Met de resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente”, van 2013 is door de gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. ENSIA biedt een ingericht verantwoordingsstelsel dat aansluit op de planning en control-cyclus van gemeenten, provincies en waterschappen. Het college van B&W, als gemeentebestuur, is verantwoordelijk voor het opstellen, ondertekenen en goedkeuren van rapportages en jaarverslagen over informatieveiligheid.
Deze rapportages worden gedeeld met toezichthouders, de provincie en de rijksoverheid. De gemeenteraad is het hoogste politieke orgaan waaraan verantwoording wordt afgelegd. ENSIA stimuleert de uitwisseling van kennis en ervaringen tussen andere gemeenten, bijvoorbeeld via online fora. De ENSIA coördinator is verantwoordelijk voor de uitvoering van het ENSIA-proces binnen de gemeente, waaronder het invullen van vragenlijsten en het verzamelen van bewijsmateriaal. De kwaliteitsmonitor speelt een rol bij het waarborgen van de kwaliteit en tijdigheid van rapportages binnen het ENSIA-systeem. Auditresultaten worden vastgelegd in een assurance rapport, ondertekend door een gekwalificeerde auditor. ENSIA is verplicht voor gemeenten; de uitvoering van de ENSIA zelfevaluatie en het opstellen van de collegeverklaring zijn onderdeel van de wettelijke eisen.
Tijdens de audit kunnen kwetsbaarheden en tekortkomingen naar voren komen, zodat passende maatregelen kunnen worden genomen. ENSIA heeft ook betrekking op landelijke voorzieningen en basisregistraties zoals BAG, BGT en BRO, en reisdocumenten vallen onder specifieke rapportageverplichtingen. Het professionaliseren van informatieveiligheid en het implementeren van verbetermaatregelen zijn belangrijke doelen van ENSIA. De uitvoering van ENSIA wordt ondersteund door vragenlijsten en vragenlijstmodules voor verschillende domeinen, zoals DigiD, Suwinet en reisdocumenten. Suwinet stelt dat een collegeverklaring moet worden opgesteld en getoetst als onderdeel van het auditproces. Het college van B&W stuurt het jaarverslag na goedkeuring aan de provincie, zoals wettelijk is vastgesteld. ENSIA helpt gemeenten bij de implementatie van beveiligingsmaatregelen en het effectief toepassen van aanbevelingen uit de audit.
Daarnaast moeten gemeenten over een aantal zaken verticale verantwoording afleggen (aan andere instantie): de Basisregistratie Personen (BRP),
DigiD audit DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT). De basis van deze verticale verantwoording vormt de horizontale verantwoording aangevuld met specifieke eisen per onderwerp.
formatieveiligheid, randvoorwaarde voor de professionele gemeente", van 2013 is door de gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De gemeente moet zichzelf middels een zelfevaluatie, een IT-audit, een collegeverklaring en een passage over informatieveiligheid in het jaarverslag verantwoorden over het thema informatieveiligheid aan de gemeenteraad. Dit wordt horizontale verantwoording genoemd.
Daarnaast moeten gemeenten over een aantal zaken verticale verantwoording afleggen (aan andere instantie): de Basisregistratie Personen (BRP), DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT). De basis van deze verticale verantwoording vormt de horizontale verantwoording aangevuld met specifieke eisen per onderwerp.
Wat is ENSIA?
ENSIA is een raamwerk dat speciaal is ontwikkeld om gemeenten te helpen bij het beoordelen en rapporteren van hun informatieveiligheid. Door middel van een eenduidige normatiek single information audit biedt ENSIA gemeenten een duidelijke structuur om te voldoen aan wettelijke verplichtingen, zoals de Baseline Informatiebeveiliging Overheid (BIO) en de Wet hergebruik overheidsinformatie. Met ENSIA kunnen gemeenten hun informatiebeveiliging en informatieveiligheid op een efficiënte en professionele manier waarborgen. Het raamwerk ondersteunt bij het nemen van de juiste maatregelen en het opstellen van rapportages, zodat gemeenten aantoonbaar voldoen aan de gestelde normen. ENSIA maakt het mogelijk om op een uniforme wijze te auditen en te rapporteren, wat bijdraagt aan een effectiever en transparanter verantwoordingsproces.
De Opzet van een ENSIA-audit
Een ENSIA-audit is opgebouwd uit verschillende gestructureerde fasen, die samen zorgen voor een grondige toetsing van de informatieveiligheid binnen een gemeente. Tijdens de audit wordt beoordeeld of de gemeente voldoet aan de geldende normen en regelgeving op het gebied van informatieveiligheid, zoals vastgelegd in de ENSIA-normen. De audit richt zich op het identificeren van sterke punten en verbeterpunten, zodat gemeenten gericht kunnen werken aan het verhogen van hun digitale weerbaarheid. Door het uitvoeren van een ENSIA-audit krijgen gemeenten inzicht in hun huidige situatie en worden zij geholpen bij het systematisch verbeteren van hun informatieveiligheid. Dit draagt bij aan continue verbetering en versterkt de rol van gemeenten als betrouwbare en verantwoordelijke overheidsorganisaties.
