en herzien van het Informatiebeveiligingsbeleid en de daaruit voortvloeiende is om op elke plek binnen de organisatie gevraagd en ongevraagd onderzoek te kunnen doen en zo nodig zaken af te dwingen. het Informatiebeveiligingsplannen Bij (grote) Informatiebeveiligingsbeleid (inclusief verbeteracties). beveiligingsincidenten/- en de daaruit voortvloeiende Projecten leiden die als doel risico s heeft de CISO de Informatiebeveiligingsplannen. Opnemen van verbeterpunten vanuit implementatie ENSIA hebben beveiligingsmaatregelen te implementeren of de kwaliteit van de beveiliging op langere bevoegdheid direct in te grijpen (met verantwoording achteraf richting het management). 9
in de informatiebeveiligingsplannen. termijn te handhaven en waar Gevraagd en ongevraagd nodig te verbeteren. rapporteren aan het college Ondersteunen van Prioriteren van maatregelen van b&w of de Raad. lijnmanagement bij verbeteracties. Adviseren van het (lijn)management bij de die ingevoerd worden om de effectiviteit van informatieveiligheid te vergroten. uitwerking van het informatiebeveiligingsbeleid in informatiebeveiligingsplannen voor hun verantwoordelijkheidsgebieden. Daarnaast adviseren bij de implementatie van deze plannen. Afstemmen van ENSIA met overige lopende projecten in de organisatie. 2.9 Controller Afstemmen met coördinator Nauw overleg met CISO voor Toetsen of procedures worden over P&C-cyclus. Input leveren aan passende tekst voor paragraaf de uitvoering van interne audits, of specifieke plekken waar procedures, gehandhaafd, maatregelen worden toegepast, en controles worden uitgevoerd. bedrijfsvoering voor maatregelen en controles De belangrijkste bevoegdheid jaarverslag. Rapporteren van de (lees: verantwoording) getoetst worden. is om op elke plek binnen de organisatie gevraagd en uitkomsten van interne Rapporten van interne audits ongevraagd onderzoek te audits, beveiligingsincidenten (i.s.m. CISO) en misstanden overeenkomen met college b&w. kunnen doen en zo nodig zaken af te dwingen. aan college of b&w. Gevraagd en ongevraagd rapporteren aan het college van b&w of de raad. 10
2.10 Lijnmanagers (ICT, HR, Burgerzaken/Publiekszaken, Sociaal domein, Ruimtelijke ordening) Maken van resource Is primair verantwoordelijk Bepalen welke medewerkers afspraken met coördinator. Tijdige levering van medewerkers, met juiste voor de domein/materie specifieke kennis en ervaring van opgeleverde resources. uit de afdeling in de rol van domeindeskundigen bijdragen aan de implementatie van expertise, aan het ENSIAproject. Kwaliteit bewaken van ENSIA. informatiebeveiliging van die Bepalen wie als Tijdige realisatie van verbeteracties voortvloeiend uit het ENSIA-project. domeinen waarvoor zijn afdeling verantwoordelijk voor is. Opnemen van verbeteracties in Informatiebeveiligingsplan en zorgen voor de tijdige realisatie. Realiseren van constante aandacht voor informatieveiligheid in eigen domein, inclusief verbeteringen. gegevensbeheerder fungeren, die een rol hebben in de waarborging van 2.11 Domeindeskundigen Domeindeskundigen zijn medewerkers afkomstig van de afdelingen of samenwerkingsverbanden zoals; ICT, HR, Burgerzaken/Publiekzaken, Sociaal Domein en Ruimtelijke Ordening. Ze worden door hun lijnmanager in overleg met een coördinator aan het project beschikbaar gesteld. Elke domeindeskundige heeft specifieke kennis van het eigen domein en al dan niet kennis van informatiebeveiliging op dit domein (BRP, PUN, SUWINet, BAG, BGT en DigiD). Deelname aan kick-off ENSIA Inzicht verwerven in Met coördinator vaststellen welke zelfevaluatievragen informatieveiligheidsaspecten van het eigen domein. hij/zij oppakt. Is, met anderen, Beantwoorden van ENSIAzelfevaluatie binnen (met de coördinator overeengekomen) tijds- en kwaliteitsafspraken. Legt hiaten of uitzonderingen verantwoordelijk voor tijdige beantwoording van ENSIAzelfevaluatie vragen, waarover met de coördinator afspraken zijn gemaakt. vast in de ENSIA-vragenlijst Fungeert als en doet voorstellen voor gegevensbeheerder die een verbeteracties. 11
Rapporteren over voortgang van de taken aan de coördinator. Deelname aan werkgroep bijeenkomsten voor afstemming over de zelfevaluatievragen. Informeert collega s binnen het domein over ENSIAverantwoordingsproces en Verbinden van kennis van domein met Pakt indien nodig in overleg met CISO, coördinator en lijnmanager verbeteracties op. rol heeft in de waarborging van 12
KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG T 070 373 80 08 F 070 363 56 82 INFO@KINGGEMEENTEN.NL WWW.KINGGEMEENTEN.NL 13