Skip to the content

ENSIA audit

ENSIA 2018

Wat is ENSIA?

ENSIA biedt tooling aan gemeenten waarmee zij dit proces kunnen aansturen, in de vorm van zelfevaluatievragenlijsten per onderwerp. De belangrijkste hoofdmoot vormt de BIG, daarnaast zijn aanvullende vragen per deelonderwerp beschikbaar. DigiD heeft dusdanige specifieke eisen dat hiervoor een eigen vragenlijst beschikbaar is.

ENSIA staat voor Eenduidige Normatiek Single Information Audit. Hoofddoelstelling van ENSIA is om de auditlast van de gemeenten te verlichten om de gemeenten in staat te stellen zichzelf te verantwoorden over informatiebeveiliging.

Met de resolutie "Informatieveiligheid, randvoorwaarde voor de professionele gemeente", van 2013 is door de gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De gemeente moet zichzelf middels een zelfevaluatie, een IT-audit, een collegeverklaring en een passage over informatieveiligheid in het jaarverslag verantwoorden over het thema informatieveiligheid aan de gemeenteraad. Dit wordt horizontale verantwoording genoemd.

Daarnaast moeten gemeenten over een aantal zaken verticale verantwoording afleggen (aan andere instantie): de Basisregistratie Personen (BRP), DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT). De basis van deze verticale verantwoording vormt de horizontale verantwoording aangevuld met specifieke eisen per onderwerp.

Onze ENSIA audit ondersteuning

Onze organisatie bestaat uit een enthousiast team van geregistreerde IT-auditors (RE's). Een RE-auditor van 2-Control controleert, samen met u of u voor alle actieve DigiD-aansluitingen en voor alle Suwinet-onderdelen die u gebruikt voldoet aan de gestelde normenkaders. Hiervoor is de zelfevaluatie de belangrijkste input.

Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijks voor vele verschillende gemeenten de ENSIA audit uit.

ENSIA aanpak 2-Control

  1. Ondersteuning bij zelfevaluatie (pre-audit)
    Door eerst na te laten gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u in ieder geval moet treffen. Wij kunnen deze pre-audit voor u uitvoeren. Daarbij beoordelen wij, idealiter vóórdat de gemeente de zelfevaluaties in de ENSIA tool upload, de resultaten van de zelfevaluatie met focus op de aantoonbaarheid. Hiermee voorkomen we zoveel mogelijk verrassingen achteraf. De uitkomst van de pre-audit geeft u een duidelijk beeld of u wel of niet voldoet aan de criteria van de zelfevaluatie en welke maatregelen u moet treffen om aan de criteria  en beveiligingsrichtlijnen te voldoen. 

  2. Maatregelen treffen
    Voer na aanleiding van de pre-audit zelf de noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf.

  3. Penetratietest (Pentest) uitvoeren
    Indien u eigen hosting of softwareontwikkeling uitvoert dient u voor uw DigiD-aansluiting een penetratietest (ethical hacking test) uit te laten voeren op uw webomgeving als onderdeel van de eisen. Hierbij wordt uw informatiesysteem gecontroleerd op hun kwetsbaarheid en ontvangt u een rapport met bevindingen. Wij adviseren hiervoor gebruik te maken van Dong-IT. Bekijk hier de verschillende aanbiedingen voor penetratietesten.

    Neem zelf maatregelen om de bevindingen uit de pentest op te volgen en op te lossen. Als uit de pentest blijkt dat in uw omgeving hoge risico's aanwezig zijn dan dienen deze vooraf aan de audit te worden opgelost.

  4. Audit over Suwinet en DigiD en beoordelen collegeverklaring
    Als de voorgaande fases zijn afgerond dan wordt de uiteindelijke ENSIA-audit uitgevoerd. Het object van onderzoek is de collegeverklaring inzake ENSIA met de bijbehorende bijlagen voor DigiD en Suwinet. De audit wordt uitgevoerd door een van onze RE-auditors

  5. Rapportage
    Het oordeel over de collegeverklaring wordt verwerkt in een gestandaardiseerde (vormvaste) rapportage. Dit format is in overleg met de VNG en de beroepsgroep van de auditors (NOREA) tot stand gekomen. Het rapport moet ondertekend zijn door een van onze RE-auditors. 

Uit onze ervaring is gebleken dat het laten uitvoeren van een ENSIA audit vaak meer voeten in aarde heeft dan men vooraf dacht. Wij adviseren u daarom op tijd een pre-audit in te plannen om eventuele problemen te voorkomen.

Heeft u vragen over de Baseline Informatiebeveiliging Overheid (BIO), klik dan hier.

Kom in contact met onze ENSIA-specialisten!

Voor meer informatie over onze hulp bij een ENSIA audit, kunt u contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens hieronder achterlaten. Wij nemen dan spoedig contact met u op.

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Microsoft Dynamics?
Wij beantwoorden ze graag.