SafeHarbour-Blog-ENSIA- Collegeverklaring-Zo-stelt- u-het-op!
12.02.2018

ENSIA Collegeverklaring: Zo stelt u het op!

Coördinatoren van ENSIA zijn het afgelopen jaar druk bezig geweest met het verzamelen van bewijsstukken en het beantwoorden van ruim 400 vragen. Een hele klus, welke zij eind 2017 hebben afgerond. Nu is de tijd aangebroken om hier de audits voor te doen en te verantwoorden aan de stelselhouders en de Raad. Hoe dat gedaan moet worden? Wij geven u graag inzicht in de bijbehorende taken.

Allereerst is het belangrijk om enkel de beschikbare bewijsstukken van 2017 mee te nemen in de audit. De datum van de audit loopt tot 31-12-2017. Alle stukken die later gedateerd zijn worden niet meegenomen in het geheel.

Selecteer een auditor

De meeste organisaties hebben inmiddels een auditor aangesteld. Wanneer dat bij u nog niet het geval is, is het van belang om dit snel te regelen. Zonder aangestelde auditor kunnen audits niet worden getoetst en afgerond.

Stel een collegeverklaring op

  • Ga naar www.ensia.nl
  • Download de formats: De formats krijgen in de meeste browsers automatisch de naam “format” zonder de extensie .doc(x). Dit komt omdat de oorspronkelijke naam van het document een spatie heeft. Geef de formats een duidelijke naam zoals bv “collegeverklaring.doc”
  • Houd u strikt aan de formats want deze zijn afgestemd met de verschillende partijen
  • Voeg de bijlage SUWI toe (ook te downloaden)
  • Voeg de rapportage DigiD toe. Deze kunt u downloaden vanuit de pagina “Rapportage”. De rapportage bevat zowel de verplichte tekst als de vragen en antwoorden
  • Voeg de TPM verklaringen toe
  • LET OP: In de tekst staan variabelen met HOOFDLETTERS aangegeven. Pas deze aan zodat het een nette rapportage wordt. Kijk ook naar de tabel in de DigiD rapportage. Hier staan overbodige zinnen in en overbodige regels. Let ook op de layout. Het is per slot van rekening een formele verantwoording en deze moet er netjes uit zien.

Orden het auditdossier

Na het downloaden en aanpassen van de collegeverklaring en de bijlagen, heeft u minimaal 3 documenten in handen. Wanneer er meer aansluiting is voor DigiD is er per aansluiting ook nog een rapportage nodig. Het is dus belangrijk om deze documenten goed te ordenen. Dit kan bijvoorbeeld door mapjes aan te maken en daarin de specifieke bewijsstukken te verzamelen.
De documenten moeten stuk voor stuk worden geupload binnen ENSIA. Houd ze daarom goed gescheiden.

Lees ook: Timeline 2018 – Alle Privacy, Security & Auditing deadlines.

Schakel de auditor in

Op dit punt komen auditoren graag langs om in een gesprek met de CISO’s en de applicatiebeheerders de beheersmaatregelen te toetsen. Het auditdossier met daarin de volledige collegeverklarng wordt hierbij als uitgangspunt gebruikt. Voor een goed voorbereid gesprek, is het handig om het auditdossier vooraf door te sturen. Zorg ervoor dat dit via een beveiligde omgeving gebeurt! Denk hierbij aan producten als ZIVVER of Cryptagon, om veilig te kunnen mailen.

De auditor ontvangt tevens graag een LOR, ofwel Letter of Representation’. Hierin geeft u aan de vragen van de auditor naar waarheid te hebben beantwoord en een juiste en volledige voorstelling van de feiten te hebben gegeven. Het concept hiervoor ontvangt u van de auditor. Vul deze in, bouw deze om in uw eigen huisstijl en stuur dit getekend naar de auditor terug.

Regel een goede samenwerking tussen CISO en auditor

De meeste CISO’s willen de collegeverklaring pas definitief maken na het oordeel van de auditor. De auditoren geven pas een verklaring op de definitieve verklaring.
Om te voorkomen dat er een patstelling ontstaat wordt bij een audit om het definitieve concept gevraagd. Deze wordt gecontroleerd en pas wanneer het oordeel compleet is wordt de collegeverklaring definitief gemaakt. De gemeente is dan in staat om eventuele manco’s zelf nog op te nemen in de rapportage.

De afronding

Wanneer de auditor zijn werk heeft gedaan en heeft vastgesteld dat het definitieve concept overeenkomt met de definitieve collegeverklaring, ontvangt u een assurance rapport van de auditor. Via de ENSIA tool kunnen de stukken worden geupload en bent u klaar met deze fase.
Wat dan nog rest is het informeren van de Raad. Hiervoor is een format gemaakt door de VNG die beschikbaar wordt gesteld. De deadline voor deze rapportage is 15 juli 2018.

Verantwoording aan de stakeholders

Naast de verticale verantwoording moet ook verantwoording worden afgelegd aan de stakeholders. Voor deze verantwoording is geen specifiek format afgesproken. Het is wel van belang om goed in te schatten wie welke informatie krijgt. Sta dus even stil bij het feit dat de informatie die verstrekt wordt moet aansluiten bij de kennis en belevingswereld van de ontvanger. Denk hierbij ook na over wat een kwaadwillende met de informatie zou kunnen. Het is niet de bedoeling dat te veel transparantie gaat leiden tot een beveiligingsincident.

Ten slotte

VNG realisatie houdt goede sessies over dit onderwerp in het land. Daar kunt u vragen stellen en tips en trucs uitwisselen met andere gemeenten.

Lees ook: Timeline 2018 – Alle Privacy, Security & Auditing deadlines.

Categorie: Nieuws

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »