Meer overzicht in gemeentelijke informatieveiligheid
Slim en transparant verantwoording afleggen over informatieveiligheid in gemeenten. Hoe werkt zo’n zelfevaluatie en wat komt er bij kijken? Rob Ramdjielal, projectleider ENSIA bij het ministerie van BZK, geeft een kijkje in de keuken.
Tijdens de Algemene Ledenvergadering van de VNG in 2013 is een resolutie aangenomen waarin alle gemeenten het belang van informatieveiligheid erkennen en de BIG daarbij als basisnormenkader nemen. Gemeenten spraken af hun gemeenteraad in het jaarverslag te willen informeren over informatieveiligheid. Tegelijkertijd riepen gemeenten het Rijk op om de verantwoordingslasten hierover te verminderen.
De implementatie van ENSIA, dat staat voor Eenduidige Normatiek Single Information Audit, geeft handen en voeten aan de uitgangspunten in deze resolutie. Doel van ENSIA is om een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid te ontwikkelen en te implementeren. Gebaseerd op de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG).
Bijvangst
Maar het gaat niet alleen om een slim verantwoordingsmechanisme. Ramdjielal, vanuit het ministerie van BZK betrokken bij ENSIA: “Deze verantwoordingsmethodiek zal bij gemeenten bewustwording over informatieveiligheid stimuleren, en ook het lerend effect daarover versterken. ENSIA is bovendien een werkwijze die gemeenten in staat stelt om zelf meer in control te komen. Die er voor gaat zorgen dat gemeenten transparant kunnen zijn over de mate waarin zij in control zijn als het gaat over informatieveiligheid. Gebruik van ENSIA zal op termijn die transparantie alleen maar doen toenemen.“
Tooling
De zelfevaluatie wordt door een gemeentelijke coördinator ENSIA onder meerdere gemeentelijke afdelingen uitgezet. In de ENSIA tool zijn vragenlijsten opgenomen op basis waarvan gemeenten digitale rapportages beschikbaar kunnen stellen. De tool is gebaseerd op Vensters voor Bedrijfsvoering. Uitgangspunt is het horizontale verantwoordingsproces aan de gemeenteraad. Dit is de basis voor het verticale verantwoordingsproces aan de nationale partijen die een rol hebben in het toezicht op informatieveiligheid.
Toekomstperspectief
Ramdjielal: “Over een poosje zou je graag gerealiseerd zien dat het proces van verantwoording zijn vruchten afwerpt. Dat het proces inderdaad goed is georganiseerd en gestructureerd. En dat er inderdaad op een transparante manier verantwoording wordt afgelegd, en gemeenteraden goed worden geïnformeerd. Maar ook: dat er meer awareness is ontstaan en dat ENSIA heeft bijgedragen aan lastenvermindering.
Hoe dan ook: gemeenten krijgen met ENSIA nu al een hulpmiddel waarmee bestuurders meer inzicht krijgen in en grip op de verantwoording over de informatieveiligheid.
Meer lezen over Ensia? Lees bijvoorbeeld het artikel ’ENSIA helpt bij verantwoording informatieveiligheid’.
“Dit eerste jaar is het misschien nog een beetje spannend voor gemeenten, maar de volgende jaren zal het proces steeds soepeler verlopen, informatieveiligheid zal stap voor stap worden geïncorporeerd in de gemeentelijke bedrijfsvoering, daar ben ik van overtuigd.
Daarnaast is het mooi dat je met ENSIA ook andere overheden kunt laten meekijken hoe ze toezicht op een andere wijze kunnen organiseren, en hoe men een Single Information Single Audit principe kan benutten.
Ramdjielal hoopt dat het enthousiasme waarmee in de aanloop naar dit programma is gewerkt door alle partijen, doorzet. “Er is met veel gedrevenheid en enthousiasme door alle partijen aan de voorbereiding van ENSIA gewerkt. Op 1 juli is de vragenlijst voor de zelfevaluatie beschikbaar, en gaan gemeenten daadwerkelijk aan de slag.”
Simone Roos, Directeur-generaal Overheidsorganisatie, Ministerie van BZK:
“Verantwoording houdt iedereen scherp. De gemeenteraad heeft hierin een natuurlijke rol. Het is daarbij van belang hoe verantwoording wordt afgelegd. We willen graag de administratieve lasten beperkt houden. Om daarin te voorzien is het project ENSIA opgezet: de verticale verantwoording kan worden gebaseerd op integrale horizontale verantwoording over de gemeentelijke baseline. Zo kunnen we ons blijven concentreren op de essentie: informatieveiligheid."
ENSIA is een initiatief van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Infrastructuur en Milieu, Sociale Zaken en Werkgelegenheid en de Vereniging van Nederlandse Gemeenten.
KING ondersteunt gemeenten bij de implementatie van ENSIA. ICTU zorgt voor realisatie van de tooling van ENSIA.
Algemene informatie vindt u op ensia.nl en via kinggemeenten/ensia.nl.
(Bron: factsheet ENSIA)
Reactie toevoegen