Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Vergelijkbare documenten
Assurancerapport van de onafhankelijke IT-auditor

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Handleiding ENSIA-tool. voor gemeenten

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Jaarverslag Informatiebeveiliging en Privacy

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

ENSIA voor informatieveiligheid

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Handleiding uitvoering ICT-beveiligingsassessment

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Handreiking Implementatie Specifiek Suwinetnormenkader

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

concept besluitenlijst b en w-vergadering

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Welkom bij parallellijn 1 On the Move uur

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Verantwoordingsrichtlijn GeVS 2019 (versie )

Informatiebeveiliging in Súdwest-Fryslân

Format presentatie Kick-off

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

ECIB/U Lbr. 17/010

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Jacques Herman 21 februari 2013

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Stuurgroep Verantwoordingsstelsel ENSIA

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

UWV 2 0 DEC SBK/98574/AM. Aan de staatssecretaris van Sociale zaken en Werkgelegenheid Mevrouw drs. T. van Ark Postbus LV Den Haag

Besluitenlijst B&W-vergadering d.d. 16 april 2019

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

7 maart Ons kenmerk TIS U Lbr. 19/010. Bijlage(n)

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

BESLUITENLIJST voor de vergadering van het college van B&W Datum: 3 april 2018

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

BESLUITENLIJST voor de vergadering van het college van B&W Datum: 16 april 2019

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Informatieveiligheidsbeleid

Besluitenlijst B&W vergadering 21 augustus 2018

Suwinet is de digitale infrastructuur die is ontwikkeld door en om ervoor te zorgen dat, de Suwi-partijen (UWV, SVB en

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Raadsbrief. Onderwerp Zelfevaluatie Informatieveiligheid Registratienummer Datum 13 maart 2018 Betreft

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

B2 Reglement Beroepsbeoefening IT-auditors

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

No. Onderwerp Besluit Portefeuillehouder 1. Besluitenlijst van de vergadering gehouden op 12 maart 2019, Ongewijzigd vastgesteld.

TOEZICHTINDICATOREN KINDEROPVANG Verantwoording over het jaar 2013

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

Rapportage Informatiebeveiliging 2018

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

Ë!l ERNST &YOUNG. Assurance-rapport en rapport van bevindingen bij de herziene SISAverantwoording 2009 regeling 99 van de gemeente Haarlem

Mit VERZONDEN 2 4 ME! Geachte leden van de raad,

2015; definitief Verslag van bevindingen

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

r'h'hil-lli'h'i'-i'l-ll-ll-ll

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

Handreiking uitvoering ENSIA verantwoording 2018

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 1.0

INFORMATIEVOORZIENING

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

Handreiking uitvoering ENSIA verantwoording 2018

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Transcriptie:

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Opdrachtbevestiging Versie [1.0] Datum [ ] Status [ ] 1

Colofon Titel Assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Auteur(s) [ ] Kenmerk [ ] Inlichtingen [ ] 2

Inhoudsopgave 1 Inleiding... 4.1.1 Over ENSIA... 4.1.2 Context... 4 2 Assurance-opdracht... 5.2.1 Opdrachtgever en opdrachtnemer... 5.2.2 Doelstelling en criteria... 5.2.3 Onderwerp van onderzoek... 5.2.4 Rapportage... 6 3 Uitvoering opdracht... 7.3.1 Planning en begroting... 7.3.2 Organisatie... 7.3.3 Kwaliteitsrichtlijnen en standaarden... 8 4 Ondertekening... 9 3

1 Inleiding.1.1 Over ENSIA ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten). Uitgangspunt is het horizontale verantwoordingsproces aan de gemeenteraad. Dit vormt de basis voor het verticale verantwoordingsproces aan de nationale partijen die een rol hebben in het toezicht op informatieveiligheid. De verantwoordingssystematiek over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Inkomen (SUWInet) is in ENSIA samengevoegd en gestroomlijnd. ENSIA is een gezamenlijk project van het ministerie van Binnenlandse Zaken, gemeenten, het ministerie van SZW, het ministerie van I&M en de VNG..1.2 Context De ENSIA verantwoording informatiebeveiliging gaat uit van het principe van Single Information & Single Audit (SISA). Dit betekent eenmalige informatieverstrekking en eenmalige IT-audit. In de collegeverklaring verklaart het college van B&W of de gemeente op 31 december 2017 in opzet en bestaan voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid t.b.v. DigiD (Norm ICTbeveiligingsassessments DigiD versie 2.0) en SUWInet (Specifiek SUWInetnormenkader Afnemers 2017 Versie 1.01). Over de collegeverklaring wordt een verklaring van getrouwheid gegeven door een bij de NOREA geregistreerde ITauditor (RE). Voor 2017 gaat de collegeverklaring over SUWInet en DigiD. Jaarlijks maken vertegenwoordigers van gemeenten en betrokken departementen afspraken over de reikwijdte van de collegeverklaring. Bij samenwerkingsverbanden blijft het college van B&W als opdrachtgever verantwoordelijk voor de kwaliteit en veiligheid van het gebruik van informatie. Het is aan het college van B&W om hierover binnen de grenzen van het samenwerkingsverband afspraken te maken. 4

