Zeven ENSIA tips om (ook) te slagen voor de Suwinet audit

Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met hun informatie omgaat. Gemeenten moeten deze betrouwbaarheid kunnen waarborgen en jaarlijks aantonen dat hun informatieveiligheid op orde is. ENSIA helpt hierbij. Ik heb al veel geschreven over ENSIA (meest recente blog ), maar in praktijk zie je toch snel zaken over het hoofd is mijn eigen ervaring. In deze blog zoom ik uitsluitend in op Suwinet. Hopelijk heb je iets aan mijn tips!

ENSIA IT Audit

Alle gemeenten zijn sinds 1 juli jl. druk bezig met alweer het tweede jaar van verantwoording met ENSIA. De zelfevaluatie moet vóór 31 december aanstaande zijn ingeleverd, waarna in het voorjaar van 2019 binnen alle gemeenten het college verantwoording aan de gemeenteraad zal afleggen. In deze blog ga ik dieper in op de verantwoording specifiek over Suwinet . Suwinet en DigiD vallen binnen scope van de ENSIA IT audit. Het jaarlijkse DigiD beveiligingsassessment is niets nieuws onder de zon, maar de Suwinet audit wel degelijk zou ik willen beweren. En dit jaar is het allemaal wat scherper dan vorig jaar.

Verantwoording Suwinet

Gemeenten die Suwinet gebruiken, of dat hebben uitbesteed aan een samenwerkingsverband, moeten zich verantwoorden over informatiebeveiliging langs twee normenkaders: de Baseline Informatiebeveiliging Gemeenten en het specifieke Suwinet-normenkader voor afnemers. Gemeenten moeten dat verantwoorden volgens de ENSIA-systematiek. Hierbij geldt de BIG geldt voor alle systemen en gegevens (en fysieke beveiliging) in een gemeente en bij zijn opdrachtnemers. Het specifieke Suwinet-normenkader – de naam zegt het al – bevat aanvullende of strengere normen voor het werken met Suwinet.

Binnen ENSIA zijn beide normenkaders, afgeleid van de ISO27000 serie, op elkaar gelegd. Hierbij worden nog wel eens zaken over het hoofd gezien. En dit terwijl Suwinet juist veilig moet zijn. Er gaat immers dagelijks heel veel en heel gevoelige informatie over en weer. Het is dus belangrijk om bij de verantwoording over Suwinet op een aantal zaken (extra goed) te letten. Daarom onderstaand zeven tips om rekening mee te houden in het kader van de Suwinet verantwoording:

