07.01.2019

De ENSIA-collegeverklaring: het proces toegelicht

De ENSIA-coördinatoren zijn het afgelopen jaar weer druk geweest met het verzamelen van bewijsstukken en het beantwoorden van ruim 400 vragen. Een hele klus, die eind 2018 afgerond zou moeten zijn. Nu is het tijd om de audits hiervoor te doen en te verantwoorden aan de stelselhouders en de raad. Hoe dat gedaan moet worden? Wij hebben het nog eens voor u op een rij gezet.

Allereerst is het belangrijk om enkel de bewijsstukken van 2018 mee te nemen in de audit. De datum van de audit loopt tot 31-12-2018. Alle stukken die later gedateerd zijn worden niet meegenomen als bewijsstuk.

Selecteer een auditor

De meeste organisaties hebben inmiddels een auditor aangesteld. Wanneer dat bij u nog niet het geval is, is het van belang om dit snel te regelen. Zonder aangestelde auditor kunnen audits niet worden getoetst en afgerond.

<< Leg nog snel uw ENSIA-auditor vast >>

Stel een collegeverklaring op

  • Ga naar www.ensia.nl
  • Download in het menu bij RAPPORTEN de collegeverklaring inclusief de bijlagen. Geef de formats een duidelijke naam zoals bv “collegeverklaring.doc”
  • Houd u strikt aan de formats want deze zijn afgestemd met de verschillende partijen
  • Voeg de bijlage SUWI toe (ook te downloaden)
  • Voeg de rapportage DigiD toe. Deze kunt u downloaden vanuit de pagina “Rapportage”. De rapportage bevat zowel de verplichte tekst als de vragen en antwoorden
  • Voeg de TPM verklaringen toe
  • LET OP: Vooraan in de tekst staat een duidelijke uitleg over hoe het document moet worden aangepast naar uw eigen situatie. Het document dat uit de ENSIA-tool wordt gedownload moet aangepast worden, omdat het slechts een format is. Kijk ook naar de tabel in de DigiD rapportage. Hier staan overbodige zinnen in en overbodige regels. Let ook op de layout. Het is per slot van rekening een formele verantwoording en deze moet er netjes uit zien.

Orden het auditdossier

Na het downloaden en aanpassen van de collegeverklaring en de bijlagen, heeft u minimaal 3 documenten in handen: de collegeverklaring, bijlage 1 (DigiD) en bijlage 2 (SUWI). Wanneer er meer DigiD-aansluitingen zijn is er per aansluiting  een rapportage nodig. Het is dus belangrijk om deze documenten goed te ordenen. Dit kan bijvoorbeeld door mapjes aan te maken en daarin de specifieke bewijsstukken te verzamelen.
De documenten (niet de bewijsstukken) moeten stuk voor stuk worden geupload binnen de ENSIA-tool, nadat de assuranceverklaring door de auditor is verkregen. Houd ze daarom goed gescheiden.

Schakel de auditor in

Op dit punt komen auditoren graag langs om in een gesprek met de CISO’s en de applicatiebeheerders de zelfevaluatie te toetsen. Het auditdossier met daarin de volledige collegeverklaring wordt hierbij als uitgangspunt gebruikt. Voor een goed voorbereid gesprek, is het handig om het auditdossier vooraf door te sturen. Zorg ervoor dat dit via een beveiligde omgeving gebeurt! Denk hierbij aan oplossingen als ZIVVER of Cryptagon, om veilig te kunnen mailen.

De auditor ontvangt tevens graag een LOR, ofwel ‘Letter of Representation’. Hierin geeft u aan de vragen van de auditor naar waarheid te hebben beantwoord en een juiste en volledige voorstelling van de feiten te hebben gegeven. Het concept hiervoor ontvangt u van de auditor. Vul deze in, bouw deze om in uw eigen huisstijl en stuur dit getekend naar de auditor terug.

Regel een goede samenwerking tussen CISO en auditor

De meeste CISO’s willen de collegeverklaring pas definitief maken na het oordeel van de auditor. De auditoren geven pas een verklaring op de definitieve verklaring.
Om te voorkomen dat er een patstelling ontstaat wordt bij een audit om het definitieve concept gevraagd. Deze wordt gecontroleerd en pas wanneer het oordeel compleet is wordt de collegeverklaring definitief gemaakt. De gemeente is dan in staat om eventuele manco’s zelf nog op te nemen in de rapportage.

De afronding

Wanneer de auditor zijn werk heeft gedaan en heeft vastgesteld dat het definitieve concept overeenkomt met de definitieve collegeverklaring, ontvangt u een assurance-rapport van de auditor. Via de ENSIA-tool kunnen de stukken worden geupload en bent u klaar met deze fase.
Wat dan nog rest is het informeren van de raad. Hiervoor is een format gemaakt door de VNG die beschikbaar wordt gesteld. De deadline voor deze rapportage is 15 juli 2019.

Verantwoording aan de stakeholders

Naast de verticale verantwoording moet ook verantwoording worden afgelegd aan de stakeholders. Voor deze verantwoording is geen specifiek format afgesproken. Het is wel van belang om goed in te schatten wie welke informatie krijgt. Sta dus even stil bij het feit dat de informatie die verstrekt wordt moet aansluiten bij de kennis en belevingswereld van de ontvanger. Denk hierbij ook na over wat een kwaadwillende met de informatie zou kunnen. Het is niet de bedoeling dat te veel transparantie gaat leiden tot een beveiligingsincident.

Ondersteuning nodig?

Heeft u nog geen auditor geboekt? Wij helpen u graag! Klik hier en vul onderaan die pagina uw gegevens in. Wij doen u zo snel als mogelijk een vrijblijvende offerte toekomen.

Ook voor andere vragen staan wij graag voor u klaar! U kunt ons bereiken via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl

Categorie: Kennis

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »

Gerelateerde producten

ENSIA-audit