Werkgroep ENSIA (Eénduidige Normatiek Single Information Audit)
De werkgroep ENSIA
De werkgroep ontwikkelt de handreiking (versie 4.0; Update 2021) voor IT-auditors met een toelichting bij de uitvoering van het verantwoordingsproces over informatieveiligheid bij gemeenten en de bijbehorende Template met een voorbeeld Assurance-rapport uitbestede Suwinet-taken 2022.
AANDACHTSPUNTEN ENSIA 2022
- de ENSIA handreiking 2021 (versie 4.0) is ongewijzigd en geldt dus ook voor 2022
- Testaanpak bij de te onderzoeken normen, relevant voor Suwinet (bijlage 4, 2022)
- De nieuwe handreiking DigiD-assessments 3.0 (2022)
- Betrouwbaarheidseisen aan de handtekening van een IT-auditor (RE)
In aanvulling op de NOREA Handreiking ENSIA 2021 verdient het volgende punt nadere aandacht van de betrokken auditors en gemeenten.
FAQ 2022-3: Reikwijdte ENSIA verantwoording Suwi – werkzaamheden IT-auditor
In de NOREA Handreiking ENSIA 2021 is in bijlage Bijlage 5 de paragraaf “Reikwijdte verantwoording” opgenomen. Centraal staat daarin de beschrijving van de verantwoordelijkheid van BKWI en het ministerie van SZW. Deze is als volgt gedefinieerd en geldt ook over 2022:
“Op grond van het wettelijk kader SUWI heeft de AP geconcludeerd dat de beheerder BKWI net als bij Suwinet-Inkijk voor de overige applicaties (DKD-inlezen, etc.), overzicht en controle moet hebben over het feitelijk gegevensgebruik door afnemers.”
In overleg met BKWI en het ministerie van SZW is in aansluiting hierop bepaald dat dit uitgangspunt leidend is voor de ENSIA-verantwoording en daarmee de werkzaamheden van de IT-auditor. Dit betekent dat de verwerking binnen de gemeentelijke organisatie (papieren stroom, aanvraagprocessen, etc.) ondersteund door gemeentelijke applicaties niet betrokken worden in de ENSIA-verantwoording en controle door de IT-auditor.
De verantwoording en de controle door de IT-auditor richten zich op het feitelijke gegevensgebruik binnen deze bedrijfsprocessen.
Aanvullende vaktechnische informatie:
- Aansluitingen Suwi - DKD-inlezen
Alle gemeenten zijn door BKWI aangeschreven. De brief bevat informatie over de Suwi-aansluitingen die onder de verantwoordelijkheid van de gemeenten vallen en die bij BKWI en inlichtingen bureau bekend zijn.
- Wgs-Inkijk en Wgs-Inlezen
Voor de uitvoering van de Wet schuldhulpverlening kunnen gemeenten ervoor kiezen om gebruik te maken van Wgs-Inkijk en later dit jaar ook Wgs-Inlezen. Wgs-Inkijk en Wgs-Inlezen zijn beiden in scope van de SUWI-audit en worden op een gelijke wijze getoetst als SUWI-Inkijk en DKD-Inlezen.
Deelnemers Werkgroep
drs. ing. Peter Verstege RE RA (voorzitter)
Achmed Bouazza RE CISA
drs. Mohamed El Aarbaoui RE
drs. Joep Janssen RE M.I.M.
ir. Diman Kamp RE
ir. Raymond de Keijzer RE
Ruud Kerssens RE RA CISA CRISC
Frank Kossen RE
drs, Maarten Mennen RE RA CISA CRISC (vice-voorzitter)
Jacko Mohle RE EMITA
mr. Winfried Nanninga RE CISA MMC
mr. drs. Jan Roodnat RE RA
drs. René IJpelaar RE CEH CISA
Roy Zwartjes RE
ing. Bart de Jongh RE EMITA CISSP CISM (linking-pin bestuur)