  1. Verantwoord Suwinet middels de keuzehulp
    Gebruik de Exceltool (keuzehulp)voor Suwinet-taken  van NOREA. Hierin staan de vragen uit de ENSIA-toolweergegeven die relevant zijn voor Suwinet. Per taak is een vragenlijstopgenomen. Op basis van de bijhorende beslisboom dient de relevante vragenlijst(en)te worden ingevuld. Op deze manier kan je de BIG-vragen in ENSIA ook echt metde ‘gemeentebrede’ bril op bekijken en beantwoorden voor de horizontaleverantwoording. Ja, dit advies ondermijnt de centrale gedachte van ENSIA, maarfeitelijk doe je niets anders dan bij DigiD. Ook hier heb je een specialevragenlijst voor de verticale verantwoording. De verticale toezichthouders wensen nogniet te leunen op de horizontale verantwoording.
  2. Stel vast of je ook DKD/Suwinet-Inlezen gebruikt
    Suwinet-Inlezen (daaronder verstaan we voor nu ook: DKD-Inlezen) maakt het voor overheidsorganisaties mogelijk om gegevens van diverse bronnen direct in de eigen bedrijfsapplicatie in te lezen en/of te laten voorinvullen op elektronische aanvraagformulieren. Het gaat dan vanzelfsprekend alleen om die gegevens die nodig zijn voor de uitvoering van de wettelijke taken. De Suwi-Inkijk omgeving van BKWI is reeds gevalideerd als ‘adequaat’, maar Suwinet-Inlezen is een heel ander verhaal. Binnen ENSIA dienen gemeenten zich te verantwoorden over alle vormen van Suwinet gebruik. Onderschat de scope van de Suwinet audit dus niet.
  3. Check op aansluitingen van niet-SUWI partijen
    Een aantal gemeentelijke afdelingen kan voor bepaalde wettelijke taken gebruik maken van Suwinet, te weten: RMC’s (alleen 39 contactgemeenten) , gemeentelijke gerechtsdeurwaarders, gemeentelijke samenwerkingsverbanden en de afdeling Burgerzaken. Over al deze aansluitingen en het gebruik van deze verschillende partijen op Suwinet moet gerapporteerd worden. Dit valt dus ook allemaal binnen scope van de Suwinet audit (voor zover er gebruik van wordt gemaakt). Zorg dat je dus goed zicht hebt op wie wat (niet) doet. Vooral bij uiteenlopende samenwerkingsverbanden is dit nog best lastig te ontrafelen.
  4. Ken het verschil tussen carve-in en carve-out
    Bij de carve-out methode wordt in een assurance-rapport een verwijzing opgenomen naar het assurance-rapport (de TPM) van een leverancier, dit is o.a. het geval bij het DigiD-assessment. Bij de carve-in methode, ook wel inclusive method genoemd, heeft jouw IT auditor, in tegenstelling tot carve-out, wél de beheersmaatregelen van je samenwerkingsverband binnen de scope van de IT-audit. Dat betekent niet dat jouw auditor het werk overnieuw hoeft te doen, maar hij zal de TPM inhoudelijk wel beoordelen om er een oordeel over te kunnen vellen.
  5. Houd rekening met de nieuwe general IT controls
    Voor Suwinet-Inlezen beheer je dus zelf de applicatie waarin je gegevens worden ingelezen (gepresenteerd). Om een uitspraak te kunnen doen over de betrouwbaarheid van deze informatievoorziening dient de gemeente aan een aantal randvoorwaarden, ook wel General IT Controls genoemd, te voldoen. Op deze manier kan de betrouwbaarheid worden gegarandeerd. In feite dus exacte hetzelfde als bij de audit jaarrekening . Het gaat hierbij in ieder geval om logische toegangsbeveiliging (applicatie en/of netwerk), logging en wijzigingsbeheer. Onderschat deze te nemen beheersmaatregelen (controls) niet. Ze zitten dit jaar voor het eerst expliciet in scope van de Suwinet audit.
  6. Voorkom handhaving door de Inspectie SZW
    Het eerste jaar van verantwoording met ENSIA in 2017 werd gezien als 0-meting, waarbij is besloten nog niet streng te handhaven. Opmerkelijk en in contrast met Logius. Vanaf dit jaar gaat Inspectie SZW wél handhavingsmaatregelen treffen conform het ‘Interventieprotocol Suwinet ENSIA’ (23 april 2018 vastgesteld). Zorg dus dat je alles op orde hebt en voorkom handhaving. Indien je gemeente niet voldoet aan de verantwoordingsplicht of het normenkader t.a.v. Suwinet niet naleeft, zullen er interventies plaatsvinden. Dat ziet er zo uit:
    – Attentiebrief (al ontvangen?)
    – Ambtelijk overleg
    – Voornemen tot aanwijzing
    – Aanwijzing
    – Onderzoek inspectie
    – Zelf in de zaak voorzien
    – Afsluiten Suwinet
  7. Weet dat verbeterplannen verplicht zijn
    Bij eventuele tekortkomingen in het kader van de zelfevaluatie is de gemeente verplicht om een verbeterplan op te stellen. In dit verbeterplan moeten verbetermaatregelen staan voor deze tekortkomingen. De IT auditor verifieert of de gesignaleerde bevindingen zijn geadresseerd in het verbeterplan. Dit verbeterplan gaat vervolgens ook mee richting de gemeenteraad voor de horizontale verantwoording. Daar kunnen dus vragen over komen. Daarnaast gaan de verbeterplannen ook naar de verticale toezichthouders. Vanuit Logius dien je hier direct op de acteren terwijl de Inspectie SZW vooralsnog coulanter lijkt (zie punt 6).

Ik hoop je met deze blog meer inzicht te hebben gegeven in de Suwinet audit. Heb je na het lezen van deze blog een specifieke vraag over ENSIA en/of de Suwinet audit? Laat het ons weten. Ik raad je sowieso aan deze beide documenten aandachtig te lezen:
Handreiking uitvoering ENSIA verantwoording 2018 (VNG Realisatie)
Handreiking ENSIA voor IT-auditors (RE’s), versie 2.0 (NOREA)

Informatiebeveiliging en privacy in 2018; zie jij door de bomen het bos nog?
Wat is een Business Impact Analyse, en hoe voer je deze uit?

Reacties (2)

  • […] AVG, BIO en ENSIA De afgelopen maanden schreven we vanzelfsprekend veel over de AVG, de Baseline Informatiebeveiliging Overheid (BIO) en ENSIA. Je gemeente ziet de AVG inmiddels toch niet meer als ‘project’, hoop ik? En die verwerkersovereenkomst, sluit die alleen af als het ook echt nodig is. Vijf tips bij het opstellen. Speciale aandacht dient uit de gaan naar het BSN: wanneer mag je die nu wel en niet verwerken onder de AVG? De BIO lijkt in 2020 van kracht te worden en we hebben gepoogd de verschillen voor je op een rij te zetten. Sowieso goed om alvast kennis te nemen van de Quickscan Information Security. We hebben in zeven stappen beschreven hoe je die uitvoert. ENSIA vraagt nu veel aandacht omdat 31 december dichtbij komt. Het proces van horizontaal en verticaal verantwoorden bespreken we in deze blog. En omdat de Suwinet audit toch nog wel nieuw is, hebben we daar een aantal praktisch bruikbare tips voor je neergepend. […]

Reacties zijn gesloten.

Copyright © 2014-2018 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap