of 59162 LinkedIn

ENSIA: twee lessen na het eerste jaar

Als gemeente verantwoordt u zich elk jaar over de kwaliteit van de informatieveiligheid van de diverse IT-systemen. Om dat verantwoordingsproces beter en efficiënter te maken, hebben alle gemeenten in juli 2017 de nieuwe audit-systematiek ENSIA (Eenduidige Normatiek Single Information Audit) geïmplementeerd.

Wat hebben we geleerd van dat eerste jaar?

De praktijk vertoont meer hobbels op de weg dan verwacht, maar met de juiste vervolgstappen moet het zeker lukken dit nieuwe instrument in uw voordeel te gebruiken. In dit blog zoom ik in op twee van de vier belangrijkste lessen na het ‘debuutjaar’ van ENSIA.


1. Meer dan verantwoordingsinstrument

Die eerste les is dat ENSIA vooral als een verplichting wordt gezien, terwijl het meer is dan een verantwoordingsinstrument. Op bepaalde onderdelen, zoals de paspoortuitgifte, is de verantwoording op de procedures bovendien uitstekend ingericht. Tegelijkertijd blijkt in de praktijk dat de meeste gemeenten het voldoen aan de normen vooral als een verplichting zien, terwijl ENSIA meer is dan een verantwoordingsinstrument.

 

Gemeenten hebben met ENSIA een instrumentarium in handen waarmee ze op gestructureerde wijze hun informatieveiligheid kunnen verbeteren (Plan-Do-Check-Act, ofwel PDCA-cyclus). Bovendien krijgt informatieveiligheid hiermee de bestuurlijke aandacht die het verdient. Hoewel het bewustzijn van en de organisatie rondom informatieveiligheid de afgelopen jaren bij gemeenten fors is toegenomen, laat de praktijk zien dat een cultuuromslag nodig is om de meerwaarde van deze nieuwe wetgeving in te zien. Belangrijk bij deze omslag is de focus op de papieren werkelijkheid te verleggen naar het inrichten van effectief werkende procedures.


2. Gewenste efficiencyslag niet evident

Belangrijke motivatie (met name voor VNG) om ENSIA te implementeren, was het verminderen van de verantwoordingsdruk bij gemeenten, door de zes bestaande verantwoordingsprocedures samen te voegen. Met als resultaat dat gemeenten in één keer slim verantwoording kunnen afleggen over het gebruik van zes registratiesystemen.

 

Een jaar na de start van ENSIA is het nog niet evident dat de gewenste verlaging van de audit- en monitorlast is bereikt. De oplossing is het verantwoordingsproces inbedden in uw bestaande processen en de control structureren. (PDCA-cyclus) Daarnaast belangrijk: het opstellen, onderhouden en implementeren van een eenduidig beleid en eenduidige procedures. En dus niet apart, bijvoorbeeld voor het SUWInet.


Vier vervolgstappen

Hoe kunt u het verantwoordingsproces ‘in de lijn’ beleggen in plaats van in alleen de projectorganisatie? De vier belangrijkste lessen van het afgelopen jaar hebben we in een whitepaper vertaald naar de vier vervolgstappen om van ENSIA daadwerkelijk hét vliegwiel te maken voor de bestuurlijke verankering van informatieveiligheid.

 

Download whitepaper ENSIA

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Contactgegevens

Afbeelding

BDO Accountants & Adviseurs

Van Deventerlaan 101

3528 AG Utrecht

(088) 236 48 06.

www.bdo.nl/lokale-overheid

lokale-overheid@bdo.nl

 

Afbeelding   Afbeelding 

Meer nieuws

Belastingplan 2019

De publieke sector staat voor grote uitdagingen en kan extra middelen goed gebruiken. Maar fiscaal gezien is de sector op zichzelf aangewezen. Meer weten?

Kijk op www.bdo.nl/belastingplan

Bloggers

Evenementen

 

Vakinhoudelijke seminars, workshops en netwerkbijeenkomsten
Regelmatig organiseren wij interessante bijeenkomsten, symposia en evenementen die relatie hebben met ons brede werkgebied. Voor meer informatie of eventueel aanmelden, klik hier.

Whitepapers