Kompas voor het management, slijpsteen voor de geest

ENSIA: Naar een effectieve en efficiënte wijze van verantwoording
Gemeenten verantwoorden zich nu nog op verschillende manieren en op verschillende momenten over informatieveiligheid. De gemeenten leggen bijvoorbeeld verantwoording af over het gebruik van de BIG (Baseline Informatiebeveiliging Gemeenten), Basisregistratie Personen (BRP), de Paspoortwet (PUN), Suwinet, de gebouwenregistraties BAG en BGT en de DigiD. ENSIA heeft als doel de verschillende wijzen van verantwoording over informatieveiligheid te bundelen en af te stemmen op de gemeentelijke planning & controlcyclus. Quality Centre Nederland kan u hier daadwerkelijk bij helpen.

Horizontale verantwoording
Met de resolutie Informatieveiligheid van 2013 hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. In de ENSIA-situatie wordt deze baseline de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. De horizontale verantwoording bestaat dan uit een zelfevaluatie, een collegeverklaring over informatieveiligheid in
het jaarverslag en een IT-audit.

Eén zelfevaluatie vragenlijst informatieveiligheid
Op dit moment is er sprake van een verkokerde uitvraag en worden op verschillende momenten vragen gesteld aan gemeenten over informtieveiligheid. Met de invoering van ENSIA is er een
zelfevaluatie vragenlijst gebaseerd op de BIG opgesteld. Hiermee krijgt het gemeentebestuur inzicht in de mate van implementatie van de BIG en de mate van ‘in control’ zijn. In vergelijking met de huidige verkokerde situatie wordt het aantal vragen over informatieveiligheid met 15% gereduceerd.
Tegelijkertijd wordt met dit gereduceerde aantal vragen zicht verkregen op de hele breedte van de BIG.
Eén vragenlijst tool
De zelfevaluatie-vragenlijst wordt ondersteund door een digitale tool. De tool is gebaseerd op Vensters voor Bedrijfsvoering en zal ook de gelegenheid bieden tot benchmarking met andere
gemeenten. Via de ENSIA-tool zullen vragen over informatieveiligheid en niet-informatieveiligheid voor de BAG en BGT samen worden uitgevraagd. Hierdoor hoeft een gemeente niet meerdere tools te gebruiken. Er wordt gewerkt aan een import/export functionaliteit tussen het gemeentelijke ISMS (Information Security Management Tooling) en de ENSIA-tooling. Een geabstraheerde samenvatting van de resultaten van de zelfevaluatie vragenlijst zal worden geplaatst op waarstaatjegemeente.nl.

Mocht u vragen of wensen met betrekking tot bovenstaande hebben kunt u ons bellen voor een afspraak of mailen naar info@qcn.nl .