Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Vergelijkbare documenten
ENSIA voor informatieveiligheid

Handleiding ENSIA-tool. voor gemeenten

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

ECIB/U Lbr. 17/010

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Format presentatie Kick-off

Welkom bij parallellijn 1 On the Move uur

Assurancerapport van de onafhankelijke IT-auditor

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Jaarverslag Informatiebeveiliging en Privacy

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

ons kenmerk ECIB/U Lbr. 16/046

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

concept besluitenlijst b en w-vergadering

Stuurgroep Verantwoordingsstelsel ENSIA

Rapportage informatieveiligheid en privacy gemeente Delfzijl

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

Handreiking Implementatie Specifiek Suwinetnormenkader

Informatiebeveiliging in Súdwest-Fryslân

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Informatieveiligheidsbeleid

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Rapportage Informatiebeveiliging 2018

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

9 augustus 2016 Gegevenswisseling Suwinet ECIB/U

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Tjoelker, Nicolien. and. VNG Ledenbrief. Onderwerp: FW: Lbr. 16/046 - Ontwikkelingen informatieveiligiieid

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 1.0

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

BABVI/U Lbr. 13/057

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Brief aan de leden T.a.v. het college en de raad. 5 april 2017 U Lbr. 17/018 (070)

Tweede Kamer der Staten-Generaal

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Verantwoordingsrichtlijn GeVS 2019 (versie )

Mit VERZONDEN 2 4 ME! Geachte leden van de raad,

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Rekenkamercommissie Brummen

illinium i ui /12/2013

Rapportage Informatiebeveiliging 2017

Reg.nr. : /215/382/3151 Betreft : Boardletter n.a.v. de tussentijdse controle 2017 gemeente Purmerend

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

o n k Ö A fia* V/ \ ^ * f

ENSIA IMPACTANALYSE. Een onderzoek naar impact van de implementatie van ENSIA

Brief aan de leden T.a.v. het college en de raad. 17 juli TISB/U / Lbr. 19/057. Doordecentralisatie en nieuw verdeelmodel MO, BW en BG

BESLUITENLIJST voor de vergadering van het college van B&W Datum: 3 april 2018

ons kenmerk ECSD/U Lbr. 14/091

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

ECIB/U Lbr. 15/079

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Raadsbrief. Onderwerp Zelfevaluatie Informatieveiligheid Registratienummer Datum 13 maart 2018 Betreft

il'-'ih'li-l'li'-ihih

HANDREIKING LOKAAL ORGANISEREN VERSTERKING HORIZONTALE VERANTWOORDING

UWV 2 0 DEC SBK/98574/AM. Aan de staatssecretaris van Sociale zaken en Werkgelegenheid Mevrouw drs. T. van Ark Postbus LV Den Haag

Handreiking uitvoering ENSIA verantwoording 2018

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Handreiking uitvoering ENSIA verantwoording 2018

Aantoonbaar in control op informatiebeveiliging

7 maart Ons kenmerk TIS U Lbr. 19/010. Bijlage(n)

Suwinet is de digitale infrastructuur die is ontwikkeld door en om ervoor te zorgen dat, de Suwi-partijen (UWV, SVB en

KPI rapportage gemeente Steenbergen 2017

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Transcriptie:

Brief aan de leden T.a.v. het college en de raad Datum 21 maart 2017 Ons kenmerk ECIB/U201700182 Lbr. 17/017 Telefoon (070) 373 8338 Bijlage(n) 1 Onderwerp nieuw verantwoordingsproces informatieveiligheid Samenvatting Zaken als hacks, onveilige websites en datalekken hebben bij gemeenten onverminderd de aandacht. Informatieveiligheid en privacy verdienen daarom een belangrijke plaats op de gemeentelijke agenda. Het is dan ook van belang dat verantwoordingsprocessen adequaat worden ingericht zodat informatieveiligheid geborgd blijft. In de ledenbrief Informatieveiligheid en privacy (kenmerk ECIB/U201700133) van 6 februari 2017 werd de invoering van een nieuwe verantwoordingswijze hiervoor aangekondigd. In de resolutie informatieveiligheid, randvoorwaarde voor de professionele gemeente (BALV 2013) is afgesproken dat de gemeenteraad jaarlijks wordt geïnformeerd over informatieveiligheid in de gemeente. Daarnaast is afgesproken om de verantwoordingslast voor gemeenten te verminderen. In nauwe samenwerking tussen het ministerie van BZK, SZW, I&M en VNG/KING is hier nu invulling aan gegeven. Met deze ledenbrief vragen we uw aandacht voor de nieuwe verantwoordingsprocedure. Nassaulaan 12 Den Haag Postbus 30435 2500 GK Den Haag 070-373 83 93 info@vng.nl U201700182 PROD

