Werkgroep ENSIA (Eénduidige Normatiek Single Information Audit)

De werkgroep ENSIA
De werkgroep ontwikkelt de handreiking (versie 4.0; Update 2021) voor IT-auditors met een toelichting bij de uitvoering van het verantwoordingsproces over informatieveiligheid bij gemeenten en bijbehorende Template (Word) Voorbeeld Assurance-rapport uitbestede Suwi-taken 2020.

AANDACHTSPUNTEN ENSIA 2021

In aanvulling op de NOREA Handreiking ENSIA 2021 verdient het volgende punt nadere aandacht van de betrokken auditors en gemeenten.

FAQ 2022-3: Reikwijdte ENSIA verantwoording Suwi – werkzaamheden IT-auditor

In de NOREA Handreiking ENSIA 2021 is in bijlage Bijlage 5 de paragraaf “Reikwijdte verantwoording” opgenomen. Centraal staat daarin de beschrijving van de verantwoordelijkheid van BKWI en het ministerie van SZW. Deze is als volgt gedefinieerd:

“Op grond van het wettelijk kader SUWI heeft de AP geconcludeerd dat de beheerder BKWI net als bij Suwinet-Inkijk voor de overige applicaties (DKD-inlezen, etc.), overzicht en controle moet hebben over het feitelijk gegevensgebruik door afnemers.”

In overleg met BKWI en het ministerie van SZW is in aansluiting hierop bepaald dat dit uitgangspunt leidend is voor de ENSIA-verantwoording en daarmee de werkzaamheden van de IT-auditor. Dit betekent dat de verwerking binnen de gemeentelijke organisatie (papieren stroom, aanvraagprocessen, etc.) ondersteund door gemeentelijke applicaties niet betrokken worden in de ENSIA-verantwoording en controle door de IT-auditor.

De verantwoording en de controle door de IT-auditor richten zich op het feitelijke gegevensgebruik binnen deze bedrijfsprocessen.

Aanvullende vaktechnische informatie:
  • Aansluitingen Suwi - DKD-inlezen
Alle gemeenten zijn door BKWI aangeschreven. De brief bevat informatie over de Suwi-aansluitingen die onder de verantwoordelijkheid van de gemeenten vallen en die bij BKWI en inlichtingen bureau bekend zijn.
  • Van BIG naar BIO​
Tot en met 2019 was ENSIA gebaseerd op de BIG-normen. Ten behoeve van de werkzaamheden rond Suwi was een Keuzehulp uitgewerkt.Met ingang van 2020 is ENSIA gebaseerd op de BIO-normen. Daarnaast is er sinds de Handreiking ENSIA 2020 meer guidance rond Suwi opgenomen. Daarmee is de Keuzehulp komen te vervallen. Voor een nadere toelichting in het kader van zaken die in de Keuzehulp werden behandeld geldt het navolgende: Voor zowel auditor als gemeente heeft de (niet) Suwi-taak waarvoor Suwi-services worden gebruikt geen impact op welke normen wel/niet binnen de verantwoording vallen. Het type Suwi-service (inkijk/inlees) heeft wel invloed hierop. De scope per type Suwi-service wordt aangeduid per norm in de laatste kolom in bijlage 5 van de Handreiking.

Deelnemers Werkgroep 
drs. ing. Peter Verstege RE RA (voorzitter)   
Achmed Bouazza RE CISA   
drs. Mohamed El Aarbaoui RE   
drs. Joep Janssen RE M.I.M.   
ir. Diman Kamp RE   
ir. Raymond de Keijzer RE   
Ruud Kerssens RE RA CISA CRISC   
Frank Kossen RE   
drs, Maarten Mennen RE RA CISA CRISC (vice-voorzitter)   
Jacko Mohle RE EMITA   
mr. Winfried Nanninga RE CISA MMC   
mr. drs. Jan Roodnat RE RA   
drs. René IJpelaar RE CEH CISA   
Roy Zwartjes RE   
ing. Bart de Jongh RE EMITA CISSP CISM (linking-pin bestuur)