Professional Documents
Culture Documents
(M.U.V. DIGID)
Datum 8 november 2017
Versie 3
2
INHOUDSOPGAVE
1 GEBRUIK VAN DEZE TOELICHTING ......................................................................................4
2 INLEIDING .....................................................................................................................................5
3 TOEGANG EN SAMENWERKING ............................................................................................. 6
3.1 TOEGANG VOOR MEDEGEBRUIKERS ............................................................................................. 6
3.2 GEBRUIK VAN EXCELLIJSTEN .......................................................................................................... 7
4 STRUCTUUR EN OPBOUW VRAGENLIJSTEN ......................................................................9
4.1 DE VRAGEN .................................................................................................................................... 9
4.2 MIJLPALEN ................................................................................................................................... 10
5 BEANTWOORDEN EN VERANTWOORDEN ...................................................................... 12
5.1 EXTERNE PARTNERS..................................................................................................................... 12
5.2 BEANTWOORDEN ........................................................................................................................ 12
5.3 COMPLY OR EXPLAIN ................................................................................................................... 12
5.4 SCOREN EN ENSIA ........................................................................................................................ 13
6 AUDIT .......................................................................................................................................... 15
7 EINDPRODUCTEN ENSIA ....................................................................................................... 16
7.1 MATE VAN DIEPGANG BIJ RAPPORTAGES ................................................................................... 16
8 VERSPREIDING VAN INFORMATIE UIT ENSIA ............................................................... 19
Bijlage 1 Overzicht bruikbare documenten ......................................................................... 27
BIJLAGE 2 Documentstructuur ............................................................................................... 32
3
1 GEBRUIK VAN DEZE TOELICHTING
Horizontaal verantwoording afleggen vraagt om de inzet van de gezamenlijk verantwoordelijken en
betrokkenen binnen (en voor een deel buiten) de gemeente: de coördinator kan het niet alleen. In
dit document wordt ingegaan op deze organisatie van de horizontale en verticale verantwoording
Over informatieveiligheid. Het document geeft inzicht in onderliggende structuur van de tooling,
vragenlijsten en de wijze van verantwoording naar de toezichthouders. Ook worden
aandachtspunten en tips gegeven hoe de verantwoording in samenhang beantwoord kan worden
met de interne (en externe) gemeentelijk betrokkenen. In deze toelichting wordt eveneens een
overzicht gegeven van de benodigde documenten en producten die de zelfevaluatie ondersteunen,
waaronder een overzicht van bruikbare documenten en een overzicht van een documentstructuur..
Overige hulpmiddelen
Naast deze algemene toelichting kunt u gebruikmaken van andere hulpmiddelen. Zoals:
4
2 INLEIDING
Doel
ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk
ingericht verantwoordingsstelsel voor informatieveiligheid, dat is gebaseerd op de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG).
ENSIA helpt gemeenten om in één keer slim verantwoording af te leggen over informatieveiligheid.
De verantwoordingssystematiek over de Basisregistratie Personen (BRP),
Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen
en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur
uitvoeringsorganisatie Werk en Inkomen (SUWInet) is samengevoegd en gestroomlijnd.
5
3 TOEGANG EN SAMENWERKING
De ENSIA-coördinatoren hebben voor 1 juli 2017 inloggegevens ontvangen om in te loggen op
ENSIA via www.ensia.nl. ENSIA onderscheidt twee soorten ‘toegangsrollen’:
• Coördinator ENSIA: is verantwoordelijk voor het intern organiseren van ENSIA. Dat
betekent het tijdig uitzetten en inleveren van de vragenlijsten, het generen van
rapportages en het uploaden van verantwoordingsdocumenten. Ook is de coördinator de
beheerder van de gebruikers in de tool.
• Gebruiker: helpt de coördinator bij het invullen van de vragenlijsten en het verzamelen van
gegevens. De coördinator ENSIA wijst gebruikers aan en geeft toegang tot de tool.
Toegang verlenen aan interne (domein) specialisten ligt voor de hand. Gemeenten die participeren
in samenwerkingsverbanden, of taken uitbesteden aan één of meerdere samenwerkingsverbanden,
maken zelf afspraken over de manier waarop een samenwerkingsverband antwoorden geeft op de
ENSIA-vragenlijst. De coördinator kan ook medewerkers van andere organisaties toegang verlenen
tot de tool, bijvoorbeeld medewerkers van een ICT-ondersteuningsorganisatie of een ISD. Naast de
toegangsrollen zijn er excellijsten beschikbaar vanuit ENSIA waarmee de beantwoording van de
vragen eveneens gefaciliteerd kan worden. De opties worden hieronder toegelicht.
Praktische tip:
Bespreek de wijze waarop wordt omgegaan met vulling van de ENSIA
tool bij de kick-off bijeenkomst, monitor dit gedurende het project en
agendeer dit bij projectbesprekingen.
6
3.2 GEBRUIK VAN EXCELLIJSTEN
In de ENSIA-tool zijn verschillende mogelijkheden om Excel lijsten uit te draaien.
Een totaal overzicht van alle vragen (inclusief de subvragen) zijn beschikbaar van de BIG-brede
zelfevaluatie, alsook voor de DigiD-zelfevaluatie.
Voor een overzicht van de gegeven antwoorden in de tool en beschrijvingen in het veld ‘opmerking’
is voor elke vragenlijst een export van een compacte versie en een export van een uitgebreide
versie beschikbaar.
Praktische tip:
Samenwerkingsverband? Stem met gemeentelijke ENSIA-
coördinatoren af welke vragen van toepassing zijn voor
dienstverlening die is belegd bij het betreffende
samenwerkingsverband. Zij zullen elke gemeente voorzien van
informatie. Dit kan ook middels een TPM.
7
3.2.2. Importeren in ISMS-systeem
De totale vragenlijsten ‘Vragenlijst informatiebeveiliging BIG’ en de ‘Vragenlijst zelfevaluatie DigiD
assessment’ zijn de vragenlijsten die het meest geschikt zijn om te importeren in een ISMS-
systeem. Het is op dit moment helaas niet mogelijk om de beantwoording die opgesteld wordt in
het ISMS te importeren in ENSIA, dit dient handmatig te gebeuren.
De opmerkingen voor de RE-auditor kunnen in de ENSIA-tool aangegeven worden. Deze zijn niet
met ‘één druk op de knop’ te filteren. Een oplossing is om in de volledige excellijst BIG
zelfevaluatie de vragen te filteren die betrekking hebben op de audit (m.b.t. SUWInet). Vervolgens
kun je aan de hand van de gefilterde vraagnummers de selectie van antwoorden voor de RE-
auditor uit de compacte of de uitgebreide lijst selecteren.
8
4 STRUCTUUR EN OPBOUW VRAGENLIJSTEN
In dit hoofdstuk wordt ingegaan op de onderliggende structuur en opbouw van de verschillende
vragenlijsten BIG en DigiD. Hierbij wordt een toelichting gegeven op de mijlpaaldata 1 oktober en
31 december 2017.
In de ENSIA-tool staan in de middenkolom ‘In te vullen gegevens’ alle vragen gerubriceerd per
categorie. Deze zijn gebaseerd op de hoofdstukken uit de Baseline Informatieveiligheid
Nederlandse Gemeenten (BIG). Door op de blauwe ‘links’ te drukken ontvouwen zich de vragen.
Per rubriek wordt bijgehouden welk percentage is ingevuld.
In de linkerkolom zijn ‘links’ opgenomen die direct navigeren naar de vragensets van specifieke
stelsels als afdelingen. Toewijzing van de vragen kan per BIG-hoofdstuk via de beheermodule van
de ENSIA-coördinator aan verantwoordelijke functionarissen. Let wel: een selectie in het
linkermenu sluit niet uit dat de vraag betrekking heeft op meerdere stelsels en/of specialisaties.
Bij het aanklikken van een vraag ontvouwt ook het veld ‘toelichting’. In de toelichting staan de
normen uit de BIG genoemd en is een verwijzing naar de verschillende normenkaders opgenomen.
Hiernaast is het mogelijk om bij de toelichting een opmerking te plaatsen.
Via de optie 'Kies een andere lijst’ komt u in het keuzemenu voor het invullen van de
zelfevaluatie BIG of DigiD en de opties om de verantwoording DigiD en verantwoording Suwinet
2017 te uploaden.
4.1 DE VRAGEN
Alle BIG-normen zijn opgenomen in ENSIA en in 261 vragen gevat. De formulering van een control
in de BIG is soms breed en omvat meerdere vragen. Voor ENSIA zijn vragen enkelvoudig
geformuleerd en wordt een hoofdvraag waar nodig aangevuld met subvragen. Er is een scheiding
aangebracht in de verantwoording op basis van de BIG en de DigiD-verantwoording (per
aansluiting). De ENSIA-vragenlijst heeft betrekking op de opzet en het bestaan van normen en
maatregelen. Er worden geen vragen gesteld over de werking van procedures en maatregelen. De
werking zal op termijn wel in worden geplaatst. Voor het taalgebruik bij de vraagstelling is
aangesloten bij de vraagstelling zoals deze in de BIG wordt gebruikt.
4.1.2. BRP/PUN
Per 1 oktober 2017 is de nieuwe Paspoortuitvoeringsregeling van kracht gegaan. Voor 2017 gold
nog dat de 86 informatiebeveiligingsvragen voor 1 oktober beantwoord dienden te worden. Alle
9
gemeenten hebben deze vragen via ENSIA tijdig beantwoord. In 2017 is de selectie van de 86
ENSIA-antwoorden automatisch doorgezet naar het ministerie van BZK. De uitkomsten van de
vragen over informatieveiligheid ENSIA zijn door RvIG in de Kwaliteitsmonitor samengevoegd,
zodat een compleet beeld geschetst wordt van de beveiliging en de processen in de
managementrapportages en uittreksels. Voor 2018 geldt voor alle domeinen in het ENSIA-
verantwoordingsstelsel de inleverdatum van 31 december.
4.1.3. BAG/BGT
Voor de verantwoording BAG/BGT zijn in de BIG zelfevaluatie drie vragen opgenomen. De vragen
die opgenomen zijn hebben betrekking op informatiebeveiliging en worden gedeeld met meerdere
domeinen. De drie vragen in ENSIA dienen ‘gemeente breed’ ofwel horizontaal beantwoord te
worden. De vragen die (ook) betrekking hebben op de BAG/BGT zijn een relatief lichte toetsing. De
vragen hebben geen betrekking op personen en gaan gaan over back-up en continuïteitsplannen
(uitwijk).
Per 2 oktober zijn twee domeinspecifieke vragenlijsten (voor BAG en voor BGT) opgenomen. De
domeinspecifieke vragenlijsten zijn opgesteld door gemeenten in samenwerking met het ministerie
van I&M en VNG. Zie ook:
https://www.basisregistratiesienm.nl/actueel/nieuws/2017/07/24/gemeenten-en-ienm-eens-over-
vragenlijst-ensia-bag. I&M heeft BAG medewerkers gemaild om hen over de vragenlijst en
bijbehorende documentatie te informeren. De zelfevaluatie BAG/BGT in ENSIA vervangt de
inspectie. De vragelijst kent voor 2017 geen verplichting. De antwoorden kunnen gebruikt worden
voor de horizontale verantwoording. Maakt u gebruik van de zelfevaluatie, rond deze dan ook af
voor 31 december 2017.
4.1.4. DigiD
Voor de beantwoording van de DigiD-vragen is een separate handreiking beschikbaar. Deze kunt u
vinden op de website kinggemeenten.nl/ENSIA.
4.2 MIJLPALEN
Met betrekking tot de doorlooptijd voor beantwoording van de vragen zijn twee mijlpalen
belangrijk: 1 oktober en 31 december 2017.
Gemeenten zijn verplicht om alle vragen in te vullen en uiterlijk 31 december 2017 in te leveren
met ENSIA. Hierna volgt het verantwoordingsproces om uiterlijk 1 mei 2018 alle gegevens te
uploaden naar de horizontale toezichthouders, waarna uiterlijk 1 juli 2018 het jaarverslag van de
10
gemeente (inclusief de paragraaf over informatieveiligheid) wordt verzonden naar het Ministerie
van BZK.
11
5 BEANTWOORDEN EN VERANTWOORDEN
ENSIA geeft vanuit de horizontale verantwoording een beeld van de status rondom
informatiebeveiliging. In ENSIA zijn, met als grondlaag de BIG, de stelsels van BRP, PUN, BAG,
BGT, en SUWInet opgenomen. Ook voedt ENSIA de twee verticale en wettelijk verplichte
verantwoordingen: Suwinet en DigiD. In dit hoofdstuk worden handreikingen gegeven die
ondersteunen bij het inhoudelijk en organisatorisch proces van de beantwoording van de vragen.
En vanuit de antwoorden op de vragen uit ENSIA vervolgens de verantwoording te organiseren.
5.2 BEANTWOORDEN
Afgelopen jaren zijn dezelfde vragen vanuit verschillende invalshoeken c.q. domeinen ingevuld
voor de verantwoording op de verschillende stelsels. Door harmonisatie van het normenkader zijn
nu normen op meerdere stelsels van toepassing. Dit betekent dat alle afdelingen en/of
samenwerkingspartners moeten voldoen aan de normen, procedures en maatregelen van de BIG.
Aan de hand van ENSIA wordt dit gemeentebreed getoetst. Door de normen, procedures en het
toepassen van maatregelen onderling te bespreken, vast te leggen en te verantwoorden, wordt
invulling gegeven aan een gemeentebrede en horizontale wijze van verantwoorden.
In de praktijk kan dit betekenen dat een norm in het ene domein anders is uitgewerkt dan in het
andere domein. Het is aan de gemeente om in onderling overleg te bepalen wat het
gemeenschappelijke antwoord is. De online leeromgeving biedt met de ‘praktijkopdracht continu
verbeteren’ een handreiking voor de aanpak. De ENSIA-coördinatoren hebben hiervoor
inloggegevens ontvangen.
In ENSIA wordt uitgegaan vanuit het principe ‘comply or explain’ bij de onderbouwing van de
antwoorden. Dit wil zeggen dat in principe aan het uitgangspunt wordt voldaan. Indien de
gemeente niet aan het uitgangspunt voldoet, dan geeft de gemeente toelichting waarom een
12
procedure of maatregel niet wordt gevolgd en op welke wijze de gemeente wel invulling geeft aan
de betreffende norm of vereiste.
Het op een gestructureerde wijze van verzamelen, ordenen en archiveren van documenten is
relevant voor :
1. De beschikbaarheid van documentatie voor eigen oordeelsvorming.
2. Het (efficiënt) kunnen beantwoorden van aanvullende vragen vanuit eigen organisatie.
3. De ondersteuning van het auditproces voor verkrijgen van assurance op de
collegeverklaring
13
aanvullen. Hierna laat u deze rapporten vaststellen door het college van B&W. Hierna wordt deze
aangeboden aan de gemeenteraad. De vastgestelde verantwoordingsrapportage kunt u vervolgens
uiterlijk 1 mei 2018 in ENSIA uploaden voor de verantwoording aan I&M. Voor 2017 betreft dit nog
geen verplichting. Heeft u inhoudelijke vragen over puntentellingen, het proces van
verantwoording en de vragenlijsten, dan kunt u contact opnemen met: baginspecties@minienm.nl
of Alex van de Ven onder 06 270 206 17 12.
14
6 AUDIT
Met de invoering van ENSIA is het mogelijk om op één moment (31 december van elk jaar) een
gemeente breed (horizontaal) beeld over haar informatiebeveiliging op te stellen. Dit betreft een
zelfevaluatie. Met de paragraaf informatieveiligheid legt het college van B&W aan haar eigen
controlerend orgaan, de gemeenteraad, verantwoording af over informatieveiligheid. De
collegeverklaring wordt gebruikt ter ondersteuning van de verticale verantwoording. Het object van
onderzoek is daarmee niet langer het normenkader van DigiD (noch SUWInet), maar de
collegeverklaring (die betrekking heeft op informatieveiligheid voor Suwinet (selectie vragen) en
DigiD). De rol van de auditor is nu om vast te stellen of deze collegeverklaring een
waarheidsgetrouw beeld geeft (verlenen van assurance). De diepgang van de audit wordt door de
auditer bepaald aan hand van een risicoanalyse op de opgestelde collegeverklaring. De auditor
bepaalt op basis van een risico analyse welke werkzaamheden nodig zijn om tot zijn oordeel te
komen en assurance (bevestigen dat iets waar is) te verlenen. Er is geen sprake (meer) van directe
auditing op DigiD.
In de formats die beschikbaar zijn, is deze lijn van verantwoording duidelijk terug te vinden. In de
collegeverklaring verklaart het college van B&W of de gemeente op 31 december 2017 in opzet
(inrichting en beschrijving) en bestaan (implementatie) te voldoen aan de beheersingsmaatregelen
die nodig zijn voor de informatieveiligheid (in 2017 over Suwinet en DigiD).
15
7 EINDPRODUCTEN ENSIA
Het project ENSIA heeft na afronding minimaal de volgende producten opgeleverd binnen de
gemeente:
In het format ‘plan van aanpak’ is een meer gedetailleerde opsomming van projectactiviteiten en
producten per fase opgenomen.
Het is vanzelfsprekend dat voor de verschillende niveaus van verslaglegging kritisch gekeken wordt
wie toegang heeft tot de informatie over de (informatie)beveiliging. De zelfevaluatie en de op te
stellen rapportage heeft de meeste diepgang en detail. Naarmate de informatie een meer openbaar
karakter krijgt zal de mate van inzicht in de informatiebeveiliging en op welke wijze deze
georganiseerd is, minder expliciet beschreven zijn. Er is een FAQ beschikbaar in welke mate de
gemeente ook in het kader van de WOB geacht wordt informatie vrij te geven.
Paragraaf Informatiebeveiliging
In de paragraaf informatiebeveiliging wordt verslaglegging gedaan van het kwalitatieve niveau van
informatiebeveiliging. De paragraaf informatiebeveiliging maakt onderdeel uit van bedrijfsvoering
en wordt verantwoord aan de gemeenteraad. Op deze wijze komt de horizontale verantwoording
tot stand omdat de gemeenteraad in staat wordt gesteld om te sturen op het kwaliteitsniveau van
de informatieveiligheid.
16
Aanvullende rapportage informatieveiligheid
De gemeente kan kiezen om een separate rapportage op het gebied van informatiebeveiliging op
te stellen en op deze wijze de raad, aanvullend op de paragraaf bedrijfsvoering in het jaarverslag,
te informeren. In deze rapportage is er meer ruimte voor onderbouwing, nuances of uitwerking.
Deze transparantie stelt de gemeenteraad in staat om gerichter te sturen op het niveau van
informatiebeveiliging en/of de benodigde maatregelen.
Ook houdt een separate rapportage het vraagstuk informatiebeveiliging buiten de financiële
verantwoording van de jaarrekening.
Jaarplan(nen)
De ENSIA-vragenlijst wordt ieder jaar door de gemeente ingevuld. Hieruit valt op te maken wat de
status is van het beveiligingsniveau van de gemeente. Aan de hand van de uitkomsten kan een
gemeente een jaarplan opstellen voor de verbetering van het beveiligingsniveau voor het komende
jaar. Hierdoor zijn gemeenten in staat om te werken aan een continu proces van verbeteringen op
het gebied van informatieveiligheid (PDCA cyclus).
Het verdient aanbeveling om dit niet te beperken tot de CISO of de aan informatieveiligheid
gerelateerde functionarissen. Een werkgroep informatiebeveiliging, waaraan ook proces- en/of
domeineigenaren deelnemen, verdient de voorkeur. Hierdoor wordt informatieveiligheid een
integraal en gedragen thema binnen de gemeente.
Collegeverklaring
In de Collegeverklaring verklaart het college van B&W aan de gemeenteraad dat de gemeente
voldoet, en in welke mate, aan de normen en maatregelen van de BIG betrekking hebbende op de
antwoorden uit ENSIA voor bestaande DigiD aansluitingen en de IT audit gerelateerde SUWI
vragen.
Assurancerapport
In het Assurancerapport verklaart een auditor dat de desbetreffende gemeente de vragen uit
ENSIA naar eer en geweten heeft ingevuld. En dat de collegeverklaring een betrouwbaar beeld
geeft van de werkelijkheid voor wat betreft de antwoorden op de DigiD vragen en de IT audit
gerelateerde SUWInet vragen uit ENSIA.
Rapportages DigiD
Na inleveren van de DigiD zelfevaluatie kunt u de DigiD rapportage met bijlage B (object van
onderzoek) en bijlage C (totaaloverzicht van de getoetste normen) downladen en aanvullen. Hierna
kunt u deze uploaden met de Collegeverklaring, de assuranceverklaring en de afgegeven TPM’s van
uw leverancier(s).
17
opgenomen in de rapportages. De (dit jaar 3) vragen over informatieveiligheid worden niet
opgenomen in deze te genereren rapportage. Deze formats kunt u aanvullen en laten vaststellen.
De vastgestelde rapportage kunt u voor 1 mei voor I&M uploaden via ENSIA.
In het onderstaande overzicht zijn de benodigde documenten opgenomen die u upload voor de
verticale verantwoording:
18
8 VERSPREIDING VAN INFORMATIE UIT ENSIA
Na het het inleveren van de antwoorden op de vragenlijsten (middels de button ‘inleveren’ in
ENSIA op 31 december), wordt de informatie automatisch naar de betreffende toezichthouders
gestuurd. De toezichthouder krijgen alleen de antwoorden op de vragen (ruwe data) die voor
hem/haar van toepassing is. Met het uploaden van de benodigde documenten (waaronder
collegeverklaring en assurance rapport) voor 1 mei 2018 is de verantwoording voor de verticale
toezichthouders compleet.
In onderstaande tabel wordt het volgende overzicht gegeven:
- Wie is toezichthouder?
- Wat krijgt de toezichthouder?
- Wat is het inlevermoment?
- Op welk moment krijgt de toezichthouder dit?
- Hoe lever je in?
- Hoe wordt de stelselhouder geïnformeerd?
- Welke acties moet de stelselhouder uitvoeren?
19
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
BRP - Ruwe data Vóór 1 okt Inleveren Na inlevering wordt de Na inleveren De gegevens van
vragenlijst via ruwe data rapportage geconsolideerde vragenlijst gemeenten die op of na
tooling klaargezet door ICTU vóór of op 30 september 1 oktober worden
en TOTTA. Dan volgt 24.00 uur staat de ruwe aangeleverd aanleveren
actieve attendering data rapportage klaar op 1 worden niet meer
richting de oktober. (Ivm geupload richting RvIG.
toezichthouder. zondagdatum is dit in 2017
op 2 oktober). Vanaf dit
moment staat de info
permanent ter beschikking
van RvIG en kan er op
geacteerd worden.
Na 1 oktober kan de
vragenlijst weer open
worden gesteld voor
horizontale verantwoording
per 31 december.
PUN - Ruwe data Vóór 1 okt Inleveren Na inlevering wordt de Na inleveren De gegevens van
vragenlijst via ruwe data rapportage geconsolideerde vragenlijst gemeenten die op of na
tooling klaargezet door ICTU vóór of op 30 september 1 oktober worden
en TOTTA. Dan volgt 24.00 uur staat de ruwe aangeleverd aanleveren
actieve attendering data rapportage klaar op 1 worden niet meer
richting de oktober. (Ivm geupload richting RvIG.
toezichthouder. zondagdatum is dit in 2017
op 2 oktober). Vanaf dit
moment staat de info
permanent ter beschikking
van RvIG en kan er op
geacteerd worden.
Na 1 oktober kan de
vragenlijst weer open
worden gesteld voor
horizontale verantwoording
per 31 december.
20
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
DigiD - Assurance rapport - Inleveren Inleveren Actieve attendering Inleveren geconsolideerde Logius wil de informatie
- Collegeverklaring vragenlijst Collegeverklaring, vindt plaats na vragenlijst vóór of op 31 betreffende Digid in één
- Bijlage bij de DigID Assurance rapport, éénmalig inleveren december 24.00 uur. keer ontvangen, het is
Collegeverklaring voor Assessment en Bijlage bij de volledige pakket: niet zinvol om eerder
DigiD (ingevulde formats TPM's vóór of Collegeverklaring - Collegeverklaring Deze vragenlijst vormt bestanden te uploaden
Bijlage B + C) op 31 voor DigiD (Bijlage - Assurancerapport input voor: dan op het moment dat
- TPM's december B + C), TPM's - Bijlage bij de - Inleveren getekende alle documenten
- Inleveren (uploaden collegeverklaring voor Collegeverklaring, Bijlage compleet zijn.
totale pakket documenten via de DigiD (Bijlage B+C) bij de collegeverklaring - Logius heeft
inclusief tooling) - TPM's voor DigiD (Bijlage B+C), aangegeven dat
Assurance Assurancerapport en TPM's gemeenten de
rapport tussen in de periode ingaand op 1 bevestigingsmail van het
1 januari en 1 januari en eindigend vóór inleveren van de
mei of op 30 april 24.00 uur. documentatie goed
Vanaf dat moment staat de moeten bewaren
info permanent ter (bewijs).
beschikking van Logius en
kan er op geacteerd
worden.
Suwi- - Ruwe data (vragen en Tussen 1 Inleveren Actieve attendering op Na inleveren van de SZW gaat ervan uit dat
net antwoorden januari en 1 vragenlijst via moment ruwe data vragenlijst vóór of op 31 de zelfevaluatie conform
zelfevaluatie) mei tooling rapportage gereed december 24.00 uur kan het afgesproken tijdpad
vervolgens haalt BKWI de ruwe dataexport per 31 december is
BKWI dataexport op ophalen. ingevuld om in jan-april
via tooling de Collegeverklaring op
te stellen en de IT-audit
uit te voeren.
BKWI wil de informatie
betreffende Suwinet in
één keer ontvangen.
(tegelijk met
Assurancerapport,
Collegeverklaring en
Bijlage Suwi bij de
Collegeverklaring).
21
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
Suwi- - Assurancerapport Tussen 1 Inleveren Actieve attendering Na inleveren van het BKWI wil de informatie
net - Collegeverklaring januari en 1 Assurancerapport, vindt plaats na getekende betreffende Suwinet in
- Bijlage Suwi bij de mei Collegeverklaring éénmalig inleveren Assurancerapport én de één keer ontvangen, het
Collegeverklaring en Bijlage Suwi bij volledige pakket: Collegeverklaring en de is niet zinvol om eerder
de - Assurancerapport Bijlage Suwi bij de bestanden te uploaden
Collegeverklaring - Collegeverklaring Collegeverklaring in de dan op het moment dat
via tooling - Bijlage Suwi bij de periode ingaand op 1 alle documenten
(uploaden Collegeverklaring januari en eindigend vóór compleet zijn.
documenten) of op 30 april 24.00 uur
staat de info permanent ter
beschikking van BKWI en
kan er op geacteerd worden
22
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
BAG - Ruwe data Uiterlijk op 31 Inleveren Actieve attendering op Na inleveren IenM zal nog met ICTU
domeinspecifieke vragen december vragenlijst via moment ruwe data geconsolideerde vragenlijst afstemmen op welke
(vragen en antwoorden tooling rapportage ingeleverd vóór of op 31 december wijze de ruwe data
zelfevaluatie) 24.00 uur staat de ruwe (vragen en antwoorden)
data rapportage ter het beste kunnen
beschikking van IenM. (Ivm worden aangeleverd.
zondagdatum is dit in 2018
uiterlijk op 2 januari).
BAG - Bestuursrapportage Tussen 1 Inleveren Actieve attendering op Na inleveren De BAG
BAG januari en 1 rapportage inzake moment van inleveren bestuursrapportage in de bestuursrapportage is
mei BAG inclusief van de periode ingaand 1 januari gebaseerd op de
uitdraai BAG vragen Bestuursrapportage en eindigend vóór of op 30 domeinspecifieke
en antwoorden als BAG april 24.00 uur staat de info vragenlijst. De BAG
bijlage bij de permanent ter beschikking vragen en antwoorden
Bestuursrapportage van IenM en kan er op worden als bijlage bij de
BAG via tooling geacteerd worden. bestuursrapportage
(uploaden toegevoegd.
document)
Wanneer de vragenlijst
compleet ingevuld is
geüpload naar de
centrale ENSIA-
database, stelt het
systeem een concept-
bestuursrapportage aan
de gemeente
beschikbaar. De
rapportage dient te
worden aangevuld met
bestuurlijke
verantwoordingsgegeve
ns van het college van
B&W. Nadat het college
de
verantwoordingsrapport
age heeft vastgesteld,
23
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
legt het deze voor aan
de gemeenteraad. De
verantwoordingsrapport
age dient uiterlijk 1 mei
2018 geüpload te
worden naar de centrale
ENSIA-database voor de
verticale verantwoording
naar de toezichthouder
IenM (de minister van
IenM).
24
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
BGT - Ruwe data Uiterlijk op 31 Inleveren Actieve attendering op Na inleveren IenM zal nog met ICTU
domeinspecifieke vragen december vragenlijst via moment inleveren / geconsolideerde vragenlijst afstemmen op welke
tooling definitief maken vóór of op 31 december wijze de ruwe data
vragenlijst 24.00 uur staat de ruwe (vragen en antwoorden)
data rapportage ter het beste kunnen
beschikking van IenM. (Ivm worden aangeleverd.
zondagdatum is dit in 2018
uiterlijk op 2 januari).
Wanneer de vragenlijst
compleet ingevuld is en
geüpload naar de
centrale ENSIA-
database, stelt het
systeem een concept-
bestuursrapportage aan
de gemeente danwel
niet-gemeentelijke
bronhouder beschikbaar.
De rapportage dient te
worden aangevuld met
bestuurlijke
verantwoordingsgegeve
ns van het college van
B&W, of in geval van
niet-gemeentelijke
25
Wat Inlevermoment Hoe inleveren Informeren Actie stelselhouder Opmerking
stelselhouder
bronhouders het
dagelijks bestuur. Nadat
het college de
bestuursrapportage
heeft vastgesteld legt
het deze voor aan de
gemeenteraad. [Bij de
niet-gemeentelijke
bronhouder legt het
dagelijks bestuur de
bestuursrapportage voor
aan het algemeen
bestuur- n.v.t. voor
gemeenten]. De
bestuursrapportage
dient uiterlijk 1 mei
2018 geüpload te
worden naar de centrale
ENSIA-database voor de
verticale verantwoording
naar de toezichthouder
IenM (de minister van
IenM).
26
Bijlage 1 Overzicht bruikbare documenten
In deze bijlage is een overzicht op genomen van alle documentatie die bruikbaar is of kan zijn bij
het invullen van de vragenlijst. Het gaat hierbij om documenten die de gemeenten zelf heeft
ontwikkeld. De gebruikte titels van de documenten kunnen dus afwijken van de titels die de
gemeente zelf heeft gebruikt.
Vraag nr Documentnaam
i800.79687 Een informatiebeveiligingsplan (implementatieplan) met daarin de korte en lange termijn
doelen en planningen voor het implementeren van de (ontbrekende)
informatiebeveiligingsmaatregelen.
i800.79687 Verslagen van vergaderingen waarin de planning aan de orde gekomen is.
i800.79690 Een spreadsheet met maatregelen, hun statussen, de verantwoordelijken voor de
maatregelen, de verwachte planning van implementatie, managementbesluiten over
planning of comply.
i800.96507/ Bewijs van de afspraken over informatiebeveiliging al dan niet in relatie tot
i800.79775/ samenwerkingsverbanden en of leveranciers, bijvoorbeeld de instellingsbeschikking in de
i800.79657/ vorm een ICV (In Control Verklaring) of een TPM (of SAS, SAE verklaring).
i800.79658/
i800.79659
i800.79691/ Een actueel informatiebeveiligingsbeleid, bij voorkeur jonger dan drie jaar. Bij voorkeur is
i800.79700 gebruikgemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen
invulling/aanvulling op de lokale situatie.
27
Vraag nr Documentnaam
i800.79648/ Auditverslagen en (gespreks-)verslagen van de beoordeling van het
i800.80101/ informatiebeveiligingsbeleid, controleverslagen, selfassessmentrapporten, auditverslagen,
i800.80103/ controleplan.
i800.80105
i800.79774 Stukken van raadsvergaderingen waar informatiebeveiliging op de agenda staat.
i800.79651/ Benodigde documentatiebehandelplan, classificatieverslagen, registratie van
i800.79829/ gegevensverzamelingen, markeringen op kopieën en ingevulde dataclassificatie verslagen.
i800.79956
i800.79652 Inkoopdossiers / inkoopcontracten.
i800.79653 Per uitbesteding waarbij persoonsgegevens worden verwerkt een bewerkersovereenkomst.
i800.79655 PIA's
i800.79656 Incidentregistratie, relevante passages in bewerkersovereenkomsten en
leveringsovereenkomsten, SLA's, voor alle uitbesteedde processen/systemen.
I800.79660/ Contract, SLA, bewerkersovereenkomst, verslagen met gesprekken met leveranciers,
i800.79662/ overeenkomst informatie-uitwisseling in relatie tot samenwerking met derden.
i800.79663/
i800.79664/
i800.79665/
i800.79666/
i800.79667/
i800.79796/
i800.79803/
i800.79820/
i800.79841/
i800.79952
i800.79702/ Een gevulde CMDB (configuratie management database), procedure controle systeem en
i800.80090 ICT-gebruik gericht op compliancy.
i800.79705 Jaarplannen en begrotingen en gebruikersautorisatiebeheer waaruit lijnverantwoordelijkheid
over informatie- en ICT-middelen blijkt.
i800.79708 Huisregels en regels gebruik IT-voorzieningen, inclusief telewerkbeleid indien toegestaan.
i800.79710 Verslagen van classificatie onderzoeken/analyses.
i800.79714 Verwerkingsprocedures voor beveiligd verwerken, opslag, transmissie, declassificatie en
vernietiging. Overeenkomsten met derde partijen waarin wordt uitgelegd hoe
classificatielabels moeten worden uitgelegd.
i800.79721 Actuele personeelsdossiers, VOG's aanwezig in dossiers.
i800.79726 Algemene voorwaarden of huisregels bij indiensttreding, ondertekend in P-dossier.
i800.79728 Controlevragen aan personeel, verslagen van functioneringsgesprekken en
werkbesprekingen.
i800.79731 Format / planning POP-gesprek, inkoop training bewustwording (informatiebeveiliging een
terugkerend onderwerp in gesprekken met personeel)
i800.79736 Er is disciplinair beleid en een proces beschreven dat recht doet aan het onderwerp, conform
CAR/UWO.
i800.79738 Procedure wijzigen/beëindigen dienstverband.
i800.79740 (Fysiek) toegangsbeveiligingsbeleid.
28
Vraag nr Documentnaam
i800.79743 Bezoekersverslagen, autorisatiematrixen, toegangscontrolelogging van pasjes en andere
middelen en verslagen van de controle daarop met betrekking tot fysieke
toegangsbeveiliging.
i800.79745/ Ontwerpen van kantoren, ruimten en faciliteiten met betrekking tot fysieke beveiliging van
i800.79754 gebouwen inclusief procedures.
i800.79748 Verzekeringsbeleid waarin maatregelen staan, ontwerpen van gebouwen en ruimtes waarin
deze maatregelen uitgewerkt zijn.
i800.79751 Voorschriften voor het werken in beveiligde ruimten.
i800.79756 Vastlegging van fysieke controle van apparatuur en controle of in de bouw en
plaatsingsvoorschriften gebruikgemaakt is van geldende standaarden.
i800.79759 Procedures en maatregelen stroomuitval (noodstroom, UPS, aggregaten), jaarlijkse
testverslagen.
i800.79761 Specificaties van gebouwbekabelingen, gedocumenteerde patchlijst.
i800.79763 Onderhoudscontracten, onderhoudsvoorschriften van IT-apparatuur.
i800.79765/ Thuiswerkbeleid, telewerkbeleid, inrichting werkplek/mobiele devices, encryptiebeleid,
i800.79964 gedragscodes.
i800.79767 Procedure veilig verwijderen van gevoelige bedrijfsinformatie.
i800.79769 Procedure omgang ICT-middelen.
i800.79780/ Bedieningsprocedures systeembeheer, netwerkbeheer, applicatiebeheer, opstart
i800.80080 handleidingen, afsluit handleidingen, back-up en restore procedures,
gebruikershandleidingen.
i800.79783/ Beheerprocedures voor hardenen van infrastructuur en servers, configuratie verslagen van
i800.80047 servers en platformen.
i800.79785/ Procedure wijzigingsbeheer, verslagen wijzigingsbeheer vergaderingen inclusief
i800.80046/ besturingssystemen.
i800.80054/
i800.80056/
i800.80060
i800.79789 Beleidsnotitie, functiebeschrijvingen van de in de vraag genoemde functies/rollen.
i800.79793 Organisatiebeschrijving, bedieningsprocedures, ICT-landschap met betrekking tot
applicatieontwikkeling.
i800.79805 Informatieplan en capaciteitsplan.
i800.79807 Architectuurprincipes, bij systemen moet een testdossier aanwezig zijn (testplannen,
testverslagen, acceptatieverslagen).
i800.79809/ Antivirusbeleid en procedures.
i800.79837
i800.79811 Systeembeheer documentatie, beleid, testverslagen.
i800.79813 Back-upprocedures, back-upverslagen.
i800.79816/ Netwerkbeveiligingsplan, netwerkplan, beleid, controleverslagen, ingericht proces
i800.79818 netwerkbeheer, rapportages.
i800.79822/ Procedure gebruik, beheer en afvoer van verwijderbare media, zoals harddisks, mobiele
i800.79825/ devices, usb-sticks, cd-roms inclusief procedure voor veilig verwijderen van informatie en
i800.79845 procedure omgang gevoelige media.
29
Vraag nr Documentnaam
i800.79833/ Beheer procedures voor systeemdocumentatie, beheerprocedures webservers en
i800.79860/ inrichtingsdocumentatie, procedure controle systeemklokken.
i800.79871/
i800.79972
i800.79847 Procedure/aanwijzing/protocol uitwisseling van vertrouwelijke informatie.
i800.79850 Beleid en procedures voor koppeling van bedrijfssystemen.
i800.79857/ Cryptografiebeleid en -procedures, netwerkplan, infrastructuurplan, cryptografie en
i800.79907/ sleutelbeheerplan, netwerkbeheerbeleid en netwerkbeheerplan
i800.79909/
i800.79915/
i800.80016/
i800.80024/
i800.80098
i800.79862/ Loggingprocedure met aandacht voor bescherming en autorisatie op logging.
i800.79952
i800.79865 Vastlegging van handelingen die niet in het systeem gelogd worden, bijvoorbeeld e-mails,
verslagen van vergaderingen, wijzigingsvoorstellen.
i800.79868 Controleverslagen van de controle van het gebruik van belangrijke
persoonsgegevensverzamelingen.
i800.79877/ Toegangsbeleid, notulen waarin toegangsbeleid is goedgekeurd door management, flyers,
i800.79913/ nieuwsbrieven of e-mails waaruit blijkt dat de gebruikers op de hoogte zijn van de
i800.79954 goedgekeurde toegangsbeleid, informatie waarin is beoordeeld dat de bedrijfseisen en
beveiligingseisen voor toegang zijn meegenomen in het beleid, ook voor gebruikers in een
gemeenschappelijk netwerk.
i800.79882 Procedurebeschrijvingen die beschikbaar zijn voor registreren en afmelden van gebruikers
voor enkele informatiesystemen of -diensten, procedurebeschrijving voor de registratie van
gebruikers en beheerders, informatie waaruit blijkt dat de organisatie gebruiker-ID’s
conform de procedures heeft toegekend.
i800.79885 Beleid of procesbeschrijving voor het beheer van speciale bevoegdheden, functie- of
rolbeschrijvingen van de beheerders van speciale bevoegdheden.
i800.79888/ Procedurebeschrijving van de beheerste wachtwoordtoewijzing, informatie waaruit blijkt dat
i800.79890 de organisatie conform het beleid heeft uitgevoerd, verslagen van de controle op de
toegangsrechten per proceseigenaar/systeemeigenaar met een focus op basisregistraties,
Suwinet en DigiD.
i800.79893/ Gespreksverslag beheerder, brief of mail met uitleg gewenst gebruik.
i800.79894
i800.79896/ Huisregels veilig gebruik van computers en mobiele apparatuur, beleid waarin aandacht is
i800.79959 voor het gebruik van mobiele apparatuur, een ingericht en beheerd mobiel device
management systeem, gebruikersvoorwaarden mobiele systemen.
i800.79899/ ‘Clear desk’- en ‘clear screen’-beleid, e-mails, flyers, of nieuwsbrief waaruit blijkt dat de
i800.79900 organisatie met de eindgebruikers heeft gecommuniceerd over: elke dag dossiers opbergen
bij vertrek naar huis en pc vergrendelen bij verlaten van werkplek.
i800.79904 Vastgesteld toegangsbeleid met daarin de te onderscheiden toegangspaden en
toegangsmethode(n) per type gebruiker, materiaal waaruit blijkt dat beleid is
gecommuniceerd, registratie van aanvragen en toekenningen.
30
Vraag nr Documentnaam
i800.79911 Beleid en procedurebeschrijving voor scheiding van netwerken, informatie waaruit blijkt dat
de organisatie conform het beleid of procedure heeft gehanteerd.
i800.79938 Beleid voor beveiligde inlogprocedures. Schermprint vanuit een besturingssysteem waaruit
blijkt dat de toegang beheerst wordt door een beveiligde inlogprocedure.
i800.79941/ Een beschrijving van het gebruik van authenticatiemiddelen.
i800.79942
i800.79945 Uitdraaien van systemen zoals bijvoorbeeld de beleidsregels voor sterke wachtwoorden uit
de AD en andere relevante systemen.
i800.79947 Procedures gebruik hulpprogrammatuur.
i800.79949 Benodigde documentatie ICT-beleid en procedure beëindigen inactieve sessies.
i800.79970 Beleid waarin bedrijfseisen en beveiligingsmaatregelen voor nieuwe informatiesystemen of
uitbreiding van bestaande informatiesystemen zijn beschreven, het vaste programma van
eisen t.a.v. beveiliging, informatie waaruit blijkt dat de organisatie conform het vaste
programma werkt.
i800.79973/ Testverslagen van applicaties, pentestrapportages, verslagen van codereviews, pentest en
i800.80002/ security jaarplanning en pentest- en securityverslagen.
i800.80049/
i800.80071/
i800.80072/
i800.80103/
i800.80105
i800.80014 Informatie waaruit blijkt dat de gemeente zich heeft geconformeerd aan Gemma en aan
Stuf.
i800.80051 Procedurebeschrijvingen voor de opslag van broncode, applicatiebeheerprocedures.
i800.80062 Beleid content scanning, beheerdocumentatie en controledocumentatie met betrekking tot
netwerkscanning.
i800.80067/ Beleid voor technische kwetsbaarheden, verslagen van vulnerability scans en pentesten,
i800.80070 patchmanagement procedure, patchmanagement proces, actuele vulnerability scan
rapporten.
i800.79669/ Procedurebeschrijving voor het melden en registreren van incidenten op een afdeling of in
i800.79671/ een bepaald bedrijfsproces met betrekking tot informatiebeveiliging.
i800.79677
i800.79681/ Een beschreven organisatiestructuur en geaccordeerde mandatenregeling of RASCI-schema
i800.79685 waaruit de TVB's van de betrokken medewerkers blijken. Eigen waarneming dat de
rapportage beveiligingsincidenten bestaat met daarin opgenomen de evaluatie van deze
incidenten. Een beleid- of procedurebeschrijving voor het verzamelen van bewijsmateriaal.
i800.80076 Uitgevoerde BIA's.
i800.80085 Testverslagen van uitwijk- en calamiteittesten.
i800.80092 Data-opslagbeleid.
i800.80094 Privacybeleid.
i800.80109 Beveiligingsmaatregelen voor hulpmiddelen voor systeemaudits.
31
BIJLAGE 2 Documentstructuur
Documentstructuur ENSIA
Versie 1.0, 16 oktober 2017
Aanleiding
Met de invoering van ENSIA wordt de verantwoording van gemeenten met betrekking tot de
informatieveiligheid via één verantwoordingsstelsel (vragenlijst) geïnventariseerd en verantwoord.
Om de verantwoording te onderbouwen is een (elektronische) documentstructuur om documenten
met betrekking tot de specifieke normen in op te slaan en te bewaren van belang. Op deze wijze
kan de gemeente – al dan niet in samenwerking met de auditor – op een efficiënte en eenvoudige
wijze documenten raadplegen. Deze documentstructuur heeft betrekking op de vragenlijst ENSIA
zelfevaluatie – Informatiebeveiliging BIG 2017.
Inleiding
In deze bijlage wordt een voorstel gedaan voor een structuur voor het opslaan en bewaren van
documenten. De vragenlijst bevat vragen over informatieveiligheid gebaseerd op de BIG. De
documentstructuur volgt de structuur van de vragenlijst en kan worden gebruikt voor zowel de
horizontale verantwoording aan de raad als de verticale verantwoording aan het Rijk (BRP en PUN,
SUWInet en BAG en BGT).
Doelgroep
Het gebruik van een documentstructuur is hoofdzakelijk van toepassing voor gemeenten die niet
beschikken over een ISMS. Dergelijke systemen beschikken over functionaliteiten om bestanden,
registraties en/of documenten te bewaren en te onderhouden.
Het voorstel van een documentstructuur kan worden toegepast als mappenstructuur welke kan
worden ingericht via de Verkenner, een informatie- of zaaksysteem, een willekeurige database of
emailomgeving. Ook Sharepoint behoort tot de mogelijkheden. Echter, links naar documenten of
bijlagen vergen dan wel veel beheer. Het is aan de gemeente zelf om te bepalen tot in hoeverre de
documentstructuur wordt toegepast en op welke manier deze wordt ingericht.
De ordening van deze documentstructuur is afgestemd met NOREA, de brancheorganisatie van RE-
auditors.
Uitgangspunten
Bij het opstellen van de documentstructuur is rekening gehouden met deugdelijke verantwoording
vanuit de volgende uitgangspunten:
• Een transparante, overzichtelijke en heldere structuur van mappen en thema’s
• Een duidelijke link met de ENSIA-vragenlijst voor snel kunnen raadplegen
• Een structuur dat overeenkomt met de hoofdstukken van de BIG en ENSIA-vragenlijst
• Zoveel mogelijk voorkomen van meervoudige opslag van documenten en bestanden
• Een structuur waarbij thema’s makkelijk herkenbaar en vindbaar zijn om te raadplegen.
32
Achterliggende gedachte
De documentstructuur is gebaseerd op de thema’s en hoofdstukken van de BIG. De BIG-thema’s
en hoofdstukken staan centraal. De normen van de diverse verantwoordingsstelsels (BRP, PUN,
BAG, BGT en Suwinet) hebben op het gebied van informatieveiligheid betrekking op hoofdstukken
en thema’s van de BIG. Een vraag kan betrekking hebben op meerdere normenkaders. Dit is bij
een groot deel van de vragen van de BIG van toepassing. Het opslaan en bewaren van bijlagen per
stelsel zou tot veel meervoudige opslag leiden.
Over het verantwoordingsjaar 2017 vindt voor DigiD en Suwinet een audit plaats. Zoals hierboven
aangegeven maken de vragen relevant voor Suwinet onderdeel uit van de ENSIA-vragenlijst. In
onderhavige documentstructuur wordt uitgegaan van het opslaan, beheren en bewaren van
documenten met betrekking tot de BIG-hoofdstukken en thema’s.
De DigiD-zelfevaluatie is een separate vragenlijst binnen ENSIA. Ter ondersteuning van de
uitvoering is de handreiking ‘DigiD- zelfevaluatie’ beschikbaar. Hierin is een voorstel opgenomen
voor de documentstructuur voor de DigiD-zelfevaluatie. Deze is vindbaar op de online
leeromgeving en via www.kinggemeenten.nl/ensia. Het staat u vrij om binnen de aangereikte
mappenstructuur een extra ‘verdieping’ te maken door bijvoorbeeld mappen per norm aan te
maken.
Aanpak
Een groot deel van de gemeenten beschikt over een (geautomatiseerd) ISMS waarin de vragen,
antwoorden en onderbouwing wordt vastgelegd. Wanneer u niet beschikt over een dergelijk
systeem is het raadzaam om een informatiesysteem of zaaksysteem te hanteren voor het goed
bewaren en archiveren van de documenten. Dit bevordert ook de toegankelijkheid alsmede
eventuele verwijzingen tussen mappen en /of documenten. In het kader van de efficiency van de
audit werkzaamheden adviseren wij deze documentenstructuur toe te passen. Dit omdat
onderbouwing, bewijslast (evidence) en herleidbaarheid (fact finding) belangrijke elementen zijn in
een efficiënt audit proces.
33
Documentstructuur
Hoofd mappenstructuur
ENSIA 2017 (deels gebaseerd op BIG indeling)
1. Project invoering ENSIA
2. Communicatie & Correspondentie
3. H3 Implementatie van de Tactische Baseline
4. H4 Samenwerkingsverbanden
5. H5 Beveiligingsbeleid
6. H6 Organisatie van de informatiebeveiliging
7. H7 Beheer van bedrijfsmiddelen
8. H8 Personele beveiliging
9. H9 Fysieke beveiliging en beveiliging van de omgeving
10. H10 Beheer van Communicatie- en Bedieningsprocessen
11. H11 Toegangsbeveiliging
12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen
13. H13 Beheer van Informatiebeveiligingsincidenten
14. H14 Bedrijfscontinuïteitsbeheer
15. H15 Naleving
16. Overige
17. Historie (oude documenten)
Sub mappenstructuur
Per submap staat een korte toelichting voor de documenten die in de betreffende map
worden bewaard.
1. Project invoering ENSIA
1. Algemene presentatie
2. Plan van Aanpak
3. Planning & Organisatie
4. Handleidingen
5. Voortgang & Coördinatie
In map 1. worden de documenten opgeslagen die betrekking op de invoering van ENSIA. Hierin
worden presentaties, plannen van aanpak en voortgangsverslagen opgeslagen. Dit hoeft geen
eenmalige map te zijn. De coördinatie van activiteiten kunnen in 2018 wederom in deze map
opgeslagen worden.
Tip: Neem in de folder op niveau 0 een verwijzing op naar het kalenderjaar waarop de documenten
betrekking hebben; 2017 voor dit jaar.
2. Communicatie & Correspondentie
1. Mailings Coördinator ENSIA
2. Interne Memo’s en/of Besluitvorming
3. Correspondentie met afdelingen
4. Communicatie met auditor
5. Collegeverklaring en Paragraaf IB
6. Correspondentie met College en Raad
34
In map 2. wordt de informatie-uitwisseling in de vorm van brieven, voorstellen, mails, memo’s,
etc. bewaard. Communicatie met afdelingen als financiën (F&C), informatiemanagement (I&A),
personeelszaken (HRM), burgerzaken, sociaal domein, ruimtelijk domein, etc. worden hier
opgeslagen in de vorm van acties, afspraken of verslagen.
3. H3 Implementatie van de Tactische Baseline
1. Benoem verantwoordelijkheden
5. H5 Beveiligingsbeleid
1. Informatiebeveiligingsbeleid
In map 7. worden de documenten met betrekking tot het beheer van bedrijfsmiddelen
opgenomen.
8. H8 Personele beveiliging
1. Voorafgaand aan het dienstverband
2. Tijdens het dienstverband
3. Beëindiging of wijziging van het dienstverband
In map 9. worden de documenten met betrekking tot de fysieke beveiliging en beveiliging van
de omgeving opgenomen.
10. H10 Beheer van Communicatie- en Bedieningsprocessen
1. Bedieningsprocedures en – verantwoordelijkheden
2. Exploitatie door een derde partij
3. Systeemplanning en –acceptatie
4. Bescherming tegen virussen en ‘mobile code’
35
5. Back-up
6. Beheer van netwerkbeveiliging
7. Behandeling van media
8. Uitwisseling van informatie
9. Diensten voor e-commerce
10. Controle
In map 10. worden de documenten met betrekking tot het beheer van communicatie en
bedieningsprocessen opgenomen.
11. H11 Toegangsbeveiliging
1. Toegangsbeleid
2. Beheer van toegangsrechten van gebruikers
3. Verantwoordelijkheden van gebruikers
4. Toegangsbeheersing voor netwerken
5. Toegangsbeveiliging voor besturingssystemen
6. Toegangsbeheersing voor toepassingen en informatie
7. Draagbare computer en telewerken
In map 13. worden de documenten met betrekking tot het beheer van informatiebeveiligings-
incidenten opgenomen.
14. H14 Bedrijfscontinuïteitsbeheer
1. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
36
In map 16. worden de documenten met betrekking tot overige onderwerpen opgenomen.
17. Historie (oude documenten)
1. Oude versies
2. Prullenbak
In map 17. worden de oude documenten opgenomen. Zoals oude versies of te vernietigen
bestanden.
Submap
2. Communicatie & Correspondentie
1. Mailings Coördinator ENSIA
i. Ontvangen en verstuurde mails
2. Interne Memo’s en/of Besluitvorming
i. Opgestelde Memo’s en/of Besluitvormingsvoorstellen
3. Correspondentie met afdelingen
i. Correspondentie met Financiën
ii. Correspondentie met Informatiemanagement (I&A)
iii. Correspondentie met Personeel (HRM)
iv. Correspondentie met Burgerzaken
v. Correspondentie met Sociaal Domein
vi. Correspondentie met Ruimte Domein
vii. Correspondentie met Informatiemanagement (I&A)
37
viii. Correspondentie met ICT (leverancier X en/of Y)
ix. Correspondentie met samenwerkingsverband A
x. Correspondentie met samenwerkingsverband B
4. Communicatie met Auditor
i. Selectie en gunning Auditor
ii. Opdrachtomschrijving en bevestiging Auditor
iii. Overeenkomst en Factuur Auditor
iv. Urenverantwoording van Auditor
v. Assurancerapport
5. Collegeverklaring en Paragraaf IB,
i. Collegeverklaring
ii. Paragraaf IB voor College en Raad
6. Correspondentie met College en Raad
i. Correspondentie voor Collegevergadering
a. Agenda, Notulen, Besluit
ii. Correspondentie voor (cie.) Raad
a. Agenda, Notulen, Besluit
Submap
3. H3 Implementatie van de Tactische Baseline
1. Benoem verantwoordelijkheden
i. Implementatieplan
ii. Rapportage
iii. ISMS
Submap
4. H4 Samenwerkingsverbanden
1. Risicobeoordeling en risicoafweging
i. Overeenkomsten (GR, Centrum, overig)
ii. Gemeenschappelijke normen
iii. Verantwoordingsrapportages
Submap
5. H5 Beveiligingsbeleid
1. Informatiebeveiligingsbeleid
i. Informatiebeveiligingsbeleid
a. Algemeen (BIG)
a. SUWI (IT audit)
b. Burgerzaken
ii. Informatiebeveiligingsplan
a. Algemeen (BIG)
a. SUWI (IT audit)
b. Burgerzaken
iii.
iv. Vaststelling, Besluit of beoordeling (<3 jaar/datum)
a. BIG
a. SUWI (IT audit)
b. Burgerzaken
38
Submap
6. H6 Organisatie van de informatiebeveiliging
1. Interne organisatie
i. Doelstellingen ambtelijke en bestuurlijke organisatie
ii. Gespreksverslagen voortgang
iii. Voortgangsrapportages
iv. Registratie verantwoordelijkheden
v. Goedkeuringsproces ICT
vi. Geheimhoudingsovereenkomst
vii. Contacten met instanties en groepen
2. Externe organisatie
i. Externe partijen
ii. Risicoanalyse
iii. Bewerkersovereenkomsten
iv. Wettelijke grondslagen/Doelbinding
v. Controlerapporten
vi. Contracten en Overeenkomsten
Submap
7. H7 Beheer van bedrijfsmiddelen
1. Beheer van bedrijfsmiddelen
i. Beleid en procedures
ii. Registratie bedrijfsmiddelen
iii. Regels gebruik bedrijfsmiddelen
Submap
8. H8 Personele beveiliging
1. Voorafgaand aan het dienstverband
i. Procedure
ii. Screening
iii. VOG
iv. Kennisname IB beleid
Submap
39
9. H9 Fysieke beveiliging en beveiliging van de omgeving
1. Beveiligde ruimten
i. Fysieke beveiliging
ii. Toegangsbeveiliging
iii. Verzekering
iv. Publiek toegankelijke ruimtes
Submap
10. H10 Beheer van Communicatie- en Bedieningsprocessen
1. Bedieningsprocedures en – verantwoordelijkheden
i. Bedieningsprocedures
ii. Wijzigingsbeheer
iii. Functiescheiding
iv. Gescheiden omgevingen
2. Exploitatie door een derde partij
i. Dienstverlening door een derde (SLA)
3. Systeemplanning en –acceptatie
i. Capaciteitsbeheer (rapportages/monitoring)
ii. Systeemacceptatie (testprocedure)
4. Bescherming tegen virussen en ‘mobile code’
i. Maatregelen/Monitoring antivirus en ‘mobile code’
5. Back-up
i. Back-up beleid
6. Beheer van netwerkbeveiliging
i. Maatregelen en monitoring beveiliging netwerken
7. Behandeling van media
i. Procedures en maatregelen informatie op dragers
ii. Procedures verwijderen van data en dragers
iii. Procedures behandeling van informatie
iv. Beveiliging systeemdocumentatie
8. Uitwisseling van informatie
i. Beleid en procedures
ii. Instructie medewerkers
iii. Overeenkomsten uitwisseling
iv. Transport fysieke media
v. Elektronische berichtenuitwisseling
vi. Procedures bedrijfsinformatie (KA)
9. Diensten voor e-commerce
i. Maatregelen online transacties
ii. Modificatie openbare informatie
40
10. Controle
i. Logging systeemhandelingen
ii. Controle systeemgebruik
iii. Bescherming logbestanden
Submap
11. H11 Toegangsbeveiliging
1. Toegangsbeleid
i. Toegangsbeleid
2. Beheer van toegangsrechten van gebruikers
i. Procedure registratie gebruikers
ii. Beheer gebruikerswachtwoorden
iii. Beoordeling toegangsrechten gebruikers
3. Verantwoordelijkheden van gebruikers
i. Wachtwoord policy
ii. Onbeheerde gebruikersapparatuur
iii. Clear desk en clear screen beleid
4. Toegangsbeheersing voor netwerken
i. Netwerkdiensten
ii. Externe verbindingen
iii. Identificatie apparatuur
iv. Bescherming poorten
v. Scheiding van netwerken
vi. Beheersmaatregelen
5. Toegangsbeveiliging voor besturingssystemen
i. Inlogprocedure
ii. Gebruikersidentificatie en –authenticatie
iii. Wachtwoordbeheer
iv. Time-out van sessies
v. Beperking van verbindingstijd
6. Toegangsbeheersing voor toepassingen en informatie
i. Beperkingen op systemen met risicovolle informatie
7. Draagbare computer en telewerken
i. Beveiligingsmaatregelen
ii. Beleid of procedures telewerken
Submap
12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen
1. Beveiligingseisen voor informatiesystemen
i. Eisen aan nieuwe systemen
2. Correcte verwerking in toepassingen
i. Validatie van invoer (BRP)
ii. Beheersing interne gegevensverwerking
iii. Maatregelen integriteit berichten
iv. Validatie uitvoergegevens
3. Cryptografische beheersmaatregelen
i. Cryptografische beheermaatregelen
41
ii. Sleutelbeheer
4. Beveiliging van systeembestanden
i. Beheersen wijzigen programmatuur
ii. Bescherming testdata
iii. Toegangscode voor broncode programmatuur
5. Beveiliging bij ontwikkelings- en ondersteuningsprocessen
i. Procedure wijzigingsbeheer
ii. Testen op besturingssystemen
iii. Scannen netwerkverkeer
iv. Optioneel: uitbesteding programmatuur
6. Beheer van technische kwetsbaarheden
i. Maatregelen technische kwetsbaarheden
Submap
13. H13 Beheer van Informatiebeveiligingsincidenten
1. Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
i. Procedure incidentmanagement
ii. Rapportages zwakke plekken IB
2. Beheer van informatiebeveiligingsincidenten en verbeteringen
i. Procedure incidentmanagement
ii. Leren van (PDCA-cyclus)
Submap
14. H14 Bedrijfscontinuïteitsbeheer
1. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
i. Calamiteitenplan of Bedrijfscontinuïteitsplan
ii. Risicobeoordeling (BIA)
iii. Beleid en richtlijnen
iv. Testen, onderhoud en herbeoordelen
Submap
15. H15 Naleving
1. Naleving van wettelijk voorschriften
i. Identificatie toepasselijke wetgeving
ii. Intellectuele eigendomsrechten (IPR)
iii. Bescherming documenten, gegevens en geheimhouding
2. Naleving van beveiligingsbeleid en –normen en technische naleving
i. Voortgangsrapportages en controles
ii. Controle op technische naleving
iii. TPM-verklaring (indien van toepassing)
3. Overwegingen bij audits van informatiesystemen
i. Planning audits en beheersmaatregelen
ii. Bescherming bij audits van informatiesystemen
Submap
16. Overige
1. …
42
Submap
17. Historie (oude documenten)
1. Versiebeheer (oude versies)
2. Prullenbak (voor terugzetten)
43
2500 GK DEN HAAG
T 070 373 80 08
F 070 363 56 82
INFO@KINGGEMEENTEN.NL
WWW.KINGGEMEENTEN.NL
44