Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Opdrachtbevestiging Versie [1.0] Datum [ ] Status [ ] 1
Colofon Titel Assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Auteur(s) [ ] Kenmerk [ ] Inlichtingen [ ] 2
Inhoudsopgave 1 Inleiding... 4.1.1 Over ENSIA... 4.1.2 Context... 4 2 Assurance-opdracht... 5.2.1 Opdrachtgever en opdrachtnemer... 5.2.2 Doelstelling en criteria... 5.2.3 Onderwerp van onderzoek... 5.2.4 Rapportage... 6 3 Uitvoering opdracht... 7.3.1 Planning en begroting... 7.3.2 Organisatie... 7.3.3 Kwaliteitsrichtlijnen en standaarden... 8 4 Ondertekening... 9 3
1 Inleiding.1.1 Over ENSIA ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten). Uitgangspunt is het horizontale verantwoordingsproces aan de gemeenteraad. Dit vormt de basis voor het verticale verantwoordingsproces aan de nationale partijen die een rol hebben in het toezicht op informatieveiligheid. De verantwoordingssystematiek over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Inkomen (SUWInet) is in ENSIA samengevoegd en gestroomlijnd. ENSIA is een gezamenlijk project van het ministerie van Binnenlandse Zaken, gemeenten, het ministerie van SZW, het ministerie van I&M en de VNG..1.2 Context De ENSIA verantwoording informatiebeveiliging gaat uit van het principe van Single Information & Single Audit (SISA). Dit betekent eenmalige informatieverstrekking en eenmalige IT-audit. In de collegeverklaring verklaart het college van B&W of de gemeente op 31 december 2017 in opzet en bestaan voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid t.b.v. DigiD (Norm ICTbeveiligingsassessments DigiD versie 2.0) en SUWInet (Specifiek SUWInetnormenkader Afnemers 2017 Versie 1.01). Over de collegeverklaring wordt een verklaring van getrouwheid gegeven door een bij de NOREA geregistreerde ITauditor (RE). Voor 2017 gaat de collegeverklaring over SUWInet en DigiD. Jaarlijks maken vertegenwoordigers van gemeenten en betrokken departementen afspraken over de reikwijdte van de collegeverklaring. Bij samenwerkingsverbanden blijft het college van B&W als opdrachtgever verantwoordelijk voor de kwaliteit en veiligheid van het gebruik van informatie. Het is aan het college van B&W om hierover binnen de grenzen van het samenwerkingsverband afspraken te maken. 4
2 Assurance-opdracht.2.1 Opdrachtgever en opdrachtnemer Het college van burgemeester en wethouders van de gemeente [naam gemeente] geeft opdracht tot het uitvoeren van deze assurance-opdracht door [naam auditorganisatie, naam auditor]. Contactpersoon en coördinator voor het onderzoek bij de gemeente [naam gemeente] is [naam contactpersoon]. Deze opdracht wordt uitgevoerd conform Nederlandse wetgeving en in overeenstemming met Richtlijn 3000 (herzien) Assuranceopdracht door ITauditors van NOREA..2.2 Doelstelling en criteria Doelstelling van het onderzoek is om na te gaan of de collegeverklaring ENSIA 2017 inzake informatiebeveiliging DigiD en SUWInet van gemeente [naam gemeente], in alle van materieel belang zijnde aspecten, juist is. De collegeverklaring gaat in op het nakomen van de voor het jaar 2017 gemaakte afspraken over de ENSIA-verantwoording. Deze afspraken hebben betrekking op SUWInet en DigiD. In de collegeverklaring geeft het college van B&W aan dat bij de gemeente [naam gemeente] de beheersingsmaatregelen op 31 december 2017 in opzet en bestaan voldoen aan de geselecteerde normen DigiD en SUWInet. Ook wordt, indien van toepassing, in de collegeverklaring aangegeven welke onderdelen niet aan de normen voldoen en welke eventuele verbetermaatregelen de gemeente gaat treffen. In bijlage A bij dit opdrachtvoorstel is het format voor de collegeverklaring opgenomen. Bijlage B bevat normen DigiD en SUWInet..2.3 Onderwerp van onderzoek Het onderwerp van onderzoek is de collegeverklaring ENSIA 2017 inzake informatiebeveiliging DigiD en SUWInet van de gemeente [naam gemeente]. De scope van de collegeverklaring is de opzet (formele inrichting en beschrijving) en het bestaan (implementatie) van de beheersingsmaatregelen. De werking van de beheersingsmaatregelen valt niet onder deze scope en hoeft [naam auditor] niet te beoordelen. 5
.2.4 Rapportage Deze opdracht resulteert in een schriftelijk assurancerapport. In deze rapportage wordt een redelijke mate van zekerheid gegeven. In bijlage C bij dit opdrachtvoorstel is het format voor het assurancerapport opgenomen. 6
3 Uitvoering opdracht.3.1 Planning en begroting Het onderzoek wordt uitgevoerd in [periode onderzoek]. Het benodigde aantal uren voor deze opdracht is [aantal uren]. [naam auditorganisatie] brengt deze uren tegen een tarief van [uurtarief] aan de gemeente [gemeentenaam] in rekening. Het totaalbedrag van deze opdracht bedraagt maximaal [uurtarief * aantal uren]. Bovenstaande planning en begroting is gebaseerd op de uitvoering van de overeengekomen werkzaamheden. In geval van een wezenlijke verandering in de opdracht of van onvoorziene aanvullende werkzaamheden worden de planning en begroting in overleg tussen auditor en gemeente bijgesteld. De gemeente zorgt ervoor dat de auditor alle benodigde informatie ontvangt zodat deze de audit goed en binnen de gestelde termijn kan uitvoeren. Ook zorgt de gemeente voor medewerking van de betrokken functionarissen..3.2 Organisatie Bij dit onderzoek zet [naam auditorganisatie] medewerkers met vereiste kennis en ervaring op de gewenste gebieden in. Het onderzoek wordt uitgevoerd door [namen medewerkers]. Opdrachtnemer van dit onderzoek is [naam opdrachtnemer]. [naam medewerker] is als Register EDP-auditor vaktechnisch eindverantwoordelijk voor de uitvoering van deze opdracht. De interne opdrachtgerichte kwaliteitsbeoordeling wordt uitgevoerd door [naam medewerker]. 7
.3.3 Kwaliteitsrichtlijnen en standaarden De opdracht wordt uitgevoerd conform de bij [naam auditorganisatie] geldende kwaliteitsrichtlijnen. In het dossier van [naam auditorganisatie] wordt alle evidence uit het onderzoek opgenomen. Daarnaast zijn de onderstaande richtlijnen / standaarden van toepassing bij de uitvoering van dit onderzoek. NOREA Richtlijn Opdrachtaanvaarding (210); NOREA Gedragscode voor IT auditors (Code of Ethics); NOREA Richtlijn Documentatie (230). De NOREA Gedragscode schrijft onder andere voor dat verkregen (vertrouwelijke) gegevens alleen voor de vervulling van de opdracht mogen worden gebruikt. 8
4 Ondertekening Ondergetekenden zijn deze opdracht overeengekomen en stemmen in met de inhoud. (Opdrachtgever) (Opdrachtnemer) d.d. 2017 d.d... 2017 Bijlagen: - bijlage A Format collegeverklaring - bijlage B Normen DigiD en SUWInet - bijlage C Format voor het assurancerapport 9
KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG T 070 373 80 08 F 070 363 56 82 INFO@KINGGEMEENTEN.NL WWW.KINGGEMEENTEN.NL 10