Het auditjaar 2019 is nog maar net afgerond, maar toch wordt van u verwacht dat u al aan de slag gaat met het volgende jaar. Wij informeren u graag over de veranderingen die tot nu toe bekend zijn over het verantwoordingsproces over 2020 (gericht op de verticale verantwoording en de IT-audit).
Scope
Zoals tot nu toe bekend is blijft de scope voor ENSIA 2020 ongewijzigd: u moet zich verticaal verantwoorden aan de toezichthouders Logius en BKWI over uw DigiD-aansluitingen en het gebruik van Suwinet. Dit is onveranderd ten opzichte van vorig jaar.
Auditmethodiek
De auditmethodiek blijft toetsen op opzet en bestaan. Over toetsen van de werking is nog niets bekend gemaakt, wij verwachten dat dat dit jaar nog niet getoetst hoeft te worden.
Normenkader
- DigiD: de normen op zich zijn niet gewijzigd, een aantal technische zaken zijn aangescherpt. Deze eisen zijn alleen van toepassing indien u zelf uw software ontwikkelt en host. Daarnaast is door de NOREA en Logius één en ander verduidelijkt omtrent ‘non-occurence’ (het zich niet voordoen van een proces, dus wel opzet maar geen bestaan); hier is expliciet van aangegeven wanneer dit is toegestaan. Zie onderaan een link naar deze update.
- Suwinet: het normenkader van Suwinet is aangepast naar het nieuwe format conform de BIO. Wij hebben voor u in onderstaande tabel de belangrijkste wijzigingen op een rijtje gezet en tevens (voor Suwinet-inkijk) een mapping gemaakt naar de “oude” Suwinet normnummers. Zie onderaan een link naar de handreiking van de VNG waar de nieuwe normen uitgebreid zijn beschreven. Generiek geldt: let goed op de aandachtspunten van de nieuwe normen.
|
Nieuwe norm |
Omschrijving |
Oude norm |
Verschil t.o.v. vorig jaar |
|
5.1.1 |
Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. |
B.01 |
In de handreiking zijn een aantal specifieke punten opgenomen die nu ten minste voor moeten komen in het beleid:
|
|
5.1.2 |
Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. |
C.01 |
Het centrale beleid mag maximaal 4 jaar oud zijn in plaats van de huidige 3 jaar. |
|
6.1.1 |
Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. |
B.05 |
Geen |
|
6.1.1.3 |
De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn in een CISO-functieprofiel vastgelegd. |
Nieuw |
Een specifiek functieprofiel voor de CISO moet beschikbaar zijn, waarbij de nadruk ligt op de onafhankelijke positie van de CISO. |
|
6.1.2 |
Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbedoeld of wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. |
B.05 |
Geen |
|
7.2.2 |
Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. |
AP |
Minimaal 3 gebruikers interviewen, meer vragen naar bewijslast. |
|
9.2.1.1 |
Er is een sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties. |
U.02 |
Geen |
|
9.2.1.2 |
Het gebruiken van groepsaccounts is niet toegestaan tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar. |
U.03 |
Geen |
|
9.2.2.1 |
Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris. |
U.02 |
Geen |
|
9.2.2.2 |
Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven. |
Nieuw |
Focus op risicoafweging, hoe is beslist dat functieprofielen zware rollen krijgen. |
|
9.2.5.3 |
Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld. |
C.04 |
Controle is veranderd van minimaal jaarlijks naar minimaal halfjaarlijks. |
|
9.2.6 |
De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. |
U.02 |
Geen |
|
18.1.4 |
Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met de relevante wet- en regelgeving. |
C.06 |
Controle op vastgesteld privacybeleid. |
Suwinet carve-out
Een grote specifieke verandering in het verantwoordingsproces is het gebruik van de carve-out methode voor Suwinet: tot op heden werd altijd gewerkt volgens de inclusive methode. Dat betekent dat de IT-auditor van de gemeente zelf onderzoek doet naar de mate waarin de serviceorganisatie voldoet aan de eisen met betrekking tot informatieveiligheid. Vanaf dit auditjaar wordt ook de carve-out methodiek toegestaan (zoals al gebruikelijk is bij DigiD).
Bij de carve-out methodiek:
- voert de IT-auditor van de gemeente geen (separaat) onderzoek uit naar de processen inbegrepen in de ontvangen TPM(‘s) van serviceorganisatie(s) en de oordelen daarbij;
- neemt de auditor van de gemeente (dan ook) geen verantwoordelijkheid voor de oordelen die zijn opgenomen in de TPM(‘s).
Wat niet wijzigt is dat de gemeenten zich over het geheel moeten verantwoorden. Dit betreft de werkzaamheden die in eigen beheer worden uitgevoerd én de verantwoording over de uitbestede taken.
ENSIA tooling
De VNG is op dit moment bezig met een aanbesteding voor nieuwe ENSIA tooling. De verantwoording over 2020 zal nog plaatsvinden in de huidige ENSIA tool. Hierin zijn wel aanpassingen gedaan ten behoeve van het nieuwe BIO normenkader.
Tips ter voorbereiding
Tip 1: u kunt eenvoudig bepalen welke DigiD-aansluitingen voor u in scope zijn. De regels zijn:
- Alle aansluitingen die gedeactiveerd zijn of worden vóór 1 mei 2021 zijn niet in scope;
- Alle aansluitingen die geactiveerd zijn vóór 1 maart 2020 zijn wel in scope;
- Alle aansluitingen die geactiveerd zijn ná 1 maart 2020 hebben 12 maanden vrijstelling en zijn niet in scope voor de ENSIA audit van 2020.
Tip 2: wij adviseren u om bij suwidesk@bkwi.nl te controleren welke onderdelen van Suwinet-inkijk u gebruikt (RMC, GSD, Burgerzaken en / of Belastingdeurwaarders). Dit geeft u het snelste inzicht in waar u over moet verantwoorden.
Tip 3: wij adviseren u om goed met uw samenwerkingsverbanden in het kader van sociaal domein en belastingdeurwaarders na te gaan of zij gebruik van Suwinet maken. Zo ja, dan moeten zij zich namelijk aan u verantwoorden via een TPM.
Tip 4: start tijdig met de selectie van uw IT-auditor en probeer een pré-audit vóór 31 december 2020 te laten uitvoeren. Zo voorkomt u verrassingen tijdens de audit. Bent u een serviceorganisatie of een gemeente die taken uitvoert voor een andere gemeente, let dan op dat de TPM’s (zowel voor DigiD als voor Suwinet) vóór 15 oktober moeten worden opgeleverd.
Tip 5: Begin nu al met het uitvoeren van de noodzakelijke controles. Een halfjaarlijkse controle is achteraf niet meer te herstellen (zie 9.2.5.3 in de tabel).
Tenslotte
Wij hopen u hiermee een goede start van het ENSIA auditjaar 2020 te geven. Mocht u zelf nog andere vragen hebben, schroom niet om contact op te nemen!
Handige links:
- Updatebrief VNG
- Toelichting carve-out Suwinet
- Toelichting aanpassing normenkader Suwinet
- Update handreiking DigiD
- Nieuwe BIO vragenlijst ENSIA
N.B.: Vanuit de NOREA wordt naar verwachting in het najaar ook een update omtrent ENSIA gepubliceerd. De informatie in het huidige artikel is volledig afgeleid van de informatie die VNG Realisatie heeft gepubliceerd. De NOREA kan hier van afwijken in haar publicatie van de handreikingen. Mocht dat zo zijn dan melden wij dat uiteraard ook tijdig via onze website.