Presentatie aan de Raad Format presentatie aan de raad ENSIA 2018 verantwoording
Format presentatie Dit document kunt u gebruiken om een presentatie aan de raad te geven over informatieveiligheid en ENSIA. In gewone letters staat tekst die u altijd kunt gebruiken. Schuingedrukt zijn teksten die u aan de lokale situatie kunt aanpassen. Tip: Zorg dat de presentatie maximaal 10 minuten duurt. Laat zien dat informatieveiligheid niet alleen over techniek gaat, maar ook betrekking heeft op bewustwording en menselijk handelen. Een aanvullende toelichting kunt u altijd op papier geven. Wellicht kunt u voorafgaand aan de presentatie een ‘sponsor’ in de raad vinden, die mederaadsleden alvast kan informeren over dit onderwerp.
Programma Animatie Waarom ENSIA 2017 resultaten en de effecten voor onze gemeente Speerpunten 2018 & afspraken Vragen
De animatie kunt u vinden op https://www. youtube. com/watch U kunt hem ook opvragen bij ensia@vng.nl. Dan stuurt VNG Realisatie deze op via Wetransfer.
Waarom? Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig en adequaat omgaat met informatie en deze goed beveiligt. Het is belangrijk dat de overheid kan waarborgen dat er veilig wordt omgegaan met de gegevens van burgers en bedrijven. Gemeenten spelen hierin een belangrijke rol. Het gaat om betrouwbaarheid, juistheid en integriteit van informatie (in de breedste zin van het woord). Het waarborgen van de betrouwbaarheid van informatie zorgt voor kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen, en daarmee aan de producten en diensten voor burgers en bedrijven. Ga - indien van toepassing - in op andere onderwerpen rondom verantwoording/informatieveiligheid binnen je gemeente. Denk aan de implementatie van de BIG, of bewustwordingscampagnes rondom informatieveiligheid en eventuele ervaringen met datalekken.
Afspraken VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor professionele dienstverlening’ Alle medewerkers, bestuur en raad bewustmaken van het belang van informatieveiligheid … door het uitvoeren van procedures, maatregelen, controles en verantwoording …door het opstellen van een verklaring over informatieveiligheid aan de gemeenteraad in het jaarverslag Tijdens de Buitengewone Algemene Ledenvergadering van de VNG van november 2013 is de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ aangenomen. Hiermee hebben alle gemeenten het belang van informatieveiligheid erkend. Ook hebben ze de BIG gekozen als het gemeentelijk basisnormenkader voor informatieveiligheid. In de resolutie hebben gemeenten afgesproken hun eigen toezichthouder - de gemeenteraad - in het jaarverslag te informeren over informatieveiligheid. Daarnaast roepen gemeenten in de resolutie op de verantwoordingslasten van informatieveiligheid te verminderen. Dit is de aanleiding voor het project ENSIA.
ENSIA: een jaarlijks verantwoordingsproces informatieveiligheid Raad krijgt grotere rol in het toezicht op de informatieveiligheid ENSIA zorgt voor jaarlijkse routine in planning- en controlcyclus gemeenten Streven is een volledig uniform verantwoordingsproces aan verticale toezichthouders. Lange termijn, toekomstbeeld
Hoe? Vanaf 2017 Uitvoeren van zelfevaluatie informatieveiligheid Rapporteren over informatieveiligheid in gemeentelijk jaarverslag Afleggen van verantwoording aan de raad (toezichthouder gemeente) Gebruik gemeentelijke verantwoording door landelijke toezichthouders. ENSIA is een initiatief van de VNG en de ministeries van BZK en SZW. Het staat voor Eenduidige Normatiek Single Information Audit. Kern is een eenmalige informatieverstrekking en eenmalige IT-audit. ENSIA ontwikkelt een effectief en efficiënt verantwoordingsstelsel voor informatieveiligheid, gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid aan de raad. ENSIA sluit aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid en kan het bestuur beter sturen en verantwoording afleggen aan de gemeenteraad. ENSIA structureert ook de gemeentelijke verantwoording aan de rijksoverheid over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). Dit jaar geldt voor de BRO (Basis Registratie Ondergrond) een proefjaar.
