De overheid dient zorgvuldig met (persoons)gegevens om te gaan. Dit is een verwachting die burgers, ondernemers en bezoekers hebben van gemeenten, provincies en waterschappen. Voor overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO), afgeleid van ISO27001, de geldende standaard voor informatiebeveiliging. Als middel om verantwoording af te leggen over informatiebeveiliging is ENSIA in het leven geroepen.
De ENSIA – Eenduidige Normatiek Single Information Audit – is een verantwoordingsmethodiek voor overheidsinstanties om aan te tonen dat zij de juiste maatregelen treffen ter borging van de beveiliging en kwaliteit van gegevens. De ENSIA kent twee manieren van verantwoording: horizontale verantwoording (richting de gemeenteraad) en verticale verantwoording (richting de toezichthouders) en is hiermee geen vrijblijvendheid.
In de horizontale verantwoording legt de organisatie verantwoording af over de mate waarin de BIO-maatregelen zijn geïmplementeerd. Middels een zelfevaluatie kan deze in ENSIA worden vastgelegd. Dit vertaalt zich uiteindelijk door naar rapportages die hun weg moeten vinden naar de gemeenteraad en het college van B&W. Ook dient een paragraaf omtrent informatiebeveiliging te worden opgenomen in het jaarverslag. De uitkomsten uit de zelfevaluatie kunnen hiervoor als input gelden.
In de verticale verantwoording legt de organisatie verantwoording af over verschillende elementen (in hoeverre deze van toepassing zijn):
Voor specifieke onderdelen dient een Register EDP Auditor (RE) te beoordelen of de ingerichte beheersmaatregelen effectief zijn. Dit geldt voor de onderdelen waarvoor een DigiD-aansluiting van toepassing is, als ook het gebruik van Suwinet.
Cuccibu kan jouw organisatie op verschillende manieren ondersteunen binnen de ENSIA verantwoording. Elke organisatie die verantwoording af dient te leggen wijst een ENSIA coördinator aan om dit in goede banen te leiden. Cuccibu heeft ervaren consultants die deze rol op zich kunnen nemen. Verantwoording over informatiebeveiliging is daarnaast geen eenmalige, jaarlijks terugkerende activiteiten, maar is een continu proces. Wij ondersteunen organisaties bij de inrichting van dat proces, zodat bij de ENSIA verantwoording geen verrassingen ontstaan.
Cuccibu voert ook de audits uit op zowel ENSIA (collegeverklaring) als het DigiD Assessment en Suwinet. Onze consultants zijn gecertificeerd om deze audits uit te voeren.
Neem vrijblijvend contact met ons op. Wij denken graag met je mee over de oplossing die het beste past bij jouw organisatie. Laat hier je gegevens achter.
"*" geeft vereiste velden aan