Format presentatie Dit document kunt u gebruiken om
Format presentatie Dit document kunt u gebruiken om de kick-off ENSIA 2018 te ondersteunen In gewone letters staat tekst die u altijd kunt gebruiken. Schuingedrukt zijn teksten die u aan de lokale situatie kunt aanpassen. Tip: • Ter ondersteuning van deze bijeenkomst kunt u gebruik maken van: • Word formaat kick-off ENSIA 2018 (format beschikbaar). Hierin vindt u informatie om de startbijeenkomst 2018 vorm en inhoud te geven. • Plan van Aanpak 2018 (format beschikbaar)
ENSIA voor informatieveiligheid Naam ENSIA coördinator Datum
Agenda • • • Welkom Wat is ENSIA Effecten van ENSIA Aanpak 2018 Werkafspraken Afsluiting
Welkom
Resolutie ‘Informatieveiligheid een randvoorwaarde voor professionele dienstverlening’ Implementatie Baseline informatieveiligheid gemeenten (BIG) • Visitatiecommissie • Verklaring in het jaarverslag voor de gemeenteraad • Stroomlijnen van (departementale) audit – en verantwoordingslast •
ENSIA de basis Gemeenten verantwoorden zich aan de eigen toezichthouder. • Gemeenten voeren zelfevaluatie informatieveiligheid uit. • Via één tool • Rapporteren over informatieveiligheid op basis van zelfevaluatie in jaarverslag gemeenten. • Gemeenten stellen Collegeverklaring op, het ‘Assurance-rapport’ sluit hierop aan • Er vindt één ENSIA-audit plaats (over Digi. D en Suwi). • Landelijk toezichthouders maken gebruik van de gemeentelijke verantwoording •
Wat is ENSIA stelsel & Participanten Horizontale verantwoording aan Verticale verantwoording aan Eigen gemeente Rijks systeemverantwoordelijken § Raad § Suwinet BKWI/SZW § Digi. D Logius/BZK § BAG BZK § BGT BZK § BRO BZK § BRP Rv. IG/BZK § PUN Rv. IG/BZK
Effecten van ENSIA • • • Noem een aantal concrete effecten en ervaringen uit het eerste verantwoordingsjaar (bijvoorbeeld: zicht op samenwerkingen, ervaringen met zelfevaluatie BIG breed) In het jaarverslag wordt een paragraaf informatieveiligheid opgenomen. In de raadsvergaderingen wordt het onderwerp ‘informatieveiligheid’ besproken. Er worden verbeteracties geformuleerd en belegd. Een deel van de zelfevaluatie wordt ge-audit (Digi. D & Suwinet) De voor verticale toezichthouders relevante informatie op het vlak van informatieveiligheid in de ENSIA-tool is uiterlijk 1 mei 2019 aangeleverd.
Aanpak 2018 Structuur in ENSIA Zelfevaluatie met behulp van diverse vragenlijsten in ENSIA BIG zelfevaluatie 2018 Digi. D 2018 Informatieveiligheid § Suwinet § BRP § PUN § BAG § BGT § AVG (=BIG) § § Aansluiting 1 Aansluiting 2 Aansluiting 3 Etc. Specifieke vragenlijsten domeinen 2018 § § Specifieke vragenlijst BAG Specifieke vragenlijst BGT Specifieke vragenlijst BRO (proefjaar) Waarstaatjegemeente (WSJG)
Aanpak 2018 Toetsing van de zelfevaluatie Zelfevaluatie met behulp van diverse vragenlijsten in ENSIA BIG zelfevaluatie 2018 Digi. D 2018* Informatieveiligheid § Suwinet* § § Aansluiting 1 Aansluiting 2 Aansluiting 3 Etc. * Gemeente stelt een Collegeverklaring (CV) op. Deze CV wordt getoetst door een IT auditor. Het assurancerapport wordt gebruikt voor de verticale verantwoording aan SZW en Logius.
