I N F ORMATI E VE I LIGH E I D DE EERSTE ERVARINGEN MET ENSIA GEMEENTEN NEMEN DE PROEF OP DE SOM In 2017 krijgt elke gemeente met ENSIA te maken, een afkorting die staat voor Eenduidige Normatiek Single Information Audit. Doel van ENSIA is om het toezicht door de gemeenteraad op informatieveiligheid, en de verantwoording hierover aan het Rijk, te versterken. Zeven gemeenten, waaronder Arnhem, Edam-Volendam en Tiel, hebben de afgelopen maanden een pilot met ENSIA doorlopen. In dit artikel delen zij hun eerste ervaringen en geven tips. Tekst: Wilma van Hoeflaken, journalist O p dit moment hebben informatiesystemen, zoals DigiD, de Basisregistratie Personen (BRP) of Suwinet, elk hun eigen toezichtsvorm. ENSIA bundelt het toezicht op die verschillende informatiesystemen. Zo wordt er gebruikgemaakt van één vragenlijst, die gebaseerd is op de Baseline Informatiebeveiliging Nederlandse Gemeenten, een instrument waarmee organisaties kunnen ‘meten’ waar zij staan met betrekking tot informatieveiligheid. ENSIA voorziet in een behoefte bij gemeenten. Dat vindt ook Remco Rekoert, privacy- en informatiebeveiligingsadviseur bij de gemeente EdamVolendam. “Ik weet zeker dat we hiermee de informatieveiligheid op een hoger niveau krijgen en de BIG nog beter kunnen implementeren.” Ook Ron Borst, IT-auditor bij de gemeente Arnhem, is tevreden over de eerste resultaten met ENSIA. “Eigenlijk leg je hiermee een strik om alle beheersmaatregelen die in de gemeentelijke organisatie zijn genomen, maar die in het kader van informatiebeveiliging nog niet eerder met elkaar in samenhang zijn gebracht”, aldus Borst. Wat betreft Youri Lammerts van Bueren, adviseur informatiebeveiliging bij bedrijfsvoeringsorganisatie West Betuwe, waarvan de gemeente Tiel deel uitmaakt, heeft ENSIA zeker impact op de gemeenWAT IS ENSIA? ENSIA is een project van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het ministerie van Sociale Zaken en Werkgelegenheid, het ministerie van Infrastructuur en Milieu en de Vereniging van Nederlandse Gemeenten. De basis van ENSIA is de Baseline Informatiebeveiliging Nederlandse Gemeenten. In 2013 hebben de gemeenten afgesproken dat zij BIG gaan implementeren en een paragraaf over informatieveiligheid in het jaarverslag opnemen. Daarnaast hebben zij de Rijksoverheid verzocht het toezicht te harmoniseren . Hiervan is ENSIA het resultaat. Een pilot met ENSIA heeft in de afgelopen maanden gedraaid in de gemeenten Arnhem, ’s-Hertogenbosch, EdamVolendam, Het Bildt, Tiel, Zaanstad en Zeewolde. 38 telijke organisatie.” Dat is altijd het geval als er iets nieuws op je af komt. Maar als je het goed organiseert, heb je er veel profijt van. ENSIA zorgt er onder meer voor dat er vanuit de verschillende systemen minder vragen over informatieveligheid worden gesteld en bovendien geeft het een goed, integraal beeld van hoe je er als gemeente voorstaat op het gebied van die informatieveiligheid.” VRAGENLIJST De bundeling van het toezicht op de verschillende informatiesystemen, wordt nog het beste gesymboliseerd door de ene vragenlijst waarmee ENSIA werkt. De invulling daarvan vereiste bij een aantal pilotgemeenten wel wat aanpassingen en tijd. Bij de gemeente Edam-Volendam bijvoorbeeld. “Binnen onze gemeente maken wij gebruik van ISMS (Information Security Management System) en dat systeem was en is voor ons leidend. Gelukkig konden we de vragen vanuit ENSIA exporteren naar dat systeem. Het kostte wel de nodige tijd, met name procesmatig.” Ook in Arnhem was de invulling van de vragenlijst bij tijd en wijle een zoektocht. Ron Borst: “De vragenlijst was niet het probleem, maar het was soms wel lastig om te achterhalen welke func
39 Online Touch Home