2 Assurance-opdracht.2.1 Opdrachtgever en opdrachtnemer Het college van burgemeester en wethouders van de gemeente [naam gemeente] geeft opdracht tot het uitvoeren van deze assurance-opdracht door [naam auditorganisatie, naam auditor]. Contactpersoon en coördinator voor het onderzoek bij de gemeente [naam gemeente] is [naam contactpersoon]. Deze opdracht wordt uitgevoerd conform Nederlandse wetgeving en in overeenstemming met Richtlijn 3000 (herzien) Assuranceopdracht door ITauditors van NOREA..2.2 Doelstelling en criteria Doelstelling van het onderzoek is om na te gaan of de collegeverklaring ENSIA 2017 inzake informatiebeveiliging DigiD en SUWInet van gemeente [naam gemeente], in alle van materieel belang zijnde aspecten, juist is. De collegeverklaring gaat in op het nakomen van de voor het jaar 2017 gemaakte afspraken over de ENSIA-verantwoording. Deze afspraken hebben betrekking op SUWInet en DigiD. In de collegeverklaring geeft het college van B&W aan dat bij de gemeente [naam gemeente] de beheersingsmaatregelen op 31 december 2017 in opzet en bestaan voldoen aan de geselecteerde normen DigiD en SUWInet. Ook wordt, indien van toepassing, in de collegeverklaring aangegeven welke onderdelen niet aan de normen voldoen en welke eventuele verbetermaatregelen de gemeente gaat treffen. In bijlage A bij dit opdrachtvoorstel is het format voor de collegeverklaring opgenomen. Bijlage B bevat normen DigiD en SUWInet..2.3 Onderwerp van onderzoek Het onderwerp van onderzoek is de collegeverklaring ENSIA 2017 inzake informatiebeveiliging DigiD en SUWInet van de gemeente [naam gemeente]. De scope van de collegeverklaring is de opzet (formele inrichting en beschrijving) en het bestaan (implementatie) van de beheersingsmaatregelen. De werking van de beheersingsmaatregelen valt niet onder deze scope en hoeft [naam auditor] niet te beoordelen. 5

.2.4 Rapportage Deze opdracht resulteert in een schriftelijk assurancerapport. In deze rapportage wordt een redelijke mate van zekerheid gegeven. In bijlage C bij dit opdrachtvoorstel is het format voor het assurancerapport opgenomen. 6

3 Uitvoering opdracht.3.1 Planning en begroting Het onderzoek wordt uitgevoerd in [periode onderzoek]. Het benodigde aantal uren voor deze opdracht is [aantal uren]. [naam auditorganisatie] brengt deze uren tegen een tarief van [uurtarief] aan de gemeente [gemeentenaam] in rekening. Het totaalbedrag van deze opdracht bedraagt maximaal [uurtarief * aantal uren]. Bovenstaande planning en begroting is gebaseerd op de uitvoering van de overeengekomen werkzaamheden. In geval van een wezenlijke verandering in de opdracht of van onvoorziene aanvullende werkzaamheden worden de planning en begroting in overleg tussen auditor en gemeente bijgesteld. De gemeente zorgt ervoor dat de auditor alle benodigde informatie ontvangt zodat deze de audit goed en binnen de gestelde termijn kan uitvoeren. Ook zorgt de gemeente voor medewerking van de betrokken functionarissen..3.2 Organisatie Bij dit onderzoek zet [naam auditorganisatie] medewerkers met vereiste kennis en ervaring op de gewenste gebieden in. Het onderzoek wordt uitgevoerd door [namen medewerkers]. Opdrachtnemer van dit onderzoek is [naam opdrachtnemer]. [naam medewerker] is als Register EDP-auditor vaktechnisch eindverantwoordelijk voor de uitvoering van deze opdracht. De interne opdrachtgerichte kwaliteitsbeoordeling wordt uitgevoerd door [naam medewerker]. 7

.3.3 Kwaliteitsrichtlijnen en standaarden De opdracht wordt uitgevoerd conform de bij [naam auditorganisatie] geldende kwaliteitsrichtlijnen. In het dossier van [naam auditorganisatie] wordt alle evidence uit het onderzoek opgenomen. Daarnaast zijn de onderstaande richtlijnen / standaarden van toepassing bij de uitvoering van dit onderzoek. NOREA Richtlijn Opdrachtaanvaarding (210); NOREA Gedragscode voor IT auditors (Code of Ethics); NOREA Richtlijn Documentatie (230). De NOREA Gedragscode schrijft onder andere voor dat verkregen (vertrouwelijke) gegevens alleen voor de vervulling van de opdracht mogen worden gebruikt. 8

4 Ondertekening Ondergetekenden zijn deze opdracht overeengekomen en stemmen in met de inhoud. (Opdrachtgever) (Opdrachtnemer) d.d. 2017 d.d... 2017 Bijlagen: - bijlage A Format collegeverklaring - bijlage B Normen DigiD en SUWInet - bijlage C Format voor het assurancerapport 9

KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG T 070 373 80 08 F 070 363 56 82 INFO@KINGGEMEENTEN.NL WWW.KINGGEMEENTEN.NL 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback