10.09.2019

De ENSIA-collegeverklaring: het proces toegelicht

De ENSIA-coördinatoren zijn de komende periode weer druk met het verzamelen van bewijsstukken en het beantwoorden van ruim 400 vragen. Een hele klus, die eind 2019 afgerond zou moeten zijn. Straks is het tijd om de audits hiervoor te doen en te verantwoorden aan de stelselhouders en de raad. Hoe dat gedaan moet worden? Wij hebben het nog eens voor je op een rij gezet.

Allereerst is het belangrijk om enkel de bewijsstukken van 2019 mee te nemen in de audit. De datum van de audit loopt tot 31-12-2019. Alle stukken die later gedateerd zijn worden niet meegenomen als bewijsstuk.

Selecteer een auditor

De meeste organisaties hebben inmiddels een auditor aangesteld. Wanneer dat bij je nog niet het geval is, is het van belang om dit snel te regelen. Zonder aangestelde auditor kunnen audits niet worden getoetst en afgerond.

<< Leg nog snel jouw ENSIA-auditor vast >>

Stel een collegeverklaring op

  • Ga naar www.ensia.nl
  • Download in het menu bij RAPPORTEN de collegeverklaring inclusief de bijlagen. Geef de formats een duidelijke naam zoals bv “collegeverklaring.doc”
  • Houd je strikt aan de formats want deze zijn afgestemd met de verschillende partijen
  • Voeg de bijlage SUWI toe (ook te downloaden)
  • Voeg de rapportage DigiD toe. Deze kun je downloaden vanuit de pagina “Rapportage”. De rapportage bevat zowel de verplichte tekst als de vragen en antwoorden
  • Voeg de TPM verklaringen toe
  • LET OP: Vooraan in de tekst staat een duidelijke uitleg over hoe het document moet worden aangepast naar jouw eigen situatie. Het document dat uit de ENSIA-tool wordt gedownload moet aangepast worden, omdat het slechts een format is. Kijk ook naar de tabel in de DigiD rapportage. Hier staan overbodige zinnen in en overbodige regels. Let ook op de layout. Het is per slot van rekening een formele verantwoording en deze moet er netjes uit zien.

Orden het auditdossier

Na het downloaden en aanpassen van de collegeverklaring en de bijlagen, heb je minimaal 3 documenten in handen: de collegeverklaring, bijlage 1 (DigiD) en bijlage 2 (SUWI). Wanneer er meer DigiD-aansluitingen zijn is er per aansluiting  een rapportage nodig. Het is dus belangrijk om deze documenten goed te ordenen. Dit kan bijvoorbeeld door mapjes aan te maken en daarin de specifieke bewijsstukken te verzamelen.
De documenten (niet de bewijsstukken) moeten stuk voor stuk worden geüpload binnen de ENSIA-tool, nadat de assuranceverklaring door de auditor is verkregen. Houd ze daarom goed gescheiden.

Schakel de auditor in

Op dit punt komen auditoren graag langs om in een gesprek met de CISO’s en de applicatiebeheerders de zelfevaluatie te toetsen. Het auditdossier met daarin de volledige collegeverklaring wordt hierbij als uitgangspunt gebruikt. Voor een goed voorbereid gesprek, is het handig om het auditdossier vooraf door te sturen. Zorg ervoor dat dit via een beveiligde omgeving gebeurt! Denk hierbij aan oplossingen als ZIVVER of Cryptagon, om veilig te kunnen mailen.

De auditor ontvangt tevens graag een LOR, ofwel ‘Letter of Representation’. Hierin geef je aan de vragen van de auditor naar waarheid te hebben beantwoord en een juiste en volledige voorstelling van de feiten te hebben gegeven. Het concept hiervoor ontvang je van de auditor. Vul deze in, bouw deze om in jouw eigen huisstijl en stuur dit getekend naar de auditor terug.

Regel een goede samenwerking tussen CISO en auditor

De meeste CISO’s willen de collegeverklaring pas definitief maken na het oordeel van de auditor. De auditoren geven pas een verklaring op de definitieve verklaring.
Om te voorkomen dat er een patstelling ontstaat wordt bij een audit om het definitieve concept gevraagd. Deze wordt gecontroleerd en pas wanneer het oordeel compleet is wordt de collegeverklaring definitief gemaakt. De gemeente is dan in staat om eventuele manco’s zelf nog op te nemen in de rapportage.

De afronding

Wanneer de auditor zijn werk heeft gedaan en heeft vastgesteld dat het definitieve concept overeenkomt met de definitieve collegeverklaring, ontvang je een assurance-rapport van de auditor. Via de ENSIA-tool kunnen de stukken worden geüpload en ben je klaar met deze fase.
Wat dan nog rest is het informeren van de raad. Hiervoor is een format gemaakt door de VNG die beschikbaar wordt gesteld. De deadline voor deze rapportage is 15 juli 2020.

Verantwoording aan de stakeholders

Naast de verticale verantwoording moet ook verantwoording worden afgelegd aan de stakeholders. Voor deze verantwoording is geen specifiek format afgesproken. Het is wel van belang om goed in te schatten wie welke informatie krijgt. Sta dus even stil bij het feit dat de informatie die verstrekt wordt moet aansluiten bij de kennis en belevingswereld van de ontvanger. Denk hierbij ook na over wat een kwaadwillende met de informatie zou kunnen. Het is niet de bedoeling dat te veel transparantie gaat leiden tot een beveiligingsincident.

Ondersteuning nodig?

Heb je nog geen auditor geboekt? Wij helpen je graag! Bekijk onze contact pagina en vul onderaan jouw gegevens in. Wij doen je zo snel als mogelijk een vrijblijvende offerte toekomen.

Ook voor andere vragen staan wij graag voor je klaar! Je kunt ons bereiken via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl

Categorie: Kennis

Gerelateerde producten

ENSIA-audit