ENSIA op de werkvloer

Publicatiedatum: 19 september 2019 09:37
De ENSIA (Eenduidige Normatiek Single Information Audit) vragenlijst is opgesteld om gemeenten te ondersteunen bij het afleggen van verantwoording over hun informatiebeveiliging. Vóór de intrede van de ENSIA moesten gemeenten meerdere audits uitvoeren. Dat is nu verleden tijd.

Beter inzicht 

Rutger Kuiper, adviseur informatiemanagement, vertelt: ‘De gedachte achter het combineren van de verschillende audits in één overkoepelend systeem, is het verminderen van de auditlast en het effectief en efficiënt inrichten van het verantwoordingstelsel van informatiebeveiliging. Door de ENSIA heeft het gemeentebestuur beter inzicht in de huidige situatie van informatieveiligheid in de gemeente, waardoor hier vervolgens beter op gestuurd kan worden. Vervolgens moet het gemeentebestuur weer verantwoording afleggen aan de gemeenteraad over de gemaakte keuzes. Het uitvoeren van de ENSIA wordt door medewerkers van de gemeente zelf gedaan. Bij het uitzoeken van de vragen moet de medewerker zelf dan ook bewijzen aanleveren.’ 

Verantwoording op niveau

Een belangrijk punt van de ENSIA is het op niveau brengen van een volwassen horizontale verantwoording. Rutger: ‘Dit houdt in dat de ambtelijke organisatie op vrijwillige basis informatie verstrekt over de situatie van de informatiebeveiliging. Bijvoorbeeld door het invullen van een vragenlijst, waarbij de gemeente transparant en zichtbaar te werk gaat en hiermee een discussie omtrent de situatie van informatiebeveiliging mogelijk maakt. De horizontale verantwoording beschreven in de ENSIA is echter lang niet zo volwassen als eigenlijk mogelijk is. Als gemeente ben je namelijk vrij in hoe je de verantwoording verankert in het jaarverslag. Mogelijkerwijs is de uitkomst van de ENSIA wel goed genoeg om door de audit te komen, maar wordt op bepaalde punten nog maar net aan de eisen voldaan. Als dat vervolgens in de verantwoording niet genoemd wordt, wordt de plank toch misgeslagen. Het hangt er hierbij dus sterk van af hoe de CISO de verantwoording benadert.’ 

De vraag die blijft

‘De vraag die blijft, is wat de gemeenteraad met de uitkomst van de ENSIA doet. Zeker als de verantwoording en de collegeverklaring niet in een standaard format zitten. Als de verantwoording en de verklaring tekortschieten wordt er geen dialoog op gang gebracht, wat nou juist de bedoeling is van de vragenlijst. De verantwoording die gegeven wordt kan zo abstract en ingewikkeld gemaakt worden, dat het voor de raad erg moeilijk wordt om haar rol in de horizontale verantwoording op te pakken. Het is dan ook verstandig om in de organisatie iemand aan te stellen die het hele ENSIA-proces op zich neemt. Dat kan de CISO op zich nemen. Maar ook een onafhankelijke ENSIA-coördinator kan een goede kritische factor zijn bij het opstellen van de verschillende rapportages en het beantwoorden van lastige vragen. Zo hebben wij vanuit Thorbecke al diverse gemeenten geholpen als onafhankelijk projectleider’, aldus Rutger.


Rutger Kuiper



Contact

Telefoon: 088-8883000

E-mail: info@thorbecke.nl




Volg ons via




Terug naar

Missie van Thorbecke

Door daadkracht én in samenwerking
publieke organisaties verder brengen



Thorbecke Nieuwsbrief


Contact

088-8883000
info@thorbecke.nl