13.06.2018

Dé valkuilen en tips voor de gemeentelijke ENSIA audit 2018

Sinds 2017 zijn gemeenten verplicht om jaarlijks een zelfevaluatie in te vullen omtrent informatieveiligheid, de zogenaamde ENSIA. De basis van de ENSIA? Vragenlijsten gebaseerd op het normenkader van de BIG. Wanneer gemeenten deze vragenlijsten op de juiste manier invullen, en aanvullen met bijbehorende bewijsstukken, kunnen zij bewijzen dat zij op de juiste manier omgaan met informatieveiligheid. Het laat zien dat zij in control zijn.

Verplichte controle

Onze auditors hebben veel te maken met de ENSIA audit van de DigiD en SUWInet. Dat komt doordat deze twee normenkaders de enige zijn waarop een verplichte controle moet worden uitgevoerd door een gecertificeerde auditor. Voor de andere disciplines geldt: De ENSIA zelfevaluatie is verplicht, een controle door een auditor (nog) niet.

Ook interessant: De BIG compliancy scan »

ENSIA audit vanaf 1 juli 2018

Vanaf 1 juli begint het nieuwe ENSIA traject. Het afgelopen jaar hebben alle gemeenten hier kennis mee gemaakt. Als auditors hebben wij mee mogen kijken met deze nieuwe start in gemeenteland. Wat ging er goed, maar vooral welke valkuilen kwamen veel gemeenten tegen? Om u voor de meest voorkomende valkuilen te behoeden hebben we deze omgezet in de volgende 4 waardevolle tips:

1. Begin op tijd

De ENSIA zelfevaluatieperiode loopt van 1 juli t/m 31 december 2018. Dat klinkt als zeeën van tijd, maar in 2017 viel dit veelal tegen. Na het beantwoorden van alle ENSIA vragen moeten ook bewijsstukken worden toegevoegd aan het dossier. Deze bewijsstukken MOETEN van hetzelfde jaar zijn als waarop de zelfevaluatie betrekking heeft. Trap dus niet in de valkuil om op 31 december alle vragen netjes ingevuld toe te sturen en het verzamelen van de bewijsstukken door te schuiven naar het volgende jaar. Heftig maar waar, deze bewijsstukken tellen dan niet mee. Begin dus op tijd met het invullen van de zelfevaluatievragenlijst en het verzamelen van de bijbehorende bewijsstukken.

2. Betrek alle verantwoordelijken bij het proces

Omdat verschillende disciplines zijn betrokken bij een ENSIA zelfevaluatie, zijn er ook verschillende verantwoordelijken voor informatieveiligheid. Het is bijvoorbeeld zo dat een aantal procedures formeel moet zijn vastgesteld door deze betreffende verantwoordelijke. Logischerwijs is het dus goed om deze mensen te betrekken bij het gehele proces. Zij weten precies wat speelt binnen hun discipline en welke valkuilen er zijn. De vragen omtrent hun gedeelte en het verzamelen van de bewijsstukken is voor hen een stuk makkelijker, dan wanneer de ENSIA coordinator dit allemaal alleen moet doen. Daarnaast zorgt het stukje teamwork ervoor dat informatieveiligheid eerder onderdeel wordt van de reguliere bedrijfsvoering en u ook volledig bent in uw verantwoording.

3) Gefaseerde audit

Het is wettelijk verplicht om de ENSIA audit van DigiD en SUWInet te laten controleren door een gecertificeerde auditor. Veel gemeenten trekken deze auditor er pas aan het einde van het de rit bij. Zij zien het als een soort eindexamen waarin de ENSIA audit wordt afgenomen door de auditor. Beter is het om de auditor gedurende het hele proces aan te laten sluiten. Plan verschillende revisiemomenten waarin de auditor precies kan aangeven wat nog mist en waar de verbeterpunten liggen. Dankzij de inzichten van de auditor raken gemeenten niet verstrikt in de brij van de ENSIA audit. Daarnaast brengt een auditor een frisse blik. Zoals we eerder aangaven is de ENSIA audit een zelfreflectie omtrent de omgang met informatieveiligheid. Hebben medewerkers het in zich om die kritische vragen te stellen over wat wel en wat minder goed gaat? Een auditor bekijkt het geheel door de auditorbril en weet precies welke kritische vragen beantwoord moeten worden om tot een goed eindresultaat te komen.

4. Documenteer het eindresultaat

En dan is het moment daar en moet de gemeente ENSIA dossier inleveren bij de auditor. Het hele team heeft hard gewerkt om de deadline te halen en nu is het wachten op de feedback. De vraag is; hoe leveren gemeenten dit aan? Als de gemeente ervoor kiest om de spreekwoordelijke schoenendoos gevuld met bij elkaar geraapte informatie aan te bieden, dan heeft de auditor bij voorbaat al het gevoel dat men niet in control is. Ook de coordinator mist in deze gevallen veelal het overzicht. Een gestructureerd document brengt niet alleen overzicht voor de gemeente, maar geeft de auditor ook een goede eerste indruk van de zelfreflecterende ENSIA.

Onze audit-praktijk

Bij vele gemeenten hebben wij in het afgelopen half jaar audits mogen uitvoeren. Ondanks de vele valkuilen, zagen we bij een aantal van onze klanten hoe het ook heel goed kan gaan:

  • De audit was voorbesproken met de vakafdeling;
  • het bewijs was ruim op tijd verzameld;
  • het dossier werd per vakgebied voorgelegd aan een interne auditor;
  • het dossier kon tijdig worden verbeterd cq aangevuld;
  • het dossier werd op tijd aangeleverd;
  • de toelichting op het dossier was voorbereid en de audit verliep daardoor uitstekend.

De organisaties waarbij we deze situatie tegenkwamen, hadden veelal een kwaliteitsmanager/auditor in dienst. We realiseren ons dat niet iedere organisatie deze luxe heeft. Voor die organisaties is het wellicht zinvol om een externe auditor in te schakelen die zorgt voor ‘continues auditing’, waardoor je al gedurende het jaar weet of en in welke mate zaken op orde zijn. Dit neemt veel stress weg aan het einde van het traject en het ondersteunt organisaties bij sturing op de bedrijfsprocessen.

Inzicht en overzicht tijdens de ENSIA

Structuur en overzicht zijn key bij een goede uitvoering van de ENSIA. Met de BIG compliancy scan krijgt u de inzichten en het overzicht die nodig zijn voor een goede ENSIA audit. Benieuwd hoe wij u verder kunnen helpen? Interesse in continues auditing? Neem vooral vrijblijvend contact met ons op!

Altijd BIG compliant met onze BIG Compliancy Scan »

Categorie: Nieuws

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »