Grip op informatieveiligheid

Geschreven door William van Grieken op 22-12-2017


In navolging op eerdere blogs over informatiebeveiliging en de toenemende aandacht Hiervoor, werd ik door een klant attent gemaakt op een zelfevaluatietool van KING. Overigens is dit een van de laatste producten van de hand van KING. Op 1 januari 2018 gaat KING namelijk over in VNG Realisatie. Deze zelfevaluatietool, gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), is afgelopen zomer beschikbaar gesteld aan alle gemeenten. 

Elk jaar moeten gemeenten zich verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. In 2017 gebeurde dit voor het eerst met een nieuwe Audit systematiek: de Eenduidige Normatiek Single Information Audit (ENSIA). 


Deze nieuwe systematiek maakt het beantwoorden van de uitvraag over informatieveiligheid gemakkelijker en een stuk efficiënter. Aparte audits voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) worden gebundeld tot één procedure. 

De ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen, en aan te sluiten op de gemeentelijke Plan-Do-Check-Act cyclus. Hierdoor wordt getracht meer bestuurlijke aandacht te krijgen voor het vraagstuk.

Gemeenten kunnen inloggen op een persoonlijke werkomgeving. Daarbinnen is het mogelijk om de vragenlijsten te beantwoorden, rapportages te genereren en de verantwoordingsdocumenten te uploaden. Om te zorgen dat de implementatie van ENSIA goed verloopt, dient iedere gemeente een coördinator aan te stellen. De coördinator is daarmee verantwoordelijk voor de implementatie van het nieuwe verantwoordingsproces over informatieveiligheid. 
 
Iedere gemeente is verplicht de zelfevaluatie uiterlijk 31 december van dit jaar in te leveren. Daarna volgt het verantwoordingsproces en moet uiterlijk 1 mei 2018 de collegeverklaring zijn opgesteld, inclusief een assuranceverklaring van een IT‑auditor. Als laatste moet het College B&W uiterlijk 15 juli 2018 verantwoording afleggen aan de gemeenteraad.

Ondanks het goede initiatief om administratieve lasten te verminderen, zijn er tenslotte nog wel enkele kritische kanttekeningen te plaatsen bij de hele opzet:
  • Het principe van horizontale verantwoording kent geen harde kaders. Iedere gemeente is vrij om de wijze van verantwoording op haar eigen manier in te vullen. De aandacht voor het vraagstuk kan daarmee in theorie worden afgedaan met een bijzin in het jaarverslag.
  • De administratieve lastenbeperking vraagt wel enige nuancering. Er wordt gesproken over een afname van 15%, bij het beantwoorden van alle vragen. Een bescheiden winst zullen we maar zeggen. 
  • De opzet wordt gezien als een papieren tijger. Het beschrijven is een, maar er volledig naar handelen is twee. Het echt meten is nog vaak een ondergeschoven kindje is mijn ervaring. 
Desalniettemin is het initiatief lovenswaardig en een goede eerste stap nog naar een nog beter en handzamer instrument!

Labels: innoviq, audit, big, ensia, informatieveiligheid, king, vng