Terugblik eerste verantwoordingsjaar ENSIA in 2017 Neem hier de hoofdpunten op uit het eerste jaar ENSIA. Zie ook onderwatertekst voor structuur en opbouw van deze slide. Informatiebeveiliging beleid en doelstellingen Algemeen beeld en resultaten afgelopen periode Disclaimer Belangrijkste maatregelen informatiebeveiliging Realisatie doelstellingen informatiebeveiligingsbeleid Wat is gerealiseerd Wat kan beter Meerjarenperspectief Planning implementatie
Horizontaal Proces ENSIA Verantwoording 2018 Gemeenten verantwoorden zich jaarlijks over hun informatieveiligheid Dit gebeurt met behulp van Eenduidige Normatiek Single Information Audit (ENSIA) Het college van B&W is verantwoordelijk voor de uitvoering van het ENSIA verantwoordingsproces 1 juli 2018 31 december 2018 Uiterlijk 15 juli 2019 Vertrouwelijk Zelfevaluatie Uitvoering informatieveiligheid Opstellen Opstellen separate rapportage informatieveiligheid (Opstellen paragraaf verantwoording informatieveiligheid) Verantwoorden Gemeenteraad vertrouwelijk informeren met separate rapportage informatieveiligheid (Verantwoording informatieveiligheid opnemen in jaarverslag) (Vaststellen van jaarverslag door college van B&W) (Goedkeuren van jaarverslag door de gemeenteraad) Opsturen (Het college van B&W stuurt het gemeentelijk jaarverslag aan het Ministerie van BZK) 7-12-2018
Wat kan de raad verwachten in 2018? De verantwoording loopt samen met de planning & control cyclus van de gemeente. Een paragraaf Informatieveiligheid in het jaarverslag en een separate Rapportage Informatieveiligheid? Agendering en behandeling ‘informatieveiligheid’ in de raadsvergaderingen. Op basis van de uitkomsten stelt de gemeente jaarlijks verbeterplannen op om de informatieveiligheid te blijven verbeteren. Vul deze effecten aan als dat van toepassing is voor uw gemeente. Maak keuze hoe u de raad gaat informeren. Denk hierbij aan dat de verticale verantwoordingsdocumenten ter informatie ook aan de raad moeten worden gezonden. Eén oplegger in de vorm van een separate rapportage aan de raad – waarbij u de verticale rapportages als bijlagen opneemt is een passende vorm om op één moment breed de aandacht te vragen voor het onderwerp informatieveiligheid.
ENSIA voor verticale toezichthouders De gemeente stelt een collegeverklaring over Suwinet en DigiD voor de toezichthouders. De gemeente stelt rapportages op over de BAG, BGT en de BRO (proefjaar) De BRP en PUN verantwoording verloopt in samenhang met de kwaliteitsmonitor. De auditor controleert de gemeente op Suwinet en DigiD. Uiterlijk 1 mei 2018 ontvangen de verticale toezichthouders relevante informatie over de informatieveiligheid van de gemeente. Vul deze effecten aan indien van toepassing voor uw gemeente. Voor de BRP PUN worden de vragen over informatieveiligheid overgeheveld aan de kwaliteitsmonitor
Afspraken Wie is de verantwoordelijk portefeuillehouder (één of meerdere wethouders?) Afspraken over verantwoording (wanneer en door wie?) Afspraken over de focus van de verantwoording (wat vindt de raad belangrijk) Afspraken over de monitoring van de voortgang (hoe en door wie?) Vraag of een vervolgpresentatie aan de raad of een specifieke commissie gewenst is (over ENSIA of informatieveiligheid in het algemeen) Afspraken over verbeteren informatieveiligheid voor de komende jaren. Toelichting op de werkafspraken binnen het project en die relevant zijn voor de raad. Een deel van deze afspraken zijn waarschijnlijk al eerder vastgelegd in het plan van aanpak. Of vloeien voort uit bestaande beleidsstukken of –maatregelen, zoals het Jaarplan IB.
Vragen?