Format presentatie Dit document kunt u gebruiken om de kick-off ENSIA 2018 te ondersteunen In gewone letters staat tekst die u altijd kunt gebruiken. Schuingedrukt zijn teksten die u aan de lokale situatie kunt aanpassen. Tip: Ter ondersteuning van deze bijeenkomst kunt u gebruik maken van: Word formaat kick-off ENSIA 2018 (format beschikbaar). Hierin vindt u informatie om de startbijeenkomst 2018 vorm en inhoud te geven. Plan van Aanpak 2018 (format beschikbaar)
ENSIA voor informatieveiligheid Naam ENSIA coördinator Datum
Agenda Welkom Wat is ENSIA Effecten van ENSIA Aanpak 2018 Werkafspraken Afsluiting
Welkom
Resolutie ‘Informatieveiligheid een randvoorwaarde voor professionele dienstverlening’ Implementatie Baseline informatieveiligheid gemeenten (BIG) Visitatiecommissie Verklaring in het jaarverslag voor de gemeenteraad Stroomlijnen van (departementale) audit – en verantwoordingslast Tijdens de Buitengewone Algemene Ledenvergadering van de VNG van november 2013 is de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ aangenomen. Hiermee hebben alle gemeenten het belang van informatieveiligheid erkend en de BIG gekozen als het gemeentelijk basisnormenkader voor informatieveiligheid. In de resolutie hebben gemeenten afgesproken hun eigen toezichthouder, de gemeenteraad, in het jaarverslag te informeren over informatieveiligheid. En gemeenten roepen in de resolutie op om de verantwoordingslasten over informatieveiligheid te verminderen. Dit is de basis van ENSIA.
ENSIA de basis Gemeenten verantwoorden zich aan de eigen toezichthouder. Gemeenten voeren zelfevaluatie informatieveiligheid uit. Via één tool Rapporteren over informatieveiligheid op basis van zelfevaluatie in jaarverslag gemeenten. Gemeenten stellen Collegeverklaring op, het ‘Assurance-rapport’ sluit hierop aan Er vindt één ENSIA-audit plaats (over DigiD en Suwi). Landelijk toezichthouders maken gebruik van de gemeentelijke verantwoording ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA heef tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De focus ligt hierbij op de horizontale verantwoording. ENSIA is een initiatief van de VNG en de ministeries van BZK, I&M en SZW. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG. Met ENSIA sluit de horizontale verantwoording over informatieveiligheid aan op de planning en control-cyclus van uw gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het bestuur beter sturen en verantwoording afleggen aan de gemeenteraad. ENSIA structureert ook de verticale verantwoording richting de rijksoverheid over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).
ENSIA stelsel & Participanten Wat is ENSIA ENSIA stelsel & Participanten Horizontale verantwoording aan Eigen gemeente Raad Verticale verantwoording aan Rijks systeemverantwoordelijken Suwinet BKWI/SZW DigiD Logius/BZK BAG BZK BGT BZK BRO BZK BRP RvIG/BZK PUN RvIG/BZK
Effecten van ENSIA Effecten van ENSIA Noem een aantal concrete effecten en ervaringen uit het eerste verantwoordingsjaar (bijvoorbeeld: zicht op samenwerkingen, ervaringen met zelfevaluatie BIG breed) In het jaarverslag wordt een paragraaf informatieveiligheid opgenomen. In de raadsvergaderingen wordt het onderwerp ‘informatieveiligheid’ besproken. Er worden verbeteracties geformuleerd en belegd. Een deel van de zelfevaluatie wordt ge-audit (DigiD & Suwinet) De voor verticale toezichthouders relevante informatie op het vlak van informatieveiligheid in de ENSIA-tool is uiterlijk 1 mei 2019 aangeleverd.
Structuur in ENSIA BIG zelfevaluatie 2018 DigiD 2018 Aanpak 2018 Structuur in ENSIA BIG zelfevaluatie 2018 DigiD 2018 Specifieke vragenlijsten domeinen 2018 Informatieveiligheid Suwinet BRP PUN BAG BGT AVG (=BIG) Aansluiting 1 Aansluiting 2 Aansluiting 3 Etc. Specifieke vragenlijst BAG Specifieke vragenlijst BGT Specifieke vragenlijst BRO (proefjaar) Waarstaatjegemeente (WSJG) Zelfevaluatie met behulp van diverse vragenlijsten in ENSIA ENSIA werkt met een zelfevaluatie methodiek op basis van vragenlijsten. Er wordt binnen ENSIA met verschillende vragenlijsten gewerkt. Alle vragen over informatieveiligheid worden in de BIG zelfevaluatie gesteld. Dit is de grootste vragenlijst uit het stelsel. Een deel van de antwoorden worden gebruikt voor de verticale verantwoording naar de betrokken stelselhouders van het Rijk. De antwoorden komen na 31 december automatisch terecht bij de betrokken stelselhouders. Per bestaande DigiD aansluiting worden vragen over het normenkader DigiD gesteld. Bij twee bestaande aansluitingen worden twee vragenlijsten DigiD gevuld vanuit een self-assessment. Hiernaast zijn er nog 4 specifieke vragenlijsten in ENSIA opgenomen. De antwoorden op deze vragenlijsten worden gebruikt voor de verticale verantwoording naar het Rijk.