Aan de leden Datum 21 maart 2017 Ons kenmerk ECIB/U201700182 Lbr. 17/017 Telefoon (070) 373 8338 Bijlage(n) 1 Onderwerp nieuw verantwoordingsproces informatieveiligheid Geacht college en gemeenteraad, Zaken als hacks, onveilige websites en datalekken hebben bij gemeenten onverminderd de aandacht. Informatieveiligheid en privacy verdienen daarom een belangrijke plaats op de gemeentelijke agenda. Het is dan ook van belang dat verantwoordingsprocessen adequaat worden ingericht zodat informatieveiligheid geborgd blijft. In de ledenbrief Informatieveiligheid en privacy (kenmerk ECIB/U201700133) van 6 februari 2017 werd de invoering van een nieuwe verantwoordingswijze hiervoor aangekondigd. In de resolutie informatieveiligheid, randvoorwaarde voor de professionele gemeente (BALV 2013) is afgesproken dat de gemeenteraad jaarlijks wordt geïnformeerd over informatieveiligheid in de gemeente. Daarnaast is afgesproken om de verantwoordingslast voor gemeenten te verminderen. In nauwe samenwerking tussen het ministerie van BZK, SZW, I&M en VNG/KING is hier nu invulling aan gegeven. Met deze ledenbrief vragen we uw aandacht voor de nieuwe verantwoordingsprocedure. Het interbestuurlijk initiatief startte medio 2016. Er is nu een werkwijze, de Eenduidige Normatiek Single Information Audit (ENSIA), ontwikkeld die invulling geeft aan een gestroomlijnde informatievoorziening over informatieveiligheid. De prioriteit van de werkwijze ligt bij de verantwoording aan uw raad. Tevens geeft de werkwijze invulling aan de verantwoording naar de Rijksoverheid over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). Nassaulaan 12 Den Haag Postbus 30435 2500 GK Den Haag 070-373 83 93 info@vng.nl U201700182 PROD

Inmiddels is een pilot bij diverse gemeenten uitgevoerd in het najaar van 2016. KING heeft op basis van de pilotresultaten een impactanalyse uitgevoerd. Op basis hiervan is geconcludeerd dat de tijd rijp is voor implementatie van de nieuwe verantwoordingsprocedure. Vanaf 2017 werken gemeenten daarom aan de hand van ENSIA. VNG heeft KING de opdracht gegeven om de implementatie van ENSIA bij gemeenten te begeleiden. De diverse beleidsdepartementen dragen zorg voor het realiseren van proceswijzigingen bij alle ENSIAstakeholders. Wat betekent dit voor uw gemeente? De nieuwe verantwoordingsprocedure start met een zelfevaluatie door uw gemeente met behulp van de ENSIA-tool. Het college van B&W legt vervolgens verantwoording over informatieveiligheid af aan de gemeenteraad in het jaarverslag. Het verantwoordingsproces sluit hierdoor aan op de planning- en controlcyclus. Het gemeentebestuur heeft zo meer overzicht over de informatieveiligheid van haar gemeente. Ook kan het bestuur beter sturen. Op hoofdlijnen ziet het ENSIA-verantwoordingsproces er voortaan als volgt uit, zie hiervoor ook bijgevoegde infographic: - Gemeenten voeren vanaf juli 2017 een zelfevaluatie informatieveiligheid uit; - Het college stelt een collegeverklaring op; - Een IT-auditor controleert de collegeverklaring en stelt een assurance-rapport op; - Het college van B&W rapporteert in een paragraaf van het jaarverslag over 2017 over de informatieveiligheid; - De gemeenteraad controleert de informatieveiligheid van de gemeente en stelt de jaarstukken vast in 2018. Wat is er nodig? Om te zorgen dat het implementatietraject voorspoedig verloopt, vragen wij u de gemeentesecretaris een coördinator te laten aanwijzen die het verantwoordingsproces voor informatieveiligheid kan implementeren. Deze is tevens het aanspreekpunt voor KING. De gegevens van de coördinator kunnen via het online aanmeldformulier worden doorgegeven. We vernemen graag uiterlijk 5 april 2017 a.s. wie de rol van coördinator op zich neemt. Wat houdt de rol van coördinator in? De coördinator werkt mee aan het begeleiden, bewaken en waar nodig bijsturen van het ENSIAverantwoordingsproces. De kerntaken zijn het creëren van bewustzijn over informatieveiligheid voor de hele gemeente en het organiseren van samenwerking. De rol van coördinator kan goed worden vervuld door iemand met de functie van hoofd bedrijfsbureau, senior beleidsmedewerker bestuurszaken, controller, CIO, CISO of projectleider. De coördinator heeft de volgende taken en verantwoordelijkheden. Hij/zij: zorgt voor brede betrokkenheid en draagvlak in de organisatie; zet de zelfevaluatie vragenlijst uit bij de verantwoordelijke personen Bedrijfsvoering, Burgerzaken, Sociaal Domein, DigiD, BAG-beheer en BGT-beheer; zorgt ervoor dat de bijbehorende documenten om de zelfevaluatie af te ronden, tijdig en compleet worden opgesteld, ingevoerd en geüpload; zorgt dat zowel horizontaal als verticaal verantwoording op basis van de zelfevaluatie wordt afgelegd; draagt zorg voor projectbemensing; 3/4

Coördineert en bewaakt de uitvoering en voortgang; verleent opdracht aan de auditor voor een assurance-rapportage; organiseert communicatie en voorlichting; is contactpersoon voor vertegenwoordigers van ICT, HR [Bedrijfsvoering], Burgerzaken [BRP/PUN], Sociale Domein [SUWI], DigiD, BAG- en BGT-beheer. Heeft u nog vragen over de nieuwe verantwoordingsprocedure voor informatieveiligheid of over de invulling van de rol van coördinator? Neemt u dan contact op met Edith van Ruijven, projectleider ENSIA van KING via het e-mailadres ensia@kinggemeenten.nl of telefoonnummer 070-373.80.08. Meer informatie vindt u op kinggemeenten.nl/implementatie-ensia-het-kort Met vriendelijke groet, J. Kriens Algemeen Directeur 4/4

Wat is ENSIA? Eén slimme verantwoording voor informatieveiligheid ENSIA staat voor Eenduidige Normatiek Single Information Audit. Dit betekent eenmalige informatieverstrekking en eenmalige IT-audit. ENSIA helpt gemeenten in één keer slim BZK RvIG I&M BKWI SZW verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG met inbegrip van de specifieke normen over informatiebeveiliging van de BRP, PUN, DigiD, BAG, BGT en SUWInet. Logius Kadaster Uitgangspunt is het horizontale verantwoordingsproces aan de gemeenteraad. Dit vormt de basis voor het verticale verantwoordingsproces aan nationale partijen die een rol hebben in het toezicht op informatieveiligheid. Deze infographic Tooling & Database schetst de ENSIA werkwijze op hoofdlijnen. Proces ENSIA verantwoordingsjaar 2017 Het College van B&W 01-07-2017 Peildatum 01-10-2017 Peildatum 31-12-2017 Q1 2018 01-05-2018 Uiterlijk 15-07-2018 is verantwoordelijk voor de organisatie en uitvoering van het ENSIA verantwoordingsproces. Vragenlijst zelfevaluatie beschikbaar. Inleveren vragenlijst BRP en PUN. Inleveren antwoorden voor zelfevaluatie over de volle breedte BIG (met inbegrip van DigiD, Opstellen van de Collegeverklaring informatiebeveiliging. Uploaden Assurance rapport en Collegeverklaring informatiebeveiliging. Uploaden rapportage BAG en BGT. Het College van B&W legt verantwoording over informatieveiligheid af aan de Inhoud vragenlijst en scope IT-audit jaarlijks vastgesteld in strategisch beraad. SUWInet, BAG en BGT). gemeenteraad. Gemeentelijke coördinator ENSIA IT-auditor De gemeente organiseert het ENSIA verantwoordingsproces, bijvoorbeeld via een gemeentelijk coördinator. De coördinator zorgt voor het intern uitzetten en tijdig aanleveren van de zelfevaluatie vragenlijst. Ook zorgt de coördinator ervoor dat er onder andere een Collegeverklaring informatiebeveiliging wordt opgesteld, er één IT-audit wordt uitgevoerd en een Assurance rapport wordt opgeleverd. De gemeentelijke coördinator ENSIA zoekt tijdig contact met IT-auditor. Op basis van de resultaten uit de zelfevaluatie vragenlijst en de Collegeverklaring informatiebeveiliging wordt een IT-audit uitgevoerd en een Assurance rapport opgeleverd. De scope van de IT-audit in 2017 omvat DigiD en SUWInet.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback