ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Transcriptie

1 ENSIA en Assurance Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA NOREA-werkgroep ENSIA 31 oktober 2018

2 Agenda Lessons learned 2017 Aangepaste handreiking ENSIA 2018 en beoogde uitvoering 2018 Actuele vraagstukken 2

3 Lessons learned Positief: Informatieveiligheid op agenda bij alle gemeenten Intensief en constructief overleg tussen alle betrokken partijen: BZK, SZW, VNG, NOREA Gemeenten auditors Toezichthouders / VNG gemeenten NOREA IT-Auditors NOREA pakt haar rol in ondersteuning en verdediging belangen IT Auditors Algemeen: Noodzaak tot verbetering informatieveiligheid bij gemeenten helder Kwaliteit uitvoering ENSIA-proces kan en moet beter 3

4 Lessons learned - gemeenten Aandachtspunten: Gemeenten: Inrichting proces zelfevaluatie Inrichting proces rapportage Vormgeving auditproces en kwaliteitstreven Inrichting proces College Inrichting proces College Raad Governance binnen de gemeente tav informatieveiligheid en CISO. Voorkomen dat gevoelige informatie publiek wordt: Diverse voorbeelden integrale rapportage op internet met alle geconstateerde gebreken 4

5 Lessons learned - auditor Proces: Ervaring normering en aanpak 3000A: DigiD nieuwe normenkader 2017 Suwi veel onduidelijk (ook bij gemeenten) Verschillende versies Handreiking Verschillende versies formats (collegeverklaring / assurancerapport inclusief bijlagen) Afwikkeling rapportage: Auditor gemeente (LOR / waarmerken stukken / uploaden stukken) Gemeente rapportages en verwerken rapportage auditor Aandachtspunten verwerkt in Handreiking

6 Lessons learned - Toezichthouders VNG: Vroegtijdig aanpassing tool / vragenlijsten Voortzetten ondersteuning Nemen de regie van BZK over Logius: Problemen met verwerken van rapportages SZW/ BKWI: Problemen met verwerken rapportages Beter zicht op omgeving Allen: Basis BIG aangevuld met eigen normen Samenwerking tussen partijen versterkt 6

7 Handreiking ENSIA 2018 VNG en NOREA: Een versie van formats en Handreiking FAQ: alleen ter verduidelijking geen nieuwe regelgeving Besluitvormingstraject is tevens oorzaak relatief laat ter beschikking stellen van de formats en de Handreiking DigiD: NCSC orientatie Suwi: Excel ondersteuning naar gemeente en IT Auditor 7

8 Handreiking 2018 nieuwe onderdelen (Bevindingen-) Rapportages aan gemeente: Pre-audit: Advies aan auditor tot uitbrengen Adviesrapportage / Rapport van Bevindingen / Managementletter Eindejaars audit: Advies aan auditor tot uitbrengen Verslag van bevindingen Versterking venantwoordelijkheden bij verantwoordingsproces gemeenten: Letter of representation Kantoorkenmerk in assurancerapport (en relevante bijlagen) Waarmerken aangegeven werkwijze Verantwoordelijkheden bij rapportageproces (juiste stukken en juiste volgorde) Publicaties gemeenten (bewaken vertrouwelijkheid gevoelige bevindingen) 8

9 Handreiking 2018 nieuwe onderdelen (vervolg) Versterking informatie-uitwisseling NOREA auditors: Melding uitvoering ENSIA-audits (op niveau kantoor / auditor en niet op niveau gemeente) Risico-analyse, audit aanpak en kwaliteits uitgangspunten Publicatie FAQ Toelichting Maarten Mennen Verwerking / controle SUWI: Besluitvorming / matrix type aansluiting(-en) Verduidelijken normering en excel ondersteuning Toelichting Raymond de Keijzer DigiD normering 2018 NCSC / Logius Toelichting Joep Janssen 9

10 Actuele vraagstukken Brief Bestuur NOREA Ministerie van BZK (stelselverantwoordelijke) Thema s: Opzet, bestaan, werking: perspectief op betrekken aspect werking in audit en oordeelsvorming moet helder zijn TPM benadering inclusive of carv-out: eenduidige benadering vereist ook voor bepalen administratieve lasten betrokkenen en eenduidigheid rapportages Rol, invloed toezichthouders: richten op basis integrale informatieveiligheid (BIG / BIO) als basis toepassingen versus specifieke (aanvullende) eisen per toepassing Nadere uitwerking: Audit Committee ENSIA Carv-out leidend principe uitwerkingen komende Jaren Werking: specifiek gericht op Governance-vraagstukken en dragende GITC-maatregelen 10

11 Actuele vraagstukken - vervolg Consequenties aanbesteding GGI-Veilig door VNG: Brief Bestuur NOREA VNG (inclusief reactive VNG) Aandachtspunten voor auditors (in het bijzonder ENSIA-audit) Brief VNG waarbij o.a. assurancewerkzaamheden ENSIA buiten scope aanbesteding zijn geplaatst Governance VNG 2018 Toelichting Peter van Dijk BIO Toelichting Kees Hintzbergen 11

12 Bedankt Voor meer informatie kun je contact opnemen met: NOREA-werkgroep ENSIA Peter Verstege NOREA 31 oktober 2018