of 59221 LinkedIn

De eerste ervaringen met ENSIA

In 2017 krijgt elke gemeente met ENSIA te maken, een afkorting die staat voor Eenduidige Normatiek Single Information Audit. Doel van ENSIA is om het toezicht door de gemeenteraad op informatieveiligheid, en de verantwoording hierover aan het Rijk, te versterken. Zeven gemeenten, waaronder Arnhem, Edam-Volendam en Tiel, hebben de afgelopen maanden een pilot met ENSIA doorlopen. In dit artikel delen zij hun eerste ervaringen en geven tips.

In 2017 krijgt elke gemeente met ENSIA te maken, een afkorting die staat voor Eenduidige Normatiek Single Information Audit. Doel van ENSIA is om het toezicht door de gemeenteraad op informatieveiligheid, en de verantwoording hierover aan het Rijk, te versterken. Zeven gemeenten, waaronder Arnhem, Edam-Volendam en Tiel, hebben de afgelopen maanden een pilot met ENSIA doorlopen. In dit artikel delen zij hun eerste ervaringen en geven tips.

Gemeenten nemen de proef op de som

Op dit moment hebben informatiesystemen, zoals DigiD, de Basisregistratie Personen (BRP) of Suwinet, elk hun eigen toezichtsvorm. ENSIA bundelt het toezicht op die verschillende informatiesystemen. Zo wordt er gebruikgemaakt van één vragenlijst, die gebaseerd is op de Baseline Informatiebeveiliging Nederlandse Gemeenten, een instrument waarmee organisaties kunnen ‘meten’ waar zij staan met betrekking tot informatieveiligheid.

ENSIA voorziet in een behoefte bij gemeenten. Dat vindt ook Remco Rekoert, privacy- en informatiebeveiligingsadviseur bij de gemeente Edam-Volendam. “Ik weet zeker dat we hiermee de informatieveiligheid op een hoger niveau krijgen en de BIG nog beter kunnen implementeren.” Ook Ron Borst, IT-auditor bij de gemeente Arnhem, is tevreden over de eerste resultaten met ENSIA. “Eigenlijk leg je hiermee een strik om alle beheersmaatregelen die in de gemeentelijke organisatie zijn genomen, maar die in het kader van informatiebeveiliging nog niet eerder met elkaar in samenhang zijn gebracht”, aldus Borst.

Wat betreft Youri Lammerts van Bueren, adviseur informatiebeveiliging bij bedrijfsvoeringsorganisatie West Betuwe, waarvan de gemeente Tiel deel uitmaakt, heeft ENSIA zeker impact op de gemeentelijke organisatie.” Dat is altijd het geval als er iets nieuws op je af komt. Maar als je het goed organiseert, heb je er veel profijt van. ENSIA zorgt er onder meer voor dat er vanuit de verschillende systemen minder vragen over informatieveligheid worden gesteld en bovendien geeft het een goed, integraal beeld van hoe je er als gemeente voorstaat op het gebied van die informatieveiligheid.”

Vragenlijst
De bundeling van het toezicht op de verschillende informatiesystemen, wordt nog het beste gesymboliseerd door de ene vragenlijst waarmee ENSIA werkt. De invulling daarvan vereiste bij een aantal pilotgemeenten wel wat aanpassingen en tijd. Bij de gemeente Edam-Volendam bijvoorbeeld. “Binnen onze gemeente maken wij gebruik van ISMS (Information Security Management System) en dat systeem was en is voor ons leidend. Gelukkig konden we de vragen vanuit ENSIA exporteren naar dat systeem. Het kostte wel de nodige tijd, met name procesmatig.” Ook in Arnhem was de invulling van de vragenlijst bij tijd en wijle een zoektocht. Ron Borst: “De vragenlijst was niet het probleem, maar het was soms wel  lastig om te achterhalen welke functionarissen bepaalde vragen moesten beantwoorden.”

Slim organiseren
Hoewel door ontdubbeling van de bestaande verantwoordingen het totaal aantal vragen met vijftien procent is afgenomen, kan Lammerts van Bueren zich toch nog voorstellen dat een gemeente schrikt van de omvang van de vragenlijst. “Mijn tip is om het slim te organiseren en in kaart te brengen wie wat doet. Bij ons zijn die rollen per norm al aardig verdeeld. Iemand voor Burgerzaken, voor DigiD, voor de Basisregistraties Adressen en Gebouwen (BAG), voor het sociaal domein. Dat maakt het gemakkelijk om snel te schakelen, ook al omdat het mijn directe collega’s zijn en zij wisten dat dit eraan kwam. Bijkomend voordeel is dat ENSIA slim in elkaar zit. Zo kun je rollen aanmaken waarmee je iemand autoriseert voor vragen die voor hem of haar relevant zijn. Verder hebben alle vragen een labeltje. Klik je op zo’n labeltje, dan krijg je alleen de vragen die voor jou van toepassing zijn.”

Een andere tip die Lammerts van Bueren gemeenten mee wil geven, is om een kick off bijeenkomst te organiseren. “Daarmee zorg je dat de betrokkenen op de hoogte zijn. Binnen onze organisatie staat een dergelijke bijeenkomst gepland voor volgend jaar, als ENSIA ook daadwerkelijk van start gaat. Zorg verder dat duidelijk is wie het gehele proces coördineert. In de meeste gevallen zal dat toch de Chief Information Security Officer (CISO) zijn. Die moet de spin in het web zijn.” Ook Borst en Rekoert pleiten ervoor om het eigenaarschap binnen de gemeentelijk organisatie goed te beleggen. Borst: “Beleg het bij iemand die in ieder geval goed weet hoe de gemeentelijke informatiebeveiligingsorganisatie in elkaar zit.” 

Draagvlak
Naast het goed beleggen van eigenaarschap is volgens Remco Rekoert ook draagvlak en commitment noodzakelijk. “Met name op strategisch niveau. Daarmee geef je ook een signaal af aan de mensen die het werk moeten doen. Zij moeten de ruimte krijgen om hun werk goed te doen, want het is niet iets wat je er even tussendoor doet. Dan lukt het niet.” Dat laatste beaamt ook Ron Borst. “De invoering van ENSIA doe je niet zomaar. In dat opzicht helpt het ook als op vooraf vastgestelde momenten gekeken wordt wat de stand van zaken is. Zicht houden op de voortgang helpt zeker.” Lammerts van Bueren raadt met name aan om gebruik te maken van ondersteunende producten. “Er zijn genoeg mensen binnen gemeentelijke organisaties die kennis willen delen. Je hoeft het wiel niet opnieuw uit te vinden.”


Wat is ENSIA?
ENSIA is een project van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het ministerie van Sociale Zaken en Werkgelegenheid, het ministerie van Infrastructuur en Milieu en de Vereniging van Nederlandse Gemeenten. De basis van ENSIA is de Baseline Informatiebeveiliging Nederlandse Gemeenten. In 2013 hebben de gemeenten afgesproken dat zij BIG gaan implementeren en een paragraaf over informatieveiligheid in het jaarverslag opnemen. Daarnaast hebben zij de Rijksoverheid verzocht het toezicht te harmoniseren . Hiervan is ENSIA het resultaat. Een pilot met ENSIA heeft in de afgelopen maanden gedraaid in de gemeenten Arnhem, ’s-Hertogenbosch, Edam-Volendam, Het Bildt, Tiel, Zaanstad en Zeewolde.


Meer weten? www.ensia.nl

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.