ENSIA audit
Wat is ENSIA?
ENSIA staat voor Eenduidige Normatiek Single Information Audit. Het doel van ENSIA is om het verantwoordingsproces over informatieveiligheid bij gemeenten te verbeteren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft de gemeente een beter overzicht over de stand van zaken van de informatieveiligheid en kan zij hier ook beter op sturen.
Horizontale en verticale verantwoording met een ENSIA audit
Met de resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente” van 2013 is door de gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten te implementeren. Deze baseline is inmiddels vervangen door de Baseline Informatiebeveiliging Overheid en nu de kern van de verantwoording over informatieveiligheid aan de gemeenteraad.
ENSIA kent een horizontale en een verticale verantwoording over de BIO. De horizontale verantwoording richting gemeenteraad bestaat uit de zelfevaluatie over de implementatie van de BIO, het ENSIA assessment, een verklaring van het College van B&W en een passage over informatieveiligheid in het jaarverslag.
Over onder andere de BRP, PUN, Suwinet, BAG, BGT, BGO en DigiD moeten gemeenten ook verticaal verantwoording richting toezichthouders afleggen. De horizontale verantwoording richting gemeenteraad vormt hiervoor de basis. De normen van de BIO en de andere specifieke normenkaders zijn opgenomen in de zelfevaluatievragenlijst. DigiD kent een aparte vragenlijst.
Wat is Single Information Single Audit?
Uitgangspunt van ENSIA is de single information single audit. Dit betekent dat de gemeente maar één keer per jaar de zelfevaluatielijst hoeft in te vullen. De informatie wordt gebruikt voor de horizontale verantwoording richting gemeenteraad en tevens voor de diverse verticale verantwoordingslijnen richting departementen. De zelfevaluatie is ook de belangrijkste input voor het door BKBO uit te voeren ENSIA assessment. De ENSIA rapportage moet ook mee met de verticale verantwoording richting de toezichthouders.
Waaruit bestaat het ENSIA assessment?
Het jaarlijks ENSIA assessment bestaat uit een controle op alle DigiD aansluitingen en alle Suwinet aansluitingen die u als gemeente heeft. Veel gemeenten hebben twee Suwinet aansluitingen, een voor de uitvoering van de Participatiewet en een voor het uitvoeren van een adresonderzoek door Burgerzaken. Het ENSIA-assessment moet voor 1 mei zijn afgerond en wordt daarna jaarlijks herhaