Beste bezoeker,

op dit moment wordt er een nieuwe release doorgevoerd op GEMMA Online. Hierdoor is de omgeving tijdelijk niet beschikbaar.

Vragen? Stuur een e-mail naar gemmaonline@vng.nl

Met vriendelijke groet, Kenniscentrum Architectuur VNG Realisatie

Katern GEMMA Tactisch Gegevensmanagement

Laatst bewerkt: 6 juli 2021, 14:01:16
Bijlage E: ENSIA

De gemeente kent een groot aantal audits, waarvan een gedeelte via de ENSIA is gebundeld. ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid. De focus van ENSIA ligt op de horizontale verantwoording: binnen de gemeente, met een belangrijke rol voor de gemeenteraad. ENSIA is een initiatief van de VNG en de ministeries van BZK, voormalig I&M en SZW. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.

ENSIA
Figuur - ENSIA


Maar dit is allemaal theorie. Hoe ga je hier nou om in de praktijk. Wat is de binding met gegevensmanagement?

De praktijk

ENSIA wordt in elke gemeente verschillend geïmplementeerd. De grootte van de gemeente speelt een rol en/of de gemeente in het bezit is van een ISMS (Information Security Management System) of alleen gebruik maakt van de ENSIA tool.

Los hiervan is het goed te ervaren dat, hoe je dit ook organiseert, je (onbewust) bezig bent met gegevensmanagement. Met ENSIA kan je gegevensmanagement concreet maken (NB. dit geldt ook voor privacy/Algemene Verordening Gegevensbescherming). Uitzetten van taken aan eigenaars, benoemen van rollen, maken van verantwoording/rapportages, het in control zijn allemaal aspecten die ook in het gegevensmanagement terug te vinden zijn. Ook het RACI model van gegevensmanagement is aangevuld met een ENSIA deel.

Er wordt aanbevolen een coördinator ENSIA aan te wijzen en deze te melden bij VNG Realisatie. Deze coördinator wordt als contactpersoon opgenomen en moet regie over de uitvoering van ENSIA op zich nemen. Vaak wordt deze taak bij de CISO/IB adviseur neergelegd. De coördinator ENSIA heeft structureel overleg met de leidinggevende en/of gemeentesecretaris en portefeuillehouder. Wil je het op strategisch niveau ook goed geregeld hebben dan benoem je ook een gegevensmanagement functionaris. Iemand die het totale overzicht heeft, niet alleen van ENSIA maar ook van andere belangrijke gegevensstromen. Op deze wijze wordt overlap van deze facetten eerder gesignaleerd, hetgeen kosten bespaart en de kwaliteit verbetert. Ook hier zal de grootte van de gemeente een belangrijke rol spelen. Dit zou je ook door een CIO kunnen laten doen. Maar dan moet hij/zij er wel serieuze interesse en tijd voor hebben.

Wat gaat er gebeuren?

De op zichzelf staande audits (DigiD, zelfevaluatie BRP, Suwinet, BAG, BGT en BRO) worden in ENSIA samengevoegd. De normen die aan deze audits gekoppeld waren, worden nu gekoppeld aan de normen van ENSIA. En de normen van ENSIA zijn weer gekoppeld aan de BIG/BIO. Er wordt dus op twee soorten normen beoordeeld, te weten:

  • De z.g. auditwaardige normen, en:
  • De “BIG/BIO” normen.

De auditwaardige normen

Dit zijn de verplichte normen die aantoonbaar gemaakt moeten worden (accountable). De resultaten hiervan gaan naar de verantwoordelijke ministeries (verticale verantwoording) en naar het college van B&W (horizontale verantwoording). De collegeverklaring wordt geauditeerd door een RE Auditor. De uitvoering van deze audit is vastgesteld en zal volgens een planning, die voor elke gemeente geldt, uitgevoerd moeten worden. Het aantal normen kunnen per jaar veranderen.  

De “BIG” normen

De antwoorden cq. maatregelen op deze normen zijn gebaseerd op het “pas toe en leg uit” principe. Deze hebben dus een minder verplicht karakter. Hier kan een gemeente zelf aangeven wat ze belangrijk vindt en dit in een Informatiebeveiligingsplan verwerken. Dit plan kan jaarlijks worden aangepast en worden verwerkt in het ISMS (Information Security Management System)waarmee de PDCA cyclus wordt gewaarborgd. De resultaten hiervan (en van de audit) worden in een collegeverklaring aan B&W voorgelegd (horizontale verantwoording). Ter completering dient de gemeenteraad (weliswaar in verkapte vorm) ook geïnformeerd te worden.

Kick-off

Omdat dit een gemeentebreed onderwerp is, zijn hier een groot aantal medewerkers bij betrokken. Het is dan ook verstandig deze medewerkers goed te informeren, bijvoorbeeld met een terugkerend overleg wat gestart wordt met een kick-off. Van belang is dat medewerkers zich tijdens de kick-off ervan bewust worden dat dit deze werkzaamheden zijn die jaarlijks terugkomen en dat zij verantwoordelijk zijn voor een correcte uitvoering (een correcte beantwoording van de vragen). Deze medewerkers zijn dus, vertaalt naar gegevensmanagement, de bronhouders. Het is praktisch een team ENSIA op te zetten en, als de mogelijkheid zich voordoet, dit ook op intranet ook te doen.

Bij vertrek van een bronhouder moet de nieuwe bronhouder uiteraard goed geïnformeerd worden.

Ook de link met het college van B&W is van belang. Veel gemeente hebben al een portefeuillehouder Informatiebeveiliging. Met hem/haar kunnen ook ENSIA gerelateerde onderwerpen besproken worden.

Wel of geen ISMS

Je hebt dus sowieso te maken met een ENSIA tool. Of je nu wel of geen ISMS hebt, ENSIA moet worden uitgevoerd. De vragen moeten toch volgens de planning worden uitgerold en beantwoord. Dit kan beter en uitgebreider met een ISMS. In het ISMS kunnen verschillende jaren onderling vergeleken worden en kunnen betere rapportages worden gemaakt. Dit ter input en waarborging van de PDCA cyclus. Het ISMS is leidend voor de organisatie, niet de ENSIA tool. Dat is een hulpmiddel. De ENSIA-coördinator krijgt beide tools in beheer. Het is mogelijk in deze tool de bronhouders op te nemen. Zij krijgen dan de vragen waarvoor zij verantwoordelijk zijn. Van hen wordt verwacht dat zij deze tijdig beantwoorden en waar nodig voorzien van bewijzen (aantoonbaarheid). Vervolgens volgt de audit en worden de antwoorden met nodige documentatie geüpload. Als je een ISMS hebt worden de vragen uit de ENSIA tool overgenomen in het ISMS. In het ISMS worden de vragen uitgezet naar de bronhouders. Deze beantwoorden de vragen in het ISMS en waar nodig uploaden zij ook de bewijzen. Vervolgens moeten deze antwoorden met bewijzen en andere nodige documentatie in de ENSIA tool worden overgezet. Zoals eerder is gezegd is een ISMS is voor de gemeente leidend. Hierin is de Plan, Do, Check en Act cyclus opgekomen. Naast ENSIA is ook het IB plan opgenomen, Privacy gerelateerde werkzaamheden, genereert het verslagen/rapporten en prognoses.