HANDREIKING IMPLEMENTATIE ENSIA

(M.U.V. DIGID)
Datum 8 november 2017
Versie 3

2
INHOUDSOPGAVE
1 GEBRUIK VAN DEZE TOELICHTING ......................................................................................4
2 INLEIDING .....................................................................................................................................5
3 TOEGANG EN SAMENWERKING ............................................................................................. 6
3.1 TOEGANG VOOR MEDEGEBRUIKERS ............................................................................................. 6
3.2 GEBRUIK VAN EXCELLIJSTEN .......................................................................................................... 7
4 STRUCTUUR EN OPBOUW VRAGENLIJSTEN ......................................................................9
4.1 DE VRAGEN .................................................................................................................................... 9
4.2 MIJLPALEN ................................................................................................................................... 10
5 BEANTWOORDEN EN VERANTWOORDEN ...................................................................... 12
5.1 EXTERNE PARTNERS..................................................................................................................... 12
5.2 BEANTWOORDEN ........................................................................................................................ 12
5.3 COMPLY OR EXPLAIN ................................................................................................................... 12
5.4 SCOREN EN ENSIA ........................................................................................................................ 13
6 AUDIT .......................................................................................................................................... 15
7 EINDPRODUCTEN ENSIA ....................................................................................................... 16
7.1 MATE VAN DIEPGANG BIJ RAPPORTAGES ................................................................................... 16
8 VERSPREIDING VAN INFORMATIE UIT ENSIA ............................................................... 19
Bijlage 1 Overzicht bruikbare documenten ......................................................................... 27
BIJLAGE 2 Documentstructuur ............................................................................................... 32

3
1 GEBRUIK VAN DEZE TOELICHTING
Horizontaal verantwoording afleggen vraagt om de inzet van de gezamenlijk verantwoordelijken en
betrokkenen binnen (en voor een deel buiten) de gemeente: de coördinator kan het niet alleen. In
dit document wordt ingegaan op deze organisatie van de horizontale en verticale verantwoording
Over informatieveiligheid. Het document geeft inzicht in onderliggende structuur van de tooling,
vragenlijsten en de wijze van verantwoording naar de toezichthouders. Ook worden
aandachtspunten en tips gegeven hoe de verantwoording in samenhang beantwoord kan worden
met de interne (en externe) gemeentelijk betrokkenen. In deze toelichting wordt eveneens een
overzicht gegeven van de benodigde documenten en producten die de zelfevaluatie ondersteunen,
waaronder een overzicht van bruikbare documenten en een overzicht van een documentstructuur..

Overige hulpmiddelen
Naast deze algemene toelichting kunt u gebruikmaken van andere hulpmiddelen. Zoals:

• De Online Leermodule: http://onlineleeromgeving.kinggemeenten.nl

• De website ENSIA: https://www.kinggemeenten.nl/ensia
• De website voor de ENSIA-vragenlijst: https://www.ensia.nl/#!/
• De veelgestelde vragen: https://www.kinggemeenten.nl/secties/implementatie-
ensia/producten/veelgestelde-vragen-over-ensia
• De procesbegeleider ENSIA voor uw gemeente.

4
2 INLEIDING

Doel
ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk
ingericht verantwoordingsstelsel voor informatieveiligheid, dat is gebaseerd op de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG).

ENSIA helpt gemeenten om in één keer slim verantwoording af te leggen over informatieveiligheid.
De verantwoordingssystematiek over de Basisregistratie Personen (BRP),
Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen
en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur
uitvoeringsorganisatie Werk en Inkomen (SUWInet) is samengevoegd en gestroomlijnd.

Uitgangspunt is de horizontale verantwoording aan de gemeenteraad. De horizontale

verantwoording vormt de basis voor de verticale verantwoording aan de toezichthouders die een
rol hebben in het toezicht op informatieveiligheid. Bij het afleggen van verantwoording wordt het
principe van single information single audit toegepast.

Voor wie is deze handleiding?

Dit document is hoofdzakelijk bedoeld voor de ENSIA-coördinator.

5
3 TOEGANG EN SAMENWERKING
De ENSIA-coördinatoren hebben voor 1 juli 2017 inloggegevens ontvangen om in te loggen op
ENSIA via www.ensia.nl. ENSIA onderscheidt twee soorten ‘toegangsrollen’:

• Coördinator ENSIA: is verantwoordelijk voor het intern organiseren van ENSIA. Dat
betekent het tijdig uitzetten en inleveren van de vragenlijsten, het generen van
rapportages en het uploaden van verantwoordingsdocumenten. Ook is de coördinator de
beheerder van de gebruikers in de tool.

• Gebruiker: helpt de coördinator bij het invullen van de vragenlijsten en het verzamelen van
gegevens. De coördinator ENSIA wijst gebruikers aan en geeft toegang tot de tool.

Toegang verlenen aan interne (domein) specialisten ligt voor de hand. Gemeenten die participeren
in samenwerkingsverbanden, of taken uitbesteden aan één of meerdere samenwerkingsverbanden,
maken zelf afspraken over de manier waarop een samenwerkingsverband antwoorden geeft op de
ENSIA-vragenlijst. De coördinator kan ook medewerkers van andere organisaties toegang verlenen
tot de tool, bijvoorbeeld medewerkers van een ICT-ondersteuningsorganisatie of een ISD. Naast de
toegangsrollen zijn er excellijsten beschikbaar vanuit ENSIA waarmee de beantwoording van de
vragen eveneens gefaciliteerd kan worden. De opties worden hieronder toegelicht.

3.1 TOEGANG VOOR MEDEGEBRUIKERS

Om overzicht te houden als coördinator is het bij toegangverlening handig om afspraken te maken
met medegebruikers over:
- De wijze waarop gebruikgemaakt wordt van het veld ‘antwoord’.
- De wijze waarop gebruikgemaakt wordt van het veld ‘opmerking bij de toelichting’.
o Verwijzing naar onderliggende evidence of documentatie.
o (Project-)locatie voor onderliggende evidence of documentatie.
- De wijze waarop gebruikgemaakt wordt van de toelichting die gebruikt wordt voor de RE-
auditor.
- De wijze waarop het eindantwoord geformuleerd wordt voor de rapportage.
- Benoemen van de eindverantwoordelijke voor het gewogen eindantwoord voor de
horizontale verantwoording.

Praktische tip:
Bespreek de wijze waarop wordt omgegaan met vulling van de ENSIA
tool bij de kick-off bijeenkomst, monitor dit gedurende het project en
agendeer dit bij projectbesprekingen.

6
3.2 GEBRUIK VAN EXCELLIJSTEN
In de ENSIA-tool zijn verschillende mogelijkheden om Excel lijsten uit te draaien.

De Excellijsten kunnen gebruikt worden voor de volgende doeleinden:

1. Beschikbaar stellen van een set van vragen aan (domein)betrokkenen.
2. Om in te laten vullen door samenwerkingsverband voor hergebruik door meerdere
gemeenten.
3. Monitoren voortgang gedurende het project.
4. Importeren in ISMS-systeem (indien van toepassing).

Een totaal overzicht van alle vragen (inclusief de subvragen) zijn beschikbaar van de BIG-brede
zelfevaluatie, alsook voor de DigiD-zelfevaluatie.
Voor een overzicht van de gegeven antwoorden in de tool en beschrijvingen in het veld ‘opmerking’
is voor elke vragenlijst een export van een compacte versie en een export van een uitgebreide
versie beschikbaar.

3.2.1. Totale vragenlijsten informatiebeveiliging BIG en DigiD

De twee totale vragenlijsten bevatten alle vragen, subvragen, mogelijke antwoordcategorieën en
toelichting. De twee totaallijsten staan los van de beantwoording ENSIA: de beantwoording van de
vragen in ENSIA worden niet opgenomen in deze lijsten. De beide totaalvragenlijsten kunnen
gebruikt worden om selecties te maken (met de filter-functionaliteit). De selectie van vragen kan
gefilterd worden naar domeinen en afdelingen Suwinet, Audit, BRP, BAG, Facilitair, HRM en Inkoop.
Op deze wijze kunnen de vragen aan de juiste betrokkenen ter beschikking worden gesteld. Binnen
de projectimplementatie zal afgestemd dienen te worden hoe de antwoorden op de uitgezette
vragen in ENSIA verwerkt worden.

Praktische tip:
Samenwerkingsverband? Stem met gemeentelijke ENSIA-
coördinatoren af welke vragen van toepassing zijn voor
dienstverlening die is belegd bij het betreffende
samenwerkingsverband. Zij zullen elke gemeente voorzien van
informatie. Dit kan ook middels een TPM.

7
3.2.2. Importeren in ISMS-systeem
De totale vragenlijsten ‘Vragenlijst informatiebeveiliging BIG’ en de ‘Vragenlijst zelfevaluatie DigiD
assessment’ zijn de vragenlijsten die het meest geschikt zijn om te importeren in een ISMS-
systeem. Het is op dit moment helaas niet mogelijk om de beantwoording die opgesteld wordt in
het ISMS te importeren in ENSIA, dit dient handmatig te gebeuren.

3.2.3. Exportmogelijkheden gedurende implementatie

De exportlijsten (zowel compact als uitgebreid) zijn gelinkt aan de status van invullen van de
vragenlijst. In de exportlijsten zijn de antwoorden en de gevulde tekst in het veld ‘opmerking’
opgenomen. Met deze functionaliteit kunt u gedurende het vullen van de vragenlijst snel een
overzicht maken. De compacte lijst toont de vraag met het ingegeven antwoord en de
toelichting/opmerking. In de export van de uitgebreide versie is onder andere ook logging
opgenomen, zodat is te zien welke persoon als laatste een veld heeft bewerkt.

De opmerkingen voor de RE-auditor kunnen in de ENSIA-tool aangegeven worden. Deze zijn niet
met ‘één druk op de knop’ te filteren. Een oplossing is om in de volledige excellijst BIG
zelfevaluatie de vragen te filteren die betrekking hebben op de audit (m.b.t. SUWInet). Vervolgens
kun je aan de hand van de gefilterde vraagnummers de selectie van antwoorden voor de RE-
auditor uit de compacte of de uitgebreide lijst selecteren.

1. Opmerkingen gaan niet mee in de upload naar de stelselhouders

2. Opmerkingen worden getoond in de export van compacte en
uitgebreide excels
3. Opmerkingen voor IT-auditor zijn niet automatisch te filteren.