Onze ENSIA audit ondersteuning en baseline informatiebeveiliging overheid
Onze organisatie bestaat uit een enthousiast team van geregistreerde IT-auditors (RE’s). Een RE-auditor van 2-Control controleert, samen met u of u voor alle actieve DigiD-aansluitingen en voor alle Suwinet-onderdelen die u gebruikt voldoet aan de gestelde normenkaders. Hiervoor is de zelfevaluatie de belangrijkste input. De ENSIA coördinator is verantwoordelijk voor de uitvoering van het ENSIA-proces binnen de gemeente, waaronder het invullen van vragenlijsten en het verzamelen van bewijsmateriaal als onderdeel van de uitvoering van de ENSIA-audit.
Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijks voor vele verschillende gemeenten de ENSIA audit uit. De ondersteuning van 2-Control helpt gemeenten om hun ENSIA-audit efficiënt en effectief te doorlopen. Tijdens de audit komen kwetsbaarheden en tekortkomingen naar voren, die worden vastgelegd in het assurance rapport. De kwaliteitsmonitor wordt gebruikt om de voortgang en kwaliteit van de rapportages te bewaken. De implementatie van aanbevelingen uit de audit is een belangrijk onderdeel van het professionaliseren van informatieveiligheid binnen uw organisatie.
ENSIA aanpak 2-Control en pre audit
- Ondersteuning bij zelfevaluatie (pre-audit)
Door eerst na te laten gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u in ieder geval moet treffen. Wij kunnen deze pre-audit voor u uitvoeren. Daarbij beoordelen wij, idealiter vóórdat de gemeente de zelfevaluaties in de ENSIA tool upload, de resultaten van de zelfevaluatie met focus op de aantoonbaarheid. Hiermee voorkomen we zoveel mogelijk verrassingen achteraf. De uitkomst van de pre-audit geeft u een duidelijk beeld of u wel of niet voldoet aan de criteria van de zelfevaluatie en welke maatregelen u moet treffen om aan de criteria en beveiligingsrichtlijnen te voldoen. - Maatregelen treffen
Voer na aanleiding van de pre-audit zelf de noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf. - Penetratietest (Pentest) uitvoeren
Indien u eigen hosting of softwareontwikkeling uitvoert dient u voor uw DigiD-aansluiting een penetratietest (ethical hacking test) uit te laten voeren op uw webomgeving als onderdeel van de eisen. Hierbij wordt uw informatiesysteem gecontroleerd op hun kwetsbaarheid en ontvangt u een rapport met bevindingen. Wij adviseren hiervoor gebruik te maken van Dong-IT. Bekijk hier de verschillende aanbiedingen voor penetratietesten.
Neem zelf maatregelen om de bevindingen uit de pentest op te volgen en op te lossen. Als uit de pentest blijkt dat in uw omgeving hoge risico's aanwezig zijn dan dienen deze vooraf aan de audit te worden opgelost. - Audit over Suwinet en DigiD en beoordelen collegeverklaring
Als de voorgaande fases zijn afgerond dan wordt de uiteindelijke ENSIA-audit uitgevoerd. Het object van onderzoek is de collegeverklaring inzake ENSIA met de bijbehorende bijlagen voor DigiD en Suwinet. De audit wordt uitgevoerd door een van onze RE-auditors. - Rapportage
Het oordeel over de collegeverklaring wordt verwerkt in een gestandaardiseerde (vormvaste) rapportage. Dit format is in overleg met de VNG en de beroepsgroep van de auditors (NOREA) tot stand gekomen. Het rapport moet ondertekend zijn door een van onze RE-auditors.
De implementatie van aanbevelingen uit de audit is essentieel voor het verbeteren van de informatieveiligheid binnen uw organisatie.
Uit onze ervaring is gebleken dat het laten uitvoeren van een ENSIA audit vaak meer voeten in aarde heeft dan men vooraf dacht. Wij adviseren u daarom op tijd een pre-audit in te plannen om eventuele problemen te voorkomen.
Heeft u vragen over de Baseline Informatiebeveiliging Overheid (BIO)?
2-Control
Neem contact met ons op
Heeft u vragen of opmerkingen over onze IT-auditdiensten? Wij horen graag van u. Vul uw gegevens in het onderstaande formulier in en wij nemen zo snel mogelijk contact met u op. U kunt ook rechtstreeks contact met ons opnemen via het telefoonnummer aan de linkerkant.
Ons toegewijde team staat klaar om u te helpen met eventuele vragen of problemen. Wij streven ernaar om u de best mogelijke service te bieden.
