14.12.2017

Voorbereiding op het formele audit deel ENSIA

In een dagdeel voorbereiden op de ENSIA audit

Door Erwin Boerhoop

De laatste weken hebben we bij SafeHarbour veel vragen gekregen over de laatste loodjes voor de voorbereiding van de audits op DigID en SUWI.

Hoe zit dat nu in onze gemeenschappelijke sociale dienst?
Hoe check ik of DNSSEC goed staat en hoe bewijs ik dit?
Waarom gebruikt mijn auditor de leidraad van de NOREA, terwijl dit niet synchroon loopt met de vragenlijst uit de ENSIA-tool?

Als niet-auditor, wil ook ik dit graag begrijpen. Daarom ben ik een dagje meegegaan met Ronald Driehuis RE.  Een aantal gemeenten in het noorden van het land wilde graag in een dagdeel voorbereid worden op de ENSIA audit. Bij voorkeur door een externe, inhoudelijke auditor die alle processen van een gemeente kent, dus ook het volledige spectrum van ENSIA.

Workshop met directe dossier-opbouw

We hebben ons, vanwege de korte tijd, beperkt tot het formele deel. De scope was DigiD 2.0 en de SUWI-vragenlijst uit ENSIA. Aanwezig waren de CISO, BRP-specialisten, Informatiemanagers, Website beheerders, collega’s van de sociale dienst, Planning & Control en later ook de Functionaris Gegevensbescherming.

In twee sessies van twee uur heeft Ronald met de gemeenten, de normen die worden ge-audit en het bewijs dat daarbij geleverd moet worden, doorgenomen. Het was een workshop waarin direct een dossier werd opgebouwd. Omdat de dossiers van vorig jaar ook aanwezig waren ging het snel en werd ook direct duidelijk welke normen (DigiD) nieuw waren en waarin overlap zat. Hetzelfde ging op voor SUWI. Waarbij vooral aandacht ging naar vragen over de concrete invulling in de ENSIA-tool, met betrekking tot de antwoorden van de gemeenschappelijke regeling.

Op 30 oktober is er vanuit NOREA een leidraad gekomen. Deze leidraad is gebaseerd op de verantwoordingsrichtlijn SUWI. Hoewel deze inhoudelijk aansluit op de vragen in ENSIA lopen de vragen niet synchroon. Dit kan zorgen voor onduidelijkheden bij de gemeente en de auditor.

Mapping

Om al deze verschillende aanvliegroutes te mappen heeft Ronald voor zijn klanten een direct een mappen document gemaakt. Handig voor u om de relaties te zien tussen de ENSIA-vragenlijst  (dat is en blijft namelijk uitgangspunt) en de andere mogelijke aanvliegroutes. U kunt deze bij ons opvragen maar Ronald zal er ook voor zorgen dat een klant deze deelt op het IBD-forum. Auditoren die nog niet zo goed zijn ingevoerd in gemeenteland kunnen dit document ook bij ons opvragen.

Mijn conclusie is dat gemeenten goed op weg zijn maar nog onzeker zijn door onduidelijke vraagstelling en de verschillende aanvliegroutes. Na de eerste ronde ENSIA zal dit waarschijnlijk verdwenen zijn.Heeft u nog geen auditor aangesteld, neem dan contact op om onze werkwijze te ontdekken. Heeft u inhoudelijke vragen, ook dan staan we u graag te woord.

Categorie: Nieuws Wetgeving

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2019

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2019

Download nu »