Aanpak 2018 BIG zelfevaluatie ENSIA 2018 BIG zelfevaluatie 2018 Informatieveiligheid § Suwinet* § BRP § PUN § BAG § BGT § AVG (=BIG) ü Zelfevaluatie ü Vragen over informatieveiligheid ü Normenkaders van de stelsels zijn ondergebracht in de BIG vragen ü Comply or explain principe (één gemeentebreed antwoord) ü Ruimte voor ‘leg uit’ in het opmerkingenveld in ENSIA * IT audit vragen onderdeel Collegeverklaring en Assurance
Aanpak 2018 Participanten in ENSIA Digi. D 2018 § § Aansluiting 1 Aansluiting 2 Aansluiting 3 Etc. ü Zelfevaluatie per bestaande aansluiting ü Toetsing van het Digi. D normenkader ü Assurance op basis van Carve Out model: ü Auditor velt geen oordeel over aangeleverde TPM’s ü TPM’s moeten worden meegeleverd aan Logius ü Informatie uit TPM’s nodig voor 31 -12
Aanpak 2018 Participanten in ENSIA Specifieke vragenlijsten § § Specifieke vragenlijst BAG Specifieke vragenlijst BGT Specifieke vragenlijst BRO Waar staat je gemeente ü Aanvullende vragen over gebruik stelsels (buiten informatieveiligheid) ü Verplichte verantwoording BAG en BGT ü Proefjaar voor de BRO ü WSJG transparantie
Fasen Verantwoording ENSIA FASE TIJD Voorbereiding 1 juni 2018 1 juli 2018 Uitvoering zelfevaluatie 1 juli 2018 31 december 2018 Verantwoorden (verticaal en horizontaal) 1 januari 2019 15 juli 2019 Evaluatie 1 mei 2019 1 juni 2019
Horizontaal Proces ENSIA Verantwoording 2018 Gemeenten verantwoorden zich jaarlijks over hun informatieveiligheid Dit gebeurt met behulp van Eenduidige Normatiek Single Information Audit (ENSIA) Het college van B&W is verantwoordelijk voor de uitvoering van het ENSIA verantwoordingsproces 1 juli 2018 31 december 2018 Uiterlijk 15 juli 2019 Zelfevaluatie Opstellen Verantwoorden Opsturen Uitvoering Zelfevaluatie informatieveiligheid Opstellen separate rapportage informatieveiligheid (Opstellen paragraaf verantwoording informatieveiligheid) 1. Gemeenteraad vertrouwelijk informeren met separate rapportage informatieveiligheid 2. (Verantwoording informatieveiligheid opnemen in jaarverslag) 3. (Vaststellen van jaarverslag door college van B&W) 4. (Goedkeuren van jaarverslag door de gemeenteraad) (Het college van B&W stuurt het gemeentelijk jaarverslag aan het Ministerie van BZK)
Horizontale verantwoording & Raad informeren over gebruik stelsels RAPPORTAGE HOOFDDOCUMENT OPLEVERING BIJLAGEN ONDERWERPEN Stelsel Beleid, doelstellingen & ambities BRP/PUN Ondertekening uittreksel door college Samenvatting beeld & resultaten 2018 Belangrijkste beheersmaatregelen Meerjarenperspectief Vorm Voor datum 14 -2 Rv. IG & AP Digi. D Collegeverklaring + assurancerapport 1 -5 ENSIA SUWI Collegeverklaring + assurancerapport 1 -5 ENSIA BGT Vaststelling rapportage 1 -5 ENSIA BAG Vaststelling rapportage 1 -5 ENSIA BRO Vaststelling rapportage 1 -5 ENSIA
Verticaal Proces ENSIA Verantwoording 2018 De vragenlijsten voor de zelfevaluatieperiode zijn te vinden op ensia. nl 1 juli 2018 31 december 2018 Zelfevaluatie 1. Zelfevaluatie informatieveiligheid BRP, PUN, BAG, BGT, Suwinet, 2. Zelfevaluatie Digi. D 3. Vragenlijst BAG, BGT en BRO*. *BRO is een proefjaar Voor 1 mei 2019 Opstellen Audit Opstellen collegeverklaring over Suwinet en Digi. D. Vaststellen rapportage BAG, BGT en BRO* door college Specifieke rapportages opnemen als bijlagen in de vertrouwelijke separate rapportage aan de raad Audit over collegeverklaring Inleveren collegeverklaring en bijlagen, assurance rapport, TPM, rapportage BAG, BGT en BRO*
Werkafspraken Uitwerking van rollen en taken. . •
Werkafspraken Werkwijze. . •
Werkafspraken 1 e aanspreekpunten in de organisatie. . •
Afsluiting
- Slides: 22