8
4 STRUCTUUR EN OPBOUW VRAGENLIJSTEN
In dit hoofdstuk wordt ingegaan op de onderliggende structuur en opbouw van de verschillende
vragenlijsten BIG en DigiD. Hierbij wordt een toelichting gegeven op de mijlpaaldata 1 oktober en
31 december 2017.

In de ENSIA-tool staan in de middenkolom ‘In te vullen gegevens’ alle vragen gerubriceerd per
categorie. Deze zijn gebaseerd op de hoofdstukken uit de Baseline Informatieveiligheid
Nederlandse Gemeenten (BIG). Door op de blauwe ‘links’ te drukken ontvouwen zich de vragen.
Per rubriek wordt bijgehouden welk percentage is ingevuld.

In de linkerkolom zijn ‘links’ opgenomen die direct navigeren naar de vragensets van specifieke
stelsels als afdelingen. Toewijzing van de vragen kan per BIG-hoofdstuk via de beheermodule van
de ENSIA-coördinator aan verantwoordelijke functionarissen. Let wel: een selectie in het
linkermenu sluit niet uit dat de vraag betrekking heeft op meerdere stelsels en/of specialisaties.
Bij het aanklikken van een vraag ontvouwt ook het veld ‘toelichting’. In de toelichting staan de
normen uit de BIG genoemd en is een verwijzing naar de verschillende normenkaders opgenomen.
Hiernaast is het mogelijk om bij de toelichting een opmerking te plaatsen.

Via de optie 'Kies een andere lijst’ komt u in het keuzemenu voor het invullen van de
zelfevaluatie BIG of DigiD en de opties om de verantwoording DigiD en verantwoording Suwinet
2017 te uploaden.

4.1 DE VRAGEN
Alle BIG-normen zijn opgenomen in ENSIA en in 261 vragen gevat. De formulering van een control
in de BIG is soms breed en omvat meerdere vragen. Voor ENSIA zijn vragen enkelvoudig
geformuleerd en wordt een hoofdvraag waar nodig aangevuld met subvragen. Er is een scheiding
aangebracht in de verantwoording op basis van de BIG en de DigiD-verantwoording (per
aansluiting). De ENSIA-vragenlijst heeft betrekking op de opzet en het bestaan van normen en
maatregelen. Er worden geen vragen gesteld over de werking van procedures en maatregelen. De
werking zal op termijn wel in worden geplaatst. Voor het taalgebruik bij de vraagstelling is
aangesloten bij de vraagstelling zoals deze in de BIG wordt gebruikt.

4.1.1. BIG & SUWINET & IT-AUDIT (RE)

Álle BIG-normen zijn opgenomen in ENSIA. Deze zijn omgezet naar in totaal 261 vragen in de
vragenlijst BIG zelfevaluatie inENSIA. Een aantal vragen is in subvragen uitgesplitst om deze
eenduidig te kunnen beantwoorden (ja/nee). Het nieuwe normenkader SUWInet is in zijn geheel
ondergebracht in ENSIA (en daarmee binnen de BIG). Vanuit het totale Suwinet normenkader zijn
13 normen relevant voor de IT audit. De 13 auditnormen komen terug in 36 vragen in ENSIA.
Zoals eerder aangegeven is voor de formulering van de vragen de BIG als grondlaag gebruikt. De
te auditen 36 vragen zijn vanuit de totaalexcelvragenlijst te selecteren. Let wel: ook deze vragen
raken aan andere domeinen en specialisaties en dienen gemeentebreed beantwoord te worden.

4.1.2. BRP/PUN
Per 1 oktober 2017 is de nieuwe Paspoortuitvoeringsregeling van kracht gegaan. Voor 2017 gold
nog dat de 86 informatiebeveiligingsvragen voor 1 oktober beantwoord dienden te worden. Alle

9
gemeenten hebben deze vragen via ENSIA tijdig beantwoord. In 2017 is de selectie van de 86
ENSIA-antwoorden automatisch doorgezet naar het ministerie van BZK. De uitkomsten van de
vragen over informatieveiligheid ENSIA zijn door RvIG in de Kwaliteitsmonitor samengevoegd,
zodat een compleet beeld geschetst wordt van de beveiliging en de processen in de
managementrapportages en uittreksels. Voor 2018 geldt voor alle domeinen in het ENSIA-
verantwoordingsstelsel de inleverdatum van 31 december.

4.1.3. BAG/BGT
Voor de verantwoording BAG/BGT zijn in de BIG zelfevaluatie drie vragen opgenomen. De vragen
die opgenomen zijn hebben betrekking op informatiebeveiliging en worden gedeeld met meerdere
domeinen. De drie vragen in ENSIA dienen ‘gemeente breed’ ofwel horizontaal beantwoord te
worden. De vragen die (ook) betrekking hebben op de BAG/BGT zijn een relatief lichte toetsing. De
vragen hebben geen betrekking op personen en gaan gaan over back-up en continuïteitsplannen
(uitwijk).

Per 2 oktober zijn twee domeinspecifieke vragenlijsten (voor BAG en voor BGT) opgenomen. De
domeinspecifieke vragenlijsten zijn opgesteld door gemeenten in samenwerking met het ministerie
van I&M en VNG. Zie ook:
https://www.basisregistratiesienm.nl/actueel/nieuws/2017/07/24/gemeenten-en-ienm-eens-over-
vragenlijst-ensia-bag. I&M heeft BAG medewerkers gemaild om hen over de vragenlijst en
bijbehorende documentatie te informeren. De zelfevaluatie BAG/BGT in ENSIA vervangt de
inspectie. De vragelijst kent voor 2017 geen verplichting. De antwoorden kunnen gebruikt worden
voor de horizontale verantwoording. Maakt u gebruik van de zelfevaluatie, rond deze dan ook af
voor 31 december 2017.

4.1.4. DigiD
Voor de beantwoording van de DigiD-vragen is een separate handreiking beschikbaar. Deze kunt u
vinden op de website kinggemeenten.nl/ENSIA.

4.2 MIJLPALEN
Met betrekking tot de doorlooptijd voor beantwoording van de vragen zijn twee mijlpalen
belangrijk: 1 oktober en 31 december 2017.

Op 1 oktober 2017 is het relevante deel van de antwoorden op de informatiebeveiligingsvragen die

(ook) betrekking hebben op de BRP/PUN automatisch verzonden naar het ministerie van BZK. Deze
datum gold omdat op dat moment wetgeving nog niet in werking was getreden. Let wel: de
antwoorden van deze ‘1 oktober’-vragen hebben niet alleen betrekking op BRP/PUN. Deze vragen
dienen gemeentebreed beantwoord te worden, de basis is de BIG. Na de automatische verzending
op 1 oktober naar het ministerie van BZK is de vragenlijst weer opengesteld. De antwoorden
kunnen richting de mijlpaal van 31 december nog worden aangepast. De uitvoering van
verbeteringen voor informatiebeveiliging is immers een continu proces!

Gemeenten zijn verplicht om alle vragen in te vullen en uiterlijk 31 december 2017 in te leveren
met ENSIA. Hierna volgt het verantwoordingsproces om uiterlijk 1 mei 2018 alle gegevens te
uploaden naar de horizontale toezichthouders, waarna uiterlijk 1 juli 2018 het jaarverslag van de

10
gemeente (inclusief de paragraaf over informatieveiligheid) wordt verzonden naar het Ministerie
van BZK.

11
5 BEANTWOORDEN EN VERANTWOORDEN
ENSIA geeft vanuit de horizontale verantwoording een beeld van de status rondom
informatiebeveiliging. In ENSIA zijn, met als grondlaag de BIG, de stelsels van BRP, PUN, BAG,
BGT, en SUWInet opgenomen. Ook voedt ENSIA de twee verticale en wettelijk verplichte
verantwoordingen: Suwinet en DigiD. In dit hoofdstuk worden handreikingen gegeven die
ondersteunen bij het inhoudelijk en organisatorisch proces van de beantwoording van de vragen.
En vanuit de antwoorden op de vragen uit ENSIA vervolgens de verantwoording te organiseren.

5.1 EXTERNE PARTNERS

De gemeente is en blijft verantwoordelijk, ook als de uitvoering van taken is uitbesteed en/of
gemandateerd. De organisatie is dan afhankelijk van (externe) platforms of
samenwerkingsverbanden voor wat betreft de informatiebeveiliging. Zorg ervoor dat hiervoor
concrete maatregelen worden opgenomen in de contracten en overeenkomsten. Ook in de SLA.
Bijvoorbeeld het maandelijks rapporteren van gegevensuitwisseling, gegevensverwerking,
beveiligingsincidenten, etc. De gemeente spreekt met dienstverleners (afhankelijk van hoe de
dienstverlening is vormgegeven) af hoe zij de informatie ontvangt die relevant is voor de ENSIA-
zelfevaluatie en verantwoording. Voor meer informatie is een handreiking
samenwerkingsverbanden beschikbaar op kinggemeenten.nl/ENSIA.

5.2 BEANTWOORDEN
Afgelopen jaren zijn dezelfde vragen vanuit verschillende invalshoeken c.q. domeinen ingevuld
voor de verantwoording op de verschillende stelsels. Door harmonisatie van het normenkader zijn
nu normen op meerdere stelsels van toepassing. Dit betekent dat alle afdelingen en/of
samenwerkingspartners moeten voldoen aan de normen, procedures en maatregelen van de BIG.

Aan de hand van ENSIA wordt dit gemeentebreed getoetst. Door de normen, procedures en het
toepassen van maatregelen onderling te bespreken, vast te leggen en te verantwoorden, wordt
invulling gegeven aan een gemeentebrede en horizontale wijze van verantwoorden.

In de praktijk kan dit betekenen dat een norm in het ene domein anders is uitgewerkt dan in het
andere domein. Het is aan de gemeente om in onderling overleg te bepalen wat het
gemeenschappelijke antwoord is. De online leeromgeving biedt met de ‘praktijkopdracht continu
verbeteren’ een handreiking voor de aanpak. De ENSIA-coördinatoren hebben hiervoor
inloggegevens ontvangen.

5.3 COMPLY OR EXPLAIN

Alle vragen kunnen worden beantwoord met ‘ja’ of ‘nee’ door middel van bullets of ticketboxen
(aan en/of uit vinken). Antwoorden die van toepassing zijn op een audit (DigiD en Suwinet) kunnen
getoetst worden om de assurance op de collegeverklaring te onderbouwen en worden verzonden
naar de verticale toezichthouders. De overige antwoorden uit ENSIA worden hiervoor niet gebruikt.

In ENSIA wordt uitgegaan vanuit het principe ‘comply or explain’ bij de onderbouwing van de
antwoorden. Dit wil zeggen dat in principe aan het uitgangspunt wordt voldaan. Indien de
gemeente niet aan het uitgangspunt voldoet, dan geeft de gemeente toelichting waarom een

12
procedure of maatregel niet wordt gevolgd en op welke wijze de gemeente wel invulling geeft aan
de betreffende norm of vereiste.

De onderbouwing wordt ondersteund met benodigde documentatie. In de toelichting bij de vragen

is telkens de relevante documentatie benoemd. In bijlage 1 van dit document is een overzicht
opgenomen van de benodigde documentatie behorende bij de vragen.

Het op een gestructureerde wijze van verzamelen, ordenen en archiveren van documenten is
relevant voor :
1. De beschikbaarheid van documentatie voor eigen oordeelsvorming.
2. Het (efficiënt) kunnen beantwoorden van aanvullende vragen vanuit eigen organisatie.
3. De ondersteuning van het auditproces voor verkrijgen van assurance op de
collegeverklaring

Het is mogelijk om in de ENSIA-tool verwijzingen (met links) op te nemen in het opmerkingenveld.

Dit is geen verplichting. Het verdient aanbeveling om binnen het implementatieproject een heldere
structuur voor documentatie op te zetten die voor betrokkenen transparant en toegankelijk is. Een
voorbeeld van een documentstructuur is opgenomen in bijlage 2.

5.4 SCOREN EN ENSIA

Het beantwoorden van de ENSIA zelfevaluatie leidt niet tot een score. Er wordt hoogstens wel of
niet voldaan aan de BIG normen. De uitkomsten zijn een indicatie van het voldoen aan de normen.
Je kunt niet 100% scoren. Dat is niet reëel. Het gaat erom dat je als gemeente continu aan de slag
bent met verbeterplannen voor de informatieveiligheid.

5.4.1. Scoren met BRP/PUN

In de aanloop naar de implementatie zijn veel vragen gesteld over hoe omgegaan wordt met de
‘score’ voor de BRP/PUN. Eerder kon de score direct afgeleid worden vanuit de verantwoording in
de kwaliteitsmonitor. Nu de informatiebeveiligingsvragen zijn overgeheveld naar ENSIA én deze
vragen ook geharmoniseerd zijn met andere stelsels is vanuit de verantwoording geen direct
‘rapportcijfer’ meer af te leiden. Dit is in lijn met het ENSIA-gedachtengoed waarbij de
gemeenteraad het controlerend orgaan is en informatiebeveiliging een proces is van continu
verbeteren.

RvIG heeft in 2017 de antwoorden uit ENSIA overgenomen en opgenomen in de kwaliteitsmonitor.

Op basis van deze antwoorden kent RvIG een score toe aan de managementrapportages die
gedraaid kunnen worden uit de kwaliteitsmonitor. Dit is een proces dat buiten ENSIA is
vormgegeven. Voor vragen over deze puntentoekenning kunt u terecht bij RvIG.

5.4.2. Scoren met BAG en BGT

In 2018 wordt de zelfevaluatie BAG en BGT formeel ingevoerd. Met ingang van de nieuwe
wetgeving gaat de domeinspecifieke zelfcontrole of – evaluatie de huidige inspectie vervangen. Per
2 oktober 2017 zijn de domeinspecifieke vragenlijsten voor deze twee stelsels beschikbaar gesteld
in ENSIA. De antwoorden op de vragen kunt u eveneens gebruiken voor de horizontale
verantwoording. Na beantwoording van de vragen in de specifieke vragenlijsten kunt u een
rapportage downloaden (zie site Ministerie I&M voor model-verantwoordingsrapportage) en

13
aanvullen. Hierna laat u deze rapporten vaststellen door het college van B&W. Hierna wordt deze
aangeboden aan de gemeenteraad. De vastgestelde verantwoordingsrapportage kunt u vervolgens
uiterlijk 1 mei 2018 in ENSIA uploaden voor de verantwoording aan I&M. Voor 2017 betreft dit nog
geen verplichting. Heeft u inhoudelijke vragen over puntentellingen, het proces van
verantwoording en de vragenlijsten, dan kunt u contact opnemen met: baginspecties@minienm.nl
of Alex van de Ven onder 06 270 206 17 12.

14
6 AUDIT

Met de invoering van ENSIA is het mogelijk om op één moment (31 december van elk jaar) een
gemeente breed (horizontaal) beeld over haar informatiebeveiliging op te stellen. Dit betreft een
zelfevaluatie. Met de paragraaf informatieveiligheid legt het college van B&W aan haar eigen
controlerend orgaan, de gemeenteraad, verantwoording af over informatieveiligheid. De
collegeverklaring wordt gebruikt ter ondersteuning van de verticale verantwoording. Het object van
onderzoek is daarmee niet langer het normenkader van DigiD (noch SUWInet), maar de
collegeverklaring (die betrekking heeft op informatieveiligheid voor Suwinet (selectie vragen) en
DigiD). De rol van de auditor is nu om vast te stellen of deze collegeverklaring een
waarheidsgetrouw beeld geeft (verlenen van assurance). De diepgang van de audit wordt door de
auditer bepaald aan hand van een risicoanalyse op de opgestelde collegeverklaring. De auditor
bepaalt op basis van een risico analyse welke werkzaamheden nodig zijn om tot zijn oordeel te
komen en assurance (bevestigen dat iets waar is) te verlenen. Er is geen sprake (meer) van directe
auditing op DigiD.

In de formats die beschikbaar zijn, is deze lijn van verantwoording duidelijk terug te vinden. In de
collegeverklaring verklaart het college van B&W of de gemeente op 31 december 2017 in opzet
(inrichting en beschrijving) en bestaan (implementatie) te voldoen aan de beheersingsmaatregelen
die nodig zijn voor de informatieveiligheid (in 2017 over Suwinet en DigiD).

15
7 EINDPRODUCTEN ENSIA

Het project ENSIA heeft na afronding minimaal de volgende producten opgeleverd binnen de
gemeente:

- 100% gevulde vragenlijst in ENSIA-tool:

o ENSIA-zelfevaluatie - Informatiebeveiliging BIG 2017.
o ENSIA-zelfevaluatie – DigiD assessment 2017 (indien van toepassing).
- Rapportage met toelichting volgens het principe ‘comply or explain’.
Dit document levert input voor de collegeverklaring en de paragraaf Informatieveiligheid in
het jaarverslag. De rapportage gebruikt u voor het opstellen van de zelfevaluatie en levert
input voor het verbeterplan.
- Verantwoordingsdocumenten DigiD 2017 (indien van toepassing):
o Rapportage DigiD met:
▪ Gevulde Bijlage B (object van onderzoek).
▪ Gevulde Bijlage C (evaluatie op normniveau).
o TPM(‘s) .
o Collegeverklaring + bijlage DigiD
- Verantwoordingsdocumenten Suwinet 2017:
o Assurancerapport RE-Auditor.
o Collegeverklaring + bijlage SUWI (nog te ontwikkelen).
- Vastgestelde paragraaf verantwoording informatieveiligheid ten behoeve van jaarverslag.

In het format ‘plan van aanpak’ is een meer gedetailleerde opsomming van projectactiviteiten en
producten per fase opgenomen.

7.1 MATE VAN DIEPGANG BIJ RAPPORTAGES

Het is vanzelfsprekend dat voor de verschillende niveaus van verslaglegging kritisch gekeken wordt
wie toegang heeft tot de informatie over de (informatie)beveiliging. De zelfevaluatie en de op te
stellen rapportage heeft de meeste diepgang en detail. Naarmate de informatie een meer openbaar
karakter krijgt zal de mate van inzicht in de informatiebeveiliging en op welke wijze deze
georganiseerd is, minder expliciet beschreven zijn. Er is een FAQ beschikbaar in welke mate de
gemeente ook in het kader van de WOB geacht wordt informatie vrij te geven.

7.1.1. Horizontale verantwoording

De hieronder genoemde producten/documenten ondersteunen de horizontale verantwoording.

Paragraaf Informatiebeveiliging
In de paragraaf informatiebeveiliging wordt verslaglegging gedaan van het kwalitatieve niveau van
informatiebeveiliging. De paragraaf informatiebeveiliging maakt onderdeel uit van bedrijfsvoering
en wordt verantwoord aan de gemeenteraad. Op deze wijze komt de horizontale verantwoording
tot stand omdat de gemeenteraad in staat wordt gesteld om te sturen op het kwaliteitsniveau van
de informatieveiligheid.

16
Aanvullende rapportage informatieveiligheid
De gemeente kan kiezen om een separate rapportage op het gebied van informatiebeveiliging op
te stellen en op deze wijze de raad, aanvullend op de paragraaf bedrijfsvoering in het jaarverslag,
te informeren. In deze rapportage is er meer ruimte voor onderbouwing, nuances of uitwerking.
Deze transparantie stelt de gemeenteraad in staat om gerichter te sturen op het niveau van
informatiebeveiliging en/of de benodigde maatregelen.

Ook houdt een separate rapportage het vraagstuk informatiebeveiliging buiten de financiële
verantwoording van de jaarrekening.

Jaarplan(nen)
De ENSIA-vragenlijst wordt ieder jaar door de gemeente ingevuld. Hieruit valt op te maken wat de
status is van het beveiligingsniveau van de gemeente. Aan de hand van de uitkomsten kan een
gemeente een jaarplan opstellen voor de verbetering van het beveiligingsniveau voor het komende
jaar. Hierdoor zijn gemeenten in staat om te werken aan een continu proces van verbeteringen op
het gebied van informatieveiligheid (PDCA cyclus).

Het verdient aanbeveling om dit niet te beperken tot de CISO of de aan informatieveiligheid
gerelateerde functionarissen. Een werkgroep informatiebeveiliging, waaraan ook proces- en/of
domeineigenaren deelnemen, verdient de voorkeur. Hierdoor wordt informatieveiligheid een
integraal en gedragen thema binnen de gemeente.

7.1.2. Verticale verantwoording

Naast de relevante antwoorden welke uit ENSIA worden aangeleverd aan de verticale
toezichthouders, wordende volgende documenten aanvullend geupload ter onderbouwing van de
verticale verantwoording:

Collegeverklaring
In de Collegeverklaring verklaart het college van B&W aan de gemeenteraad dat de gemeente
voldoet, en in welke mate, aan de normen en maatregelen van de BIG betrekking hebbende op de
antwoorden uit ENSIA voor bestaande DigiD aansluitingen en de IT audit gerelateerde SUWI
vragen.

Assurancerapport
In het Assurancerapport verklaart een auditor dat de desbetreffende gemeente de vragen uit
ENSIA naar eer en geweten heeft ingevuld. En dat de collegeverklaring een betrouwbaar beeld
geeft van de werkelijkheid voor wat betreft de antwoorden op de DigiD vragen en de IT audit
gerelateerde SUWInet vragen uit ENSIA.

Rapportages DigiD
Na inleveren van de DigiD zelfevaluatie kunt u de DigiD rapportage met bijlage B (object van
onderzoek) en bijlage C (totaaloverzicht van de getoetste normen) downladen en aanvullen. Hierna
kunt u deze uploaden met de Collegeverklaring, de assuranceverklaring en de afgegeven TPM’s van
uw leverancier(s).

Rapportages BAG en BGT

De format rapportages BAG en BGT zijn beschikbaar via de site www.basisregistratiesienm.nl.
Vanuit ENSIA kunt u een rapport downloaden. Alleen de gegevens vanuit de zelfcontrole worden

17
opgenomen in de rapportages. De (dit jaar 3) vragen over informatieveiligheid worden niet
opgenomen in deze te genereren rapportage. Deze formats kunt u aanvullen en laten vaststellen.
De vastgestelde rapportage kunt u voor 1 mei voor I&M uploaden via ENSIA.

In het onderstaande overzicht zijn de benodigde documenten opgenomen die u upload voor de
verticale verantwoording:

Documenten DigiD SUWInet BAG BGT

1 Collegeverklaring X X
Bijlage bij Collegeverkaring betreffende SUWInet (in ontwikkeling) X
1 Assurancerapport X X
Rapportage DigiD, inclusief Bijlage B (object van onderzoek) en Bijlage X
C (evaluatie op normniveau)
TPM(‘s) (indien van toepassing) X
Rapportage BAG X
Rapportage BGT X

18
8 VERSPREIDING VAN INFORMATIE UIT ENSIA
Na het het inleveren van de antwoorden op de vragenlijsten (middels de button ‘inleveren’ in
ENSIA op 31 december), wordt de informatie automatisch naar de betreffende toezichthouders
gestuurd. De toezichthouder krijgen alleen de antwoorden op de vragen (ruwe data) die voor
hem/haar van toepassing is. Met het uploaden van de benodigde documenten (waaronder
collegeverklaring en assurance rapport) voor 1 mei 2018 is de verantwoording voor de verticale
toezichthouders compleet.
In onderstaande tabel wordt het volgende overzicht gegeven:
- Wie is toezichthouder?
- Wat krijgt de toezichthouder?
- Wat is het inlevermoment?
- Op welk moment krijgt de toezichthouder dit?
- Hoe lever je in?
- Hoe wordt de stelselhouder geïnformeerd?
- Welke acties moet de stelselhouder uitvoeren?

Alle antwoorden op de vragenlijsten en verantwoordingsdocumentatie wordt opgeleverd via de

tooling. Wat gebeurt er nog in het verantwoordingsproces naast de tooling?
1. BRP/PUN: opleverdatum in 2017 voor 1 oktober. De gegevens uit ENSIA zijn
samengevoegd met de inhoudelijke gegevens uit de kwaliteitsmonitor om hierna de
management rapportages te kunnen genereren. Zie www.rvig.nl.
2. DigiD: als na uploaden van de documenten blijkt dat de gemeente voldoet aan de
normen, dan is het verantwoordingsproces afgerond. Als de gemeente niet voldoet,
dan verloopt het verbeterproces en de communicatie over dit proces buiten de tooling
om (zie handreiking DigiD en ENSIA), direct via Logius. Krijgen alleen signaal als alle
vragen zijn beantwoord op uterlijk 31-12.
3. SUWInet: BKWI informeert het Ministerie SZW over de resultaten van de
verantwoording uit ENSIA.
4. BAG/BGT: het Ministerie van I&M ontvangt de geuploade rapportages.

19
 Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
BRP - Ruwe data Vóór 1 okt Inleveren Na inlevering wordt de Na inleveren De gegevens van
vragenlijst via ruwe data rapportage geconsolideerde vragenlijst gemeenten die op of na
tooling klaargezet door ICTU vóór of op 30 september 1 oktober worden
en TOTTA. Dan volgt 24.00 uur staat de ruwe aangeleverd aanleveren
actieve attendering data rapportage klaar op 1 worden niet meer
richting de oktober. (Ivm geupload richting RvIG.
toezichthouder. zondagdatum is dit in 2017
op 2 oktober). Vanaf dit
moment staat de info
permanent ter beschikking
van RvIG en kan er op
geacteerd worden.
Na 1 oktober kan de
vragenlijst weer open
worden gesteld voor
horizontale verantwoording
per 31 december.
PUN - Ruwe data Vóór 1 okt Inleveren Na inlevering wordt de Na inleveren De gegevens van
vragenlijst via ruwe data rapportage geconsolideerde vragenlijst gemeenten die op of na
tooling klaargezet door ICTU vóór of op 30 september 1 oktober worden
en TOTTA. Dan volgt 24.00 uur staat de ruwe aangeleverd aanleveren
actieve attendering data rapportage klaar op 1 worden niet meer
richting de oktober. (Ivm geupload richting RvIG.
toezichthouder. zondagdatum is dit in 2017
op 2 oktober). Vanaf dit
moment staat de info
permanent ter beschikking
van RvIG en kan er op
geacteerd worden.
Na 1 oktober kan de
vragenlijst weer open
worden gesteld voor
horizontale verantwoording
per 31 december.

20
 Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
DigiD - Assurance rapport - Inleveren Inleveren Actieve attendering Inleveren geconsolideerde Logius wil de informatie
- Collegeverklaring vragenlijst Collegeverklaring, vindt plaats na vragenlijst vóór of op 31 betreffende Digid in één
- Bijlage bij de DigID Assurance rapport, éénmalig inleveren december 24.00 uur. keer ontvangen, het is
Collegeverklaring voor Assessment en Bijlage bij de volledige pakket: niet zinvol om eerder
DigiD (ingevulde formats TPM's vóór of Collegeverklaring - Collegeverklaring Deze vragenlijst vormt bestanden te uploaden
Bijlage B + C) op 31 voor DigiD (Bijlage - Assurancerapport input voor: dan op het moment dat
- TPM's december B + C), TPM's - Bijlage bij de - Inleveren getekende alle documenten
- Inleveren (uploaden collegeverklaring voor Collegeverklaring, Bijlage compleet zijn.
totale pakket documenten via de DigiD (Bijlage B+C) bij de collegeverklaring - Logius heeft
inclusief tooling) - TPM's voor DigiD (Bijlage B+C), aangegeven dat
Assurance Assurancerapport en TPM's gemeenten de
rapport tussen in de periode ingaand op 1 bevestigingsmail van het
1 januari en 1 januari en eindigend vóór inleveren van de
mei of op 30 april 24.00 uur. documentatie goed
Vanaf dat moment staat de moeten bewaren
info permanent ter (bewijs).
beschikking van Logius en
kan er op geacteerd
worden.
Suwi- - Ruwe data (vragen en Tussen 1 Inleveren Actieve attendering op Na inleveren van de SZW gaat ervan uit dat
net antwoorden januari en 1 vragenlijst via moment ruwe data vragenlijst vóór of op 31 de zelfevaluatie conform
zelfevaluatie) mei tooling rapportage gereed december 24.00 uur kan het afgesproken tijdpad
vervolgens haalt BKWI de ruwe dataexport per 31 december is
BKWI dataexport op ophalen. ingevuld om in jan-april
via tooling de Collegeverklaring op
te stellen en de IT-audit
uit te voeren.
BKWI wil de informatie
betreffende Suwinet in
één keer ontvangen.
(tegelijk met
Assurancerapport,
Collegeverklaring en
Bijlage Suwi bij de
Collegeverklaring).

21
 Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
Suwi- - Assurancerapport Tussen 1 Inleveren Actieve attendering Na inleveren van het BKWI wil de informatie
net - Collegeverklaring januari en 1 Assurancerapport, vindt plaats na getekende betreffende Suwinet in
- Bijlage Suwi bij de mei Collegeverklaring éénmalig inleveren Assurancerapport én de één keer ontvangen, het
Collegeverklaring en Bijlage Suwi bij volledige pakket: Collegeverklaring en de is niet zinvol om eerder
de - Assurancerapport Bijlage Suwi bij de bestanden te uploaden
Collegeverklaring - Collegeverklaring Collegeverklaring in de dan op het moment dat
via tooling - Bijlage Suwi bij de periode ingaand op 1 alle documenten
(uploaden Collegeverklaring januari en eindigend vóór compleet zijn.
documenten) of op 30 april 24.00 uur
staat de info permanent ter
beschikking van BKWI en
kan er op geacteerd worden

BKWI kan de uitkomsten

van de analyse van de ruwe
data gebruiken om nader in
te gaan op afwijkingen die
worden gemeld in de
Collegeverklaring, de
Bijlage bij de
Collegeverklaring en het
Assurancerapport.
BAG - Ruwe data informatie- Uiterlijk op 31 Inleveren Na inleveren
veiligheidsvragen december vragenlijst via geconsolideerde BIG
tooling vragenlijst vóór of op 31
december 24.00 uur staat
de ruwe data rapportage
over de voor IenM
relevante
informatieveiligheidsvragen
ter beschikking van IenM.
(Ivm zondagdatum is dit in
2018 uiterlijk op 2 januari).
De
informatieveiligheidsvra
gen worden niet
opgenomen in de
domeinspecifieke
bestuursrapportage.
IenM ontvangt de
informatieveiligheidsvra
gen als ruwe data.
(Momenteel voor 3
informatieveiligheidsvra
gen - voor BAG en BGT
dezelfde vragen)

22
 Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
BAG - Ruwe data Uiterlijk op 31 Inleveren Actieve attendering op Na inleveren IenM zal nog met ICTU
domeinspecifieke vragen december vragenlijst via moment ruwe data geconsolideerde vragenlijst afstemmen op welke
(vragen en antwoorden tooling rapportage ingeleverd vóór of op 31 december wijze de ruwe data
zelfevaluatie) 24.00 uur staat de ruwe (vragen en antwoorden)
data rapportage ter het beste kunnen
beschikking van IenM. (Ivm worden aangeleverd.
zondagdatum is dit in 2018
uiterlijk op 2 januari).
BAG - Bestuursrapportage Tussen 1 Inleveren Actieve attendering op Na inleveren De BAG
BAG januari en 1 rapportage inzake moment van inleveren bestuursrapportage in de bestuursrapportage is
mei BAG inclusief van de periode ingaand 1 januari gebaseerd op de
uitdraai BAG vragen Bestuursrapportage en eindigend vóór of op 30 domeinspecifieke
en antwoorden als BAG april 24.00 uur staat de info vragenlijst. De BAG
bijlage bij de permanent ter beschikking vragen en antwoorden
Bestuursrapportage van IenM en kan er op worden als bijlage bij de
BAG via tooling geacteerd worden. bestuursrapportage
(uploaden toegevoegd.
document)

Wanneer de vragenlijst
compleet ingevuld is
geüpload naar de
centrale ENSIA-
database, stelt het
systeem een concept-
bestuursrapportage aan
de gemeente
beschikbaar. De
rapportage dient te
worden aangevuld met
bestuurlijke
verantwoordingsgegeve
ns van het college van
B&W. Nadat het college
de
verantwoordingsrapport
age heeft vastgesteld,

23
 Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
legt het deze voor aan
de gemeenteraad. De
verantwoordingsrapport
age dient uiterlijk 1 mei
2018 geüpload te
worden naar de centrale
ENSIA-database voor de
verticale verantwoording
naar de toezichthouder
IenM (de minister van
IenM).

- het voorleggen aan de

raad is een zaak voor de
gemeente.

BGT - Ruwe data Uiterlijk op 31 Inleveren Actieve attendering op Na inleveren De

informatieveiligheidsvra december vragenlijst via moment inleveren / geconsolideerde BIG
gen tooling definitief maken vragenlijst vóór of op 31
vragenlijst december 24.00 uur staat
de ruwe data rapportage
over de voor IenM
relevante
informatieveiligheidsvragen
ter beschikking van IenM.
(Ivm zondagdatum is dit in
2018 uiterlijk op 2 januari).
informatieveiligheidsvra
gen worden niet
opgenomen in de
domeinspecifieke
bestuursrapportage.
IenM ontvangt de
informatieveiligheidsvra
gen als ruwe data.
(Momenteel voor 3
informatieveiligheidsvra
gen - voor BAG en BGT
dezelfde vragen)

24
 Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
BGT - Ruwe data Uiterlijk op 31 Inleveren Actieve attendering op Na inleveren IenM zal nog met ICTU
domeinspecifieke vragen december vragenlijst via moment inleveren / geconsolideerde vragenlijst afstemmen op welke
tooling definitief maken vóór of op 31 december wijze de ruwe data
vragenlijst 24.00 uur staat de ruwe (vragen en antwoorden)
data rapportage ter het beste kunnen
beschikking van IenM. (Ivm worden aangeleverd.
zondagdatum is dit in 2018
uiterlijk op 2 januari).

BGT - Bestuursrapportage Tussen 1 Inleveren Actieve attendering op Na inleveren De BGT rapportage is

BGT januari en 1 rapportage inzake moment van inleveren bestuursrapportage in de gebaseerd op de
mei BGT inclusief van de periode ingaand op 1 domeinspecifieke
uitdraai BGT vragen Bestuursrapportage januari en eindigend vóór vragenlijst. De
en antwoorden als BGT of op 30 april 24.00 uur ingeleverde BGT vragen
bijlage bij de staat de info permanent ter en antwoorden worden
Bestuursrapportage beschikking van IenM en als bijlage bij de
BGT via tooling kan er op geacteerd bestuursrapportage
(uploaden worden. toegevoegd.
document)

Wanneer de vragenlijst
compleet ingevuld is en
geüpload naar de
centrale ENSIA-
database, stelt het
systeem een concept-
bestuursrapportage aan
de gemeente danwel
niet-gemeentelijke
bronhouder beschikbaar.
De rapportage dient te
worden aangevuld met
bestuurlijke
verantwoordingsgegeve
ns van het college van
B&W, of in geval van
niet-gemeentelijke

25
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
bronhouders het
dagelijks bestuur. Nadat
het college de
bestuursrapportage
heeft vastgesteld legt
het deze voor aan de
gemeenteraad. [Bij de
niet-gemeentelijke
bronhouder legt het
dagelijks bestuur de
bestuursrapportage voor
aan het algemeen
bestuur- n.v.t. voor
gemeenten]. De
bestuursrapportage
dient uiterlijk 1 mei
2018 geüpload te
worden naar de centrale
ENSIA-database voor de
verticale verantwoording
naar de toezichthouder
IenM (de minister van
IenM).

- het voorleggen van de

bestuursrapportage aan
de raad is een zaak voor
de gemeente.
[- het voorleggen van de
bestuursrapportage aan
het algemeen bestuur
van de niet-
gemeentelijke
bronhouder is een zaak
voor de niet-
gemeentelijke
bronhouder]

26
Bijlage 1 Overzicht bruikbare documenten
In deze bijlage is een overzicht op genomen van alle documentatie die bruikbaar is of kan zijn bij
het invullen van de vragenlijst. Het gaat hierbij om documenten die de gemeenten zelf heeft
ontwikkeld. De gebruikte titels van de documenten kunnen dus afwijken van de titels die de
gemeente zelf heeft gebruikt.

Vraag nr Documentnaam
i800.79687 Een informatiebeveiligingsplan (implementatieplan) met daarin de korte en lange termijn
doelen en planningen voor het implementeren van de (ontbrekende)
informatiebeveiligingsmaatregelen.
i800.79687 Verslagen van vergaderingen waarin de planning aan de orde gekomen is.
i800.79690 Een spreadsheet met maatregelen, hun statussen, de verantwoordelijken voor de
maatregelen, de verwachte planning van implementatie, managementbesluiten over
planning of comply.
i800.96507/ Bewijs van de afspraken over informatiebeveiliging al dan niet in relatie tot
i800.79775/ samenwerkingsverbanden en of leveranciers, bijvoorbeeld de instellingsbeschikking in de
i800.79657/ vorm een ICV (In Control Verklaring) of een TPM (of SAS, SAE verklaring).
i800.79658/
i800.79659
i800.79691/ Een actueel informatiebeveiligingsbeleid, bij voorkeur jonger dan drie jaar. Bij voorkeur is
i800.79700 gebruikgemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen
invulling/aanvulling op de lokale situatie.

i800.79697 Aantoonbare passages over de respectievelijke speciale gemeentelijke voorzieningen in het

gemeentelijk informatiebeveiligingsbeleid.
i800.79699 Oprichtings- dan wel instellingsbeschikkingen van Gemeenschappelijke Regelingen met
daarin specifiek aandacht voor informatiebeleid. Voor Gemeenschappelijke Regelingen die
openbare lichamen zijn: bewerkersovereenkomsten.
i800.79638 Verslagen van vergaderingen van het college waarin het onderwerp informatiebeveiliging aan
de orde gekomen is.
i800.79639 Een actueel informatiebeveiligingsplan, een sanctiebeleid, de aanwezigheid van een
crisisteam en een ingericht incidentmanagementproces.
i800.79640/ Functie- en taakomschrijvingen als uitwerking van eisen voor relevante rollen en functies
i800.79718/ (daar waar het informatiebeveiliging betreft). Ook voor externe medewerkers.
i800.79788
i800.79641 Autorisatieproces nieuwe IT-voorzieningen.
i800.79642/ Getekende geheimhoudingsverklaringen in personeelsdossiers/voor externe partijen.
i800.79796
i800.79644/ Calamiteitenprocedures, incidentmanagement en responsebeleid, noodplannen, Business
i800.80074/ Continuity Management inclusief onderliggend kader, calamiteitenplan met aandacht voor
i800.80078/ informatiebeveiliging.
i800.80081/
i800.80083
i800.79646 Aansluitdocumenten stap 1 en 2 van de IBD.

27
Vraag nr Documentnaam
i800.79648/ Auditverslagen en (gespreks-)verslagen van de beoordeling van het
i800.80101/ informatiebeveiligingsbeleid, controleverslagen, selfassessmentrapporten, auditverslagen,
i800.80103/ controleplan.
i800.80105
i800.79774 Stukken van raadsvergaderingen waar informatiebeveiliging op de agenda staat.
i800.79651/ Benodigde documentatiebehandelplan, classificatieverslagen, registratie van
i800.79829/ gegevensverzamelingen, markeringen op kopieën en ingevulde dataclassificatie verslagen.
i800.79956
i800.79652 Inkoopdossiers / inkoopcontracten.
i800.79653 Per uitbesteding waarbij persoonsgegevens worden verwerkt een bewerkersovereenkomst.
i800.79655 PIA's
i800.79656 Incidentregistratie, relevante passages in bewerkersovereenkomsten en
leveringsovereenkomsten, SLA's, voor alle uitbesteedde processen/systemen.
I800.79660/ Contract, SLA, bewerkersovereenkomst, verslagen met gesprekken met leveranciers,
i800.79662/ overeenkomst informatie-uitwisseling in relatie tot samenwerking met derden.
i800.79663/
i800.79664/
i800.79665/
i800.79666/
i800.79667/
i800.79796/
i800.79803/
i800.79820/
i800.79841/
i800.79952
i800.79702/ Een gevulde CMDB (configuratie management database), procedure controle systeem en
i800.80090 ICT-gebruik gericht op compliancy.
i800.79705 Jaarplannen en begrotingen en gebruikersautorisatiebeheer waaruit lijnverantwoordelijkheid
over informatie- en ICT-middelen blijkt.
i800.79708 Huisregels en regels gebruik IT-voorzieningen, inclusief telewerkbeleid indien toegestaan.
i800.79710 Verslagen van classificatie onderzoeken/analyses.
i800.79714 Verwerkingsprocedures voor beveiligd verwerken, opslag, transmissie, declassificatie en
vernietiging. Overeenkomsten met derde partijen waarin wordt uitgelegd hoe
classificatielabels moeten worden uitgelegd.
i800.79721 Actuele personeelsdossiers, VOG's aanwezig in dossiers.
i800.79726 Algemene voorwaarden of huisregels bij indiensttreding, ondertekend in P-dossier.
i800.79728 Controlevragen aan personeel, verslagen van functioneringsgesprekken en
werkbesprekingen.
i800.79731 Format / planning POP-gesprek, inkoop training bewustwording (informatiebeveiliging een
terugkerend onderwerp in gesprekken met personeel)
i800.79736 Er is disciplinair beleid en een proces beschreven dat recht doet aan het onderwerp, conform
CAR/UWO.
i800.79738 Procedure wijzigen/beëindigen dienstverband.
i800.79740 (Fysiek) toegangsbeveiligingsbeleid.