Toetsing van de zelfevaluatie Aanpak 2018 Toetsing van de zelfevaluatie BIG zelfevaluatie 2018 DigiD 2018* Informatieveiligheid Suwinet* Aansluiting 1 Aansluiting 2 Aansluiting 3 Etc. Zelfevaluatie met behulp van diverse vragenlijsten in ENSIA Er vindt een IT audit plaats op de collegeverklaring DigiD (bestaande aansluitingen) en de IT audit vragen van Suwinet. * Gemeente stelt een Collegeverklaring (CV) op. Deze CV wordt getoetst door een IT auditor. Het assurancerapport wordt gebruikt voor de verticale verantwoording aan SZW en Logius.
BIG zelfevaluatie ENSIA 2018 Aanpak 2018 BIG zelfevaluatie ENSIA 2018 BIG zelfevaluatie 2018 Informatieveiligheid Suwinet* BRP PUN BAG BGT AVG (=BIG) Zelfevaluatie Vragen over informatieveiligheid Normenkaders van de stelsels zijn ondergebracht in de BIG vragen Comply or explain principe (één gemeentebreed antwoord) Ruimte voor ‘leg uit’ in het opmerkingenveld in ENSIA * IT audit vragen onderdeel Collegeverklaring en Assurance
Participanten in ENSIA Aanpak 2018 Participanten in ENSIA DigiD 2018 Aansluiting 1 Aansluiting 2 Aansluiting 3 Etc. Zelfevaluatie per bestaande aansluiting Toetsing van het DigiD normenkader Assurance op basis van Carve Out model: Auditor velt geen oordeel over aangeleverde TPM’s TPM’s moeten worden meegeleverd aan Logius Informatie uit TPM’s nodig voor 31-12 TIP: start vroeg met het opvragen van TPM’s bij de leverancier(s). Vraag hen deze TPM’s bij voorkeur voor 15 oktober aan te leveren. U hebt de informatie uit de TPM’s nodig om zelf aanvullend het volledige normenkader af te dekken vanuit het self-assessment. Indien de TPM te laat wordt opgeleverd door de leverancier, is het niet helder welke aanvullende informatie de gemeente dient te onderzoeken en aan te leveren.
Participanten in ENSIA Aanpak 2018 Participanten in ENSIA Specifieke vragenlijsten Specifieke vragenlijst BAG Specifieke vragenlijst BGT Specifieke vragenlijst BRO Waar staat je gemeente Aanvullende vragen over gebruik stelsels (buiten informatieveiligheid) Verplichte verantwoording BAG en BGT Proefjaar voor de BRO WSJG transparantie WSJG is niet verplicht. De informatie wordt gebruikt als middel om transparant te zijn naar burgers en bedrijven en om onderlinge vergelijkingen te maken hoe gemeenten presteren ten opzicht van elkaar. De informatie wordt gepresenteerd via www.waarstaatjegemeente.nl’.
Fasen Verantwoording ENSIA TIJD Voorbereiding 1 juni 2018 1 juli 2018 Uitvoering zelfevaluatie 31 december 2018 Verantwoorden (verticaal en horizontaal) 1 januari 2019 15 juli 2019 Evaluatie 1 mei 2019 1 juni 2019 De fase evaluatie loopt in tijd door de fase verantwoording. Dit achtergrond hiervan is dat het horizontale verantwoordingsproces feitelijk doorloopt tot 15 juli 2019. Dit is de wettelijke datum dat de jaarverslagen aangeleverd dienen te zijn bij Min BZK. Het inhoudelijk proces (aanleveren tekst, etc.) is dan al afgerond.
Horizontale verantwoording & Raad informeren over gebruik stelsels RAPPORTAGE Vorm HOOFDDOCUMENT BIJLAGEN Collegeverklaring + assurancerapport SUWI Stelsel DigiD BRO BGT BAG Vaststelling rapportage Voor datum ONDERWERPEN Beleid, doelstellingen & ambities Samenvatting beeld & resultaten 2018 Belangrijkste beheersmaatregelen Meerjarenperspectief 1-5 ENSIA 14-2 RvIG & AP OPLEVERING BRP/PUN Ondertekening uittreksel door college De ondertekende stukken door het college dienen voor 1 mei 2019 te worden geüpload in de ENSIA tool. De raad dient geïnformeerd te worden over de verantwoording naar de stelselhouders. Het is raadzaam om een separate rapportage aan de raad op te stellen over informatieveiligheid (horizontaal – gemeente breed beeld). De verticale verantwoordingen kunt u als bijlagen opnemen bij deze rapportage.
Dit is een visuele weergave van het tijdpad voor de verticale verantwoording aan de stelselhouders van de Rijksoverheid.
Uitwerking van rollen en taken Werkafspraken Uitwerking van rollen en taken .. Zie Plan van Aanpak
Werkafspraken Werkwijze .. Zie Plan van Aanpak
1e aanspreekpunten in de organisatie Werkafspraken 1e aanspreekpunten in de organisatie .. Zie Plan van Aanpak
Afsluiting