28
Vraag nr Documentnaam
i800.79743 Bezoekersverslagen, autorisatiematrixen, toegangscontrolelogging van pasjes en andere
middelen en verslagen van de controle daarop met betrekking tot fysieke
toegangsbeveiliging.
i800.79745/ Ontwerpen van kantoren, ruimten en faciliteiten met betrekking tot fysieke beveiliging van
i800.79754 gebouwen inclusief procedures.
i800.79748 Verzekeringsbeleid waarin maatregelen staan, ontwerpen van gebouwen en ruimtes waarin
deze maatregelen uitgewerkt zijn.
i800.79751 Voorschriften voor het werken in beveiligde ruimten.
i800.79756 Vastlegging van fysieke controle van apparatuur en controle of in de bouw en
plaatsingsvoorschriften gebruikgemaakt is van geldende standaarden.
i800.79759 Procedures en maatregelen stroomuitval (noodstroom, UPS, aggregaten), jaarlijkse
testverslagen.
i800.79761 Specificaties van gebouwbekabelingen, gedocumenteerde patchlijst.
i800.79763 Onderhoudscontracten, onderhoudsvoorschriften van IT-apparatuur.
i800.79765/ Thuiswerkbeleid, telewerkbeleid, inrichting werkplek/mobiele devices, encryptiebeleid,
i800.79964 gedragscodes.
i800.79767 Procedure veilig verwijderen van gevoelige bedrijfsinformatie.
i800.79769 Procedure omgang ICT-middelen.
i800.79780/ Bedieningsprocedures systeembeheer, netwerkbeheer, applicatiebeheer, opstart
i800.80080 handleidingen, afsluit handleidingen, back-up en restore procedures,
gebruikershandleidingen.
i800.79783/ Beheerprocedures voor hardenen van infrastructuur en servers, configuratie verslagen van
i800.80047 servers en platformen.
i800.79785/ Procedure wijzigingsbeheer, verslagen wijzigingsbeheer vergaderingen inclusief
i800.80046/ besturingssystemen.
i800.80054/
i800.80056/
i800.80060
i800.79789 Beleidsnotitie, functiebeschrijvingen van de in de vraag genoemde functies/rollen.
i800.79793 Organisatiebeschrijving, bedieningsprocedures, ICT-landschap met betrekking tot
applicatieontwikkeling.
i800.79805 Informatieplan en capaciteitsplan.
i800.79807 Architectuurprincipes, bij systemen moet een testdossier aanwezig zijn (testplannen,
testverslagen, acceptatieverslagen).
i800.79809/ Antivirusbeleid en procedures.
i800.79837
i800.79811 Systeembeheer documentatie, beleid, testverslagen.
i800.79813 Back-upprocedures, back-upverslagen.
i800.79816/ Netwerkbeveiligingsplan, netwerkplan, beleid, controleverslagen, ingericht proces
i800.79818 netwerkbeheer, rapportages.
i800.79822/ Procedure gebruik, beheer en afvoer van verwijderbare media, zoals harddisks, mobiele
i800.79825/ devices, usb-sticks, cd-roms inclusief procedure voor veilig verwijderen van informatie en
i800.79845 procedure omgang gevoelige media.

29
Vraag nr Documentnaam
i800.79833/ Beheer procedures voor systeemdocumentatie, beheerprocedures webservers en
i800.79860/ inrichtingsdocumentatie, procedure controle systeemklokken.
i800.79871/
i800.79972
i800.79847 Procedure/aanwijzing/protocol uitwisseling van vertrouwelijke informatie.
i800.79850 Beleid en procedures voor koppeling van bedrijfssystemen.
i800.79857/ Cryptografiebeleid en -procedures, netwerkplan, infrastructuurplan, cryptografie en
i800.79907/ sleutelbeheerplan, netwerkbeheerbeleid en netwerkbeheerplan
i800.79909/
i800.79915/
i800.80016/
i800.80024/
i800.80098
i800.79862/ Loggingprocedure met aandacht voor bescherming en autorisatie op logging.
i800.79952
i800.79865 Vastlegging van handelingen die niet in het systeem gelogd worden, bijvoorbeeld e-mails,
verslagen van vergaderingen, wijzigingsvoorstellen.
i800.79868 Controleverslagen van de controle van het gebruik van belangrijke
persoonsgegevensverzamelingen.
i800.79877/ Toegangsbeleid, notulen waarin toegangsbeleid is goedgekeurd door management, flyers,
i800.79913/ nieuwsbrieven of e-mails waaruit blijkt dat de gebruikers op de hoogte zijn van de
i800.79954 goedgekeurde toegangsbeleid, informatie waarin is beoordeeld dat de bedrijfseisen en
beveiligingseisen voor toegang zijn meegenomen in het beleid, ook voor gebruikers in een
gemeenschappelijk netwerk.
i800.79882 Procedurebeschrijvingen die beschikbaar zijn voor registreren en afmelden van gebruikers
voor enkele informatiesystemen of -diensten, procedurebeschrijving voor de registratie van
gebruikers en beheerders, informatie waaruit blijkt dat de organisatie gebruiker-ID’s
conform de procedures heeft toegekend.
i800.79885 Beleid of procesbeschrijving voor het beheer van speciale bevoegdheden, functie- of
rolbeschrijvingen van de beheerders van speciale bevoegdheden.
i800.79888/ Procedurebeschrijving van de beheerste wachtwoordtoewijzing, informatie waaruit blijkt dat
i800.79890 de organisatie conform het beleid heeft uitgevoerd, verslagen van de controle op de
toegangsrechten per proceseigenaar/systeemeigenaar met een focus op basisregistraties,
Suwinet en DigiD.
i800.79893/ Gespreksverslag beheerder, brief of mail met uitleg gewenst gebruik.
i800.79894
i800.79896/ Huisregels veilig gebruik van computers en mobiele apparatuur, beleid waarin aandacht is
i800.79959 voor het gebruik van mobiele apparatuur, een ingericht en beheerd mobiel device
management systeem, gebruikersvoorwaarden mobiele systemen.
i800.79899/ ‘Clear desk’- en ‘clear screen’-beleid, e-mails, flyers, of nieuwsbrief waaruit blijkt dat de
i800.79900 organisatie met de eindgebruikers heeft gecommuniceerd over: elke dag dossiers opbergen
bij vertrek naar huis en pc vergrendelen bij verlaten van werkplek.
i800.79904 Vastgesteld toegangsbeleid met daarin de te onderscheiden toegangspaden en
toegangsmethode(n) per type gebruiker, materiaal waaruit blijkt dat beleid is
gecommuniceerd, registratie van aanvragen en toekenningen.

30
Vraag nr Documentnaam
i800.79911 Beleid en procedurebeschrijving voor scheiding van netwerken, informatie waaruit blijkt dat
de organisatie conform het beleid of procedure heeft gehanteerd.
i800.79938 Beleid voor beveiligde inlogprocedures. Schermprint vanuit een besturingssysteem waaruit
blijkt dat de toegang beheerst wordt door een beveiligde inlogprocedure.
i800.79941/ Een beschrijving van het gebruik van authenticatiemiddelen.
i800.79942
i800.79945 Uitdraaien van systemen zoals bijvoorbeeld de beleidsregels voor sterke wachtwoorden uit
de AD en andere relevante systemen.
i800.79947 Procedures gebruik hulpprogrammatuur.
i800.79949 Benodigde documentatie ICT-beleid en procedure beëindigen inactieve sessies.
i800.79970 Beleid waarin bedrijfseisen en beveiligingsmaatregelen voor nieuwe informatiesystemen of
uitbreiding van bestaande informatiesystemen zijn beschreven, het vaste programma van
eisen t.a.v. beveiliging, informatie waaruit blijkt dat de organisatie conform het vaste
programma werkt.
i800.79973/ Testverslagen van applicaties, pentestrapportages, verslagen van codereviews, pentest en
i800.80002/ security jaarplanning en pentest- en securityverslagen.
i800.80049/
i800.80071/
i800.80072/
i800.80103/
i800.80105
i800.80014 Informatie waaruit blijkt dat de gemeente zich heeft geconformeerd aan Gemma en aan
Stuf.
i800.80051 Procedurebeschrijvingen voor de opslag van broncode, applicatiebeheerprocedures.
i800.80062 Beleid content scanning, beheerdocumentatie en controledocumentatie met betrekking tot
netwerkscanning.
i800.80067/ Beleid voor technische kwetsbaarheden, verslagen van vulnerability scans en pentesten,
i800.80070 patchmanagement procedure, patchmanagement proces, actuele vulnerability scan
rapporten.
i800.79669/ Procedurebeschrijving voor het melden en registreren van incidenten op een afdeling of in
i800.79671/ een bepaald bedrijfsproces met betrekking tot informatiebeveiliging.
i800.79677
i800.79681/ Een beschreven organisatiestructuur en geaccordeerde mandatenregeling of RASCI-schema
i800.79685 waaruit de TVB's van de betrokken medewerkers blijken. Eigen waarneming dat de
rapportage beveiligingsincidenten bestaat met daarin opgenomen de evaluatie van deze
incidenten. Een beleid- of procedurebeschrijving voor het verzamelen van bewijsmateriaal.
i800.80076 Uitgevoerde BIA's.
i800.80085 Testverslagen van uitwijk- en calamiteittesten.
i800.80092 Data-opslagbeleid.
i800.80094 Privacybeleid.
i800.80109 Beveiligingsmaatregelen voor hulpmiddelen voor systeemaudits.

31
BIJLAGE 2 Documentstructuur

Documentstructuur ENSIA
Versie 1.0, 16 oktober 2017

Aanleiding
Met de invoering van ENSIA wordt de verantwoording van gemeenten met betrekking tot de
informatieveiligheid via één verantwoordingsstelsel (vragenlijst) geïnventariseerd en verantwoord.
Om de verantwoording te onderbouwen is een (elektronische) documentstructuur om documenten
met betrekking tot de specifieke normen in op te slaan en te bewaren van belang. Op deze wijze
kan de gemeente – al dan niet in samenwerking met de auditor – op een efficiënte en eenvoudige
wijze documenten raadplegen. Deze documentstructuur heeft betrekking op de vragenlijst ENSIA
zelfevaluatie – Informatiebeveiliging BIG 2017.

Inleiding
In deze bijlage wordt een voorstel gedaan voor een structuur voor het opslaan en bewaren van
documenten. De vragenlijst bevat vragen over informatieveiligheid gebaseerd op de BIG. De
documentstructuur volgt de structuur van de vragenlijst en kan worden gebruikt voor zowel de
horizontale verantwoording aan de raad als de verticale verantwoording aan het Rijk (BRP en PUN,
SUWInet en BAG en BGT).

Doelgroep
Het gebruik van een documentstructuur is hoofdzakelijk van toepassing voor gemeenten die niet
beschikken over een ISMS. Dergelijke systemen beschikken over functionaliteiten om bestanden,
registraties en/of documenten te bewaren en te onderhouden.
Het voorstel van een documentstructuur kan worden toegepast als mappenstructuur welke kan
worden ingericht via de Verkenner, een informatie- of zaaksysteem, een willekeurige database of
emailomgeving. Ook Sharepoint behoort tot de mogelijkheden. Echter, links naar documenten of
bijlagen vergen dan wel veel beheer. Het is aan de gemeente zelf om te bepalen tot in hoeverre de
documentstructuur wordt toegepast en op welke manier deze wordt ingericht.
De ordening van deze documentstructuur is afgestemd met NOREA, de brancheorganisatie van RE-
auditors.

Uitgangspunten
Bij het opstellen van de documentstructuur is rekening gehouden met deugdelijke verantwoording
vanuit de volgende uitgangspunten:
• Een transparante, overzichtelijke en heldere structuur van mappen en thema’s
• Een duidelijke link met de ENSIA-vragenlijst voor snel kunnen raadplegen
• Een structuur dat overeenkomt met de hoofdstukken van de BIG en ENSIA-vragenlijst
• Zoveel mogelijk voorkomen van meervoudige opslag van documenten en bestanden
• Een structuur waarbij thema’s makkelijk herkenbaar en vindbaar zijn om te raadplegen.

De documentstructuur is hoofdzakelijk van toepassing op het structureren van documenten op het

gebied van:
• Het ‘project’ ENSIA: de invoering en coördinatie van ENSIA (2017);
• De ENSIA vragen met betrekking tot de gemeente brede informatieveiligheid;

32
Achterliggende gedachte
De documentstructuur is gebaseerd op de thema’s en hoofdstukken van de BIG. De BIG-thema’s
en hoofdstukken staan centraal. De normen van de diverse verantwoordingsstelsels (BRP, PUN,
BAG, BGT en Suwinet) hebben op het gebied van informatieveiligheid betrekking op hoofdstukken
en thema’s van de BIG. Een vraag kan betrekking hebben op meerdere normenkaders. Dit is bij
een groot deel van de vragen van de BIG van toepassing. Het opslaan en bewaren van bijlagen per
stelsel zou tot veel meervoudige opslag leiden.
Over het verantwoordingsjaar 2017 vindt voor DigiD en Suwinet een audit plaats. Zoals hierboven
aangegeven maken de vragen relevant voor Suwinet onderdeel uit van de ENSIA-vragenlijst. In
onderhavige documentstructuur wordt uitgegaan van het opslaan, beheren en bewaren van
documenten met betrekking tot de BIG-hoofdstukken en thema’s.
De DigiD-zelfevaluatie is een separate vragenlijst binnen ENSIA. Ter ondersteuning van de
uitvoering is de handreiking ‘DigiD- zelfevaluatie’ beschikbaar. Hierin is een voorstel opgenomen
voor de documentstructuur voor de DigiD-zelfevaluatie. Deze is vindbaar op de online
leeromgeving en via www.kinggemeenten.nl/ensia. Het staat u vrij om binnen de aangereikte
mappenstructuur een extra ‘verdieping’ te maken door bijvoorbeeld mappen per norm aan te
maken.

Aanpak
Een groot deel van de gemeenten beschikt over een (geautomatiseerd) ISMS waarin de vragen,
antwoorden en onderbouwing wordt vastgelegd. Wanneer u niet beschikt over een dergelijk
systeem is het raadzaam om een informatiesysteem of zaaksysteem te hanteren voor het goed
bewaren en archiveren van de documenten. Dit bevordert ook de toegankelijkheid alsmede
eventuele verwijzingen tussen mappen en /of documenten. In het kader van de efficiency van de
audit werkzaamheden adviseren wij deze documentenstructuur toe te passen. Dit omdat
onderbouwing, bewijslast (evidence) en herleidbaarheid (fact finding) belangrijke elementen zijn in
een efficiënt audit proces.

33
Documentstructuur

Hoofd mappenstructuur
ENSIA 2017 (deels gebaseerd op BIG indeling)
1. Project invoering ENSIA
2. Communicatie & Correspondentie
3. H3 Implementatie van de Tactische Baseline
4. H4 Samenwerkingsverbanden
5. H5 Beveiligingsbeleid
6. H6 Organisatie van de informatiebeveiliging
7. H7 Beheer van bedrijfsmiddelen
8. H8 Personele beveiliging
9. H9 Fysieke beveiliging en beveiliging van de omgeving
10. H10 Beheer van Communicatie- en Bedieningsprocessen
11. H11 Toegangsbeveiliging
12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen
13. H13 Beheer van Informatiebeveiligingsincidenten
14. H14 Bedrijfscontinuïteitsbeheer
15. H15 Naleving
16. Overige
17. Historie (oude documenten)

Sub mappenstructuur
Per submap staat een korte toelichting voor de documenten die in de betreffende map
worden bewaard.
1. Project invoering ENSIA
1. Algemene presentatie
2. Plan van Aanpak
3. Planning & Organisatie
4. Handleidingen
5. Voortgang & Coördinatie

In map 1. worden de documenten opgeslagen die betrekking op de invoering van ENSIA. Hierin
worden presentaties, plannen van aanpak en voortgangsverslagen opgeslagen. Dit hoeft geen
eenmalige map te zijn. De coördinatie van activiteiten kunnen in 2018 wederom in deze map
opgeslagen worden.
Tip: Neem in de folder op niveau 0 een verwijzing op naar het kalenderjaar waarop de documenten
betrekking hebben; 2017 voor dit jaar.
2. Communicatie & Correspondentie
1. Mailings Coördinator ENSIA
2. Interne Memo’s en/of Besluitvorming
3. Correspondentie met afdelingen
4. Communicatie met auditor
5. Collegeverklaring en Paragraaf IB
6. Correspondentie met College en Raad

34
In map 2. wordt de informatie-uitwisseling in de vorm van brieven, voorstellen, mails, memo’s,
etc. bewaard. Communicatie met afdelingen als financiën (F&C), informatiemanagement (I&A),
personeelszaken (HRM), burgerzaken, sociaal domein, ruimtelijk domein, etc. worden hier
opgeslagen in de vorm van acties, afspraken of verslagen.
3. H3 Implementatie van de Tactische Baseline
1. Benoem verantwoordelijkheden

In map 3. worden de documenten met betrekking tot de implementatie van de tactische

baseline opgenomen.
4. H4 Samenwerkingsverbanden
1. Risicobeoordeling en risicoafweging

In map 4. worden de documenten met betrekking tot de samenwerkingsverbanden

opgenomen.

5. H5 Beveiligingsbeleid
1. Informatiebeveiligingsbeleid

In map 5. worden de documenten met betrekking tot het beveiligingsbeleid opgenomen.

6. H6 Organisatie van de informatiebeveiliging
1. Interne organisatie
2. Externe organisatie

In map 6. worden de documenten met betrekking tot de organisatie van de

informatiebeveiliging opgenomen.
7. H7 Beheer van bedrijfsmiddelen
1. Beheer van bedrijfsmiddelen
2. Classificatie van informatie

In map 7. worden de documenten met betrekking tot het beheer van bedrijfsmiddelen
opgenomen.
8. H8 Personele beveiliging
1. Voorafgaand aan het dienstverband
2. Tijdens het dienstverband
3. Beëindiging of wijziging van het dienstverband

In map 8. worden de documenten met betrekking tot personele beveiliging opgenomen.

9. H9 Fysieke beveiliging en beveiliging van de omgeving
1. Beveiligde ruimten
2. Beveiliging van apparatuur

In map 9. worden de documenten met betrekking tot de fysieke beveiliging en beveiliging van
de omgeving opgenomen.
10. H10 Beheer van Communicatie- en Bedieningsprocessen
1. Bedieningsprocedures en – verantwoordelijkheden
2. Exploitatie door een derde partij
3. Systeemplanning en –acceptatie
4. Bescherming tegen virussen en ‘mobile code’

35
 5. Back-up
6. Beheer van netwerkbeveiliging
7. Behandeling van media
8. Uitwisseling van informatie
9. Diensten voor e-commerce
10. Controle

In map 10. worden de documenten met betrekking tot het beheer van communicatie en
bedieningsprocessen opgenomen.
11. H11 Toegangsbeveiliging
1. Toegangsbeleid
2. Beheer van toegangsrechten van gebruikers
3. Verantwoordelijkheden van gebruikers
4. Toegangsbeheersing voor netwerken
5. Toegangsbeveiliging voor besturingssystemen
6. Toegangsbeheersing voor toepassingen en informatie
7. Draagbare computer en telewerken

In map 11. worden de documenten met betrekking tot toegangsbeveiliging opgenomen.

12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen
1. Beveiligingseisen voor informatiesystemen
2. Correcte verwerking in toepassingen
3. Cryptografische beheersmaatregelen
4. Beveiliging van systeembestanden
5. Beveiliging bij ontwikkelings- en ondersteuningsprocessen
6. Beheer van technische kwetsbaarheden

In map 12. worden de documenten met betrekking tot de verwerving, ontwikkeling en

onderhoud van informatiesystemen opgenomen.
13. H13 Beheer van Informatiebeveiligingsincidenten
1. Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
2. Beheer van informatiebeveiligingsincidenten en verbeteringen

In map 13. worden de documenten met betrekking tot het beheer van informatiebeveiligings-
incidenten opgenomen.
14. H14 Bedrijfscontinuïteitsbeheer
1. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

In map 14. worden de documenten met betrekking tot het bedrijfscontinuïteitsbeheer

opgenomen.
15. H15 Naleving
1. Naleving van wettelijk voorschriften
2. Naleving van beveiligingsbeleid en –normen en technische naleving
3. Overwegingen bij audits van informatiesystemen

In map 15. worden de documenten met betrekking tot naleving opgenomen.

16. Overige
1. …

36
 In map 16. worden de documenten met betrekking tot overige onderwerpen opgenomen.
17. Historie (oude documenten)
1. Oude versies
2. Prullenbak

In map 17. worden de oude documenten opgenomen. Zoals oude versies of te vernietigen
bestanden.

Uitwerking submappenstructuur in detail

De uitwerking binnen de submappen kunnen mappen zijn maar ook documenten. Zoals verwoord
in voorgaande hoofdstukken staat het u vrij om mappen binnen de submappen aanmaken die
betrekking hebben op specifieke thema’s of normen (voorbeeld DigiD met een map per norm).
Submap
1. Project invoering ENSIA
1. Algemene presentatie
i. Kick-off presentatie Werkgroep ENSIA
ii. Presentatie voor College en de Raad
2. Plan van Aanpak
i. Plan van Aanpak invoering ENSIA
3. Planning & Organisatie
i. Planning invoering
ii. Organisatie samenwerkingsverbanden
iii. Interne organisatie
4. Handleidingen
i. Downloads handleidingen
ii. Links naar webpagina’s (ook toezichthouders)
iii. Links naar normenkaders e.d.
5. Voortgang & Coördinatie
i. Actielijst (woe doet wat?)
ii. Activiteiten (uitzetten vragen aan wie?)
iii. Voortgangsoverzichten of rapportages
iv. Afronding, Decharge en Evaluatie (eind 2018)

Submap
2. Communicatie & Correspondentie
1. Mailings Coördinator ENSIA
i. Ontvangen en verstuurde mails
2. Interne Memo’s en/of Besluitvorming
i. Opgestelde Memo’s en/of Besluitvormingsvoorstellen
3. Correspondentie met afdelingen
i. Correspondentie met Financiën
ii. Correspondentie met Informatiemanagement (I&A)
iii. Correspondentie met Personeel (HRM)
iv. Correspondentie met Burgerzaken
v. Correspondentie met Sociaal Domein
vi. Correspondentie met Ruimte Domein
vii. Correspondentie met Informatiemanagement (I&A)

37
 viii. Correspondentie met ICT (leverancier X en/of Y)
ix. Correspondentie met samenwerkingsverband A
x. Correspondentie met samenwerkingsverband B
4. Communicatie met Auditor
i. Selectie en gunning Auditor
ii. Opdrachtomschrijving en bevestiging Auditor
iii. Overeenkomst en Factuur Auditor
iv. Urenverantwoording van Auditor
v. Assurancerapport
5. Collegeverklaring en Paragraaf IB,
i. Collegeverklaring
ii. Paragraaf IB voor College en Raad
6. Correspondentie met College en Raad
i. Correspondentie voor Collegevergadering
a. Agenda, Notulen, Besluit
ii. Correspondentie voor (cie.) Raad
a. Agenda, Notulen, Besluit

Submap
3. H3 Implementatie van de Tactische Baseline
1. Benoem verantwoordelijkheden
i. Implementatieplan
ii. Rapportage
iii. ISMS

Submap
4. H4 Samenwerkingsverbanden
1. Risicobeoordeling en risicoafweging
i. Overeenkomsten (GR, Centrum, overig)
ii. Gemeenschappelijke normen
iii. Verantwoordingsrapportages

Submap
5. H5 Beveiligingsbeleid
1. Informatiebeveiligingsbeleid
i. Informatiebeveiligingsbeleid
a. Algemeen (BIG)
a. SUWI (IT audit)
b. Burgerzaken
ii. Informatiebeveiligingsplan
a. Algemeen (BIG)
a. SUWI (IT audit)
b. Burgerzaken
iii.
iv. Vaststelling, Besluit of beoordeling (<3 jaar/datum)
a. BIG
a. SUWI (IT audit)
b. Burgerzaken

38
Submap
6. H6 Organisatie van de informatiebeveiliging
1. Interne organisatie
i. Doelstellingen ambtelijke en bestuurlijke organisatie
ii. Gespreksverslagen voortgang
iii. Voortgangsrapportages
iv. Registratie verantwoordelijkheden
v. Goedkeuringsproces ICT
vi. Geheimhoudingsovereenkomst
vii. Contacten met instanties en groepen

2. Externe organisatie
i. Externe partijen
ii. Risicoanalyse
iii. Bewerkersovereenkomsten
iv. Wettelijke grondslagen/Doelbinding
v. Controlerapporten
vi. Contracten en Overeenkomsten

Submap
7. H7 Beheer van bedrijfsmiddelen
1. Beheer van bedrijfsmiddelen
i. Beleid en procedures
ii. Registratie bedrijfsmiddelen
iii. Regels gebruik bedrijfsmiddelen

2. Classificatie van informatie

i. Classificatierichtlijnen
ii. Procedure classificatie

Submap
8. H8 Personele beveiliging
1. Voorafgaand aan het dienstverband
i. Procedure
ii. Screening
iii. VOG
iv. Kennisname IB beleid

2. Tijdens het dienstverband

i. Directieverantwoordelijkheid, bevorderen belang
ii. Bewustwording, opleiding en training
iii. Disciplinaire maatregelen (sancties)

3. Beëindiging of wijziging van het dienstverband

i. Uit dienst procedure
ii. Intrekken toegangsrechten

Submap

39
 9. H9 Fysieke beveiliging en beveiliging van de omgeving
1. Beveiligde ruimten
i. Fysieke beveiliging
ii. Toegangsbeveiliging
iii. Verzekering
iv. Publiek toegankelijke ruimtes

2. Beveiliging van apparatuur

i. Bescherming apparatuur
ii. Nutsvoorzieningen
iii. Kabels
iv. Onderhoud apparatuur
v. Verwijderen of hergebruiken bedrijfseigendommen

Submap
10. H10 Beheer van Communicatie- en Bedieningsprocessen
1. Bedieningsprocedures en – verantwoordelijkheden
i. Bedieningsprocedures
ii. Wijzigingsbeheer
iii. Functiescheiding
iv. Gescheiden omgevingen
2. Exploitatie door een derde partij
i. Dienstverlening door een derde (SLA)
3. Systeemplanning en –acceptatie
i. Capaciteitsbeheer (rapportages/monitoring)
ii. Systeemacceptatie (testprocedure)
4. Bescherming tegen virussen en ‘mobile code’
i. Maatregelen/Monitoring antivirus en ‘mobile code’
5. Back-up
i. Back-up beleid
6. Beheer van netwerkbeveiliging
i. Maatregelen en monitoring beveiliging netwerken
7. Behandeling van media
i. Procedures en maatregelen informatie op dragers
ii. Procedures verwijderen van data en dragers
iii. Procedures behandeling van informatie
iv. Beveiliging systeemdocumentatie
8. Uitwisseling van informatie
i. Beleid en procedures
ii. Instructie medewerkers
iii. Overeenkomsten uitwisseling
iv. Transport fysieke media
v. Elektronische berichtenuitwisseling
vi. Procedures bedrijfsinformatie (KA)
9. Diensten voor e-commerce
i. Maatregelen online transacties
ii. Modificatie openbare informatie

40
 10. Controle
i. Logging systeemhandelingen
ii. Controle systeemgebruik
iii. Bescherming logbestanden

Submap
11. H11 Toegangsbeveiliging
1. Toegangsbeleid
i. Toegangsbeleid
2. Beheer van toegangsrechten van gebruikers
i. Procedure registratie gebruikers
ii. Beheer gebruikerswachtwoorden
iii. Beoordeling toegangsrechten gebruikers
3. Verantwoordelijkheden van gebruikers
i. Wachtwoord policy
ii. Onbeheerde gebruikersapparatuur
iii. Clear desk en clear screen beleid
4. Toegangsbeheersing voor netwerken
i. Netwerkdiensten
ii. Externe verbindingen
iii. Identificatie apparatuur
iv. Bescherming poorten
v. Scheiding van netwerken
vi. Beheersmaatregelen
5. Toegangsbeveiliging voor besturingssystemen
i. Inlogprocedure
ii. Gebruikersidentificatie en –authenticatie
iii. Wachtwoordbeheer
iv. Time-out van sessies
v. Beperking van verbindingstijd
6. Toegangsbeheersing voor toepassingen en informatie
i. Beperkingen op systemen met risicovolle informatie
7. Draagbare computer en telewerken
i. Beveiligingsmaatregelen
ii. Beleid of procedures telewerken

Submap
12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen
1. Beveiligingseisen voor informatiesystemen
i. Eisen aan nieuwe systemen
2. Correcte verwerking in toepassingen
i. Validatie van invoer (BRP)
ii. Beheersing interne gegevensverwerking
iii. Maatregelen integriteit berichten
iv. Validatie uitvoergegevens
3. Cryptografische beheersmaatregelen
i. Cryptografische beheermaatregelen

41
 ii. Sleutelbeheer
4. Beveiliging van systeembestanden
i. Beheersen wijzigen programmatuur
ii. Bescherming testdata
iii. Toegangscode voor broncode programmatuur
5. Beveiliging bij ontwikkelings- en ondersteuningsprocessen
i. Procedure wijzigingsbeheer
ii. Testen op besturingssystemen
iii. Scannen netwerkverkeer
iv. Optioneel: uitbesteding programmatuur
6. Beheer van technische kwetsbaarheden
i. Maatregelen technische kwetsbaarheden

Submap
13. H13 Beheer van Informatiebeveiligingsincidenten
1. Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
i. Procedure incidentmanagement
ii. Rapportages zwakke plekken IB
2. Beheer van informatiebeveiligingsincidenten en verbeteringen
i. Procedure incidentmanagement
ii. Leren van (PDCA-cyclus)

Submap
14. H14 Bedrijfscontinuïteitsbeheer
1. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
i. Calamiteitenplan of Bedrijfscontinuïteitsplan
ii. Risicobeoordeling (BIA)
iii. Beleid en richtlijnen
iv. Testen, onderhoud en herbeoordelen

Submap
15. H15 Naleving
1. Naleving van wettelijk voorschriften
i. Identificatie toepasselijke wetgeving
ii. Intellectuele eigendomsrechten (IPR)
iii. Bescherming documenten, gegevens en geheimhouding
2. Naleving van beveiligingsbeleid en –normen en technische naleving
i. Voortgangsrapportages en controles
ii. Controle op technische naleving
iii. TPM-verklaring (indien van toepassing)
3. Overwegingen bij audits van informatiesystemen
i. Planning audits en beheersmaatregelen
ii. Bescherming bij audits van informatiesystemen

Submap
16. Overige
1. …

42
Submap
17. Historie (oude documenten)
1. Versiebeheer (oude versies)
2. Prullenbak (voor terugzetten)

43
2500 GK DEN HAAG

T 070 373 80 08
F 070 363 56 82

INFO@KINGGEMEENTEN.NL
WWW.KINGGEMEENTEN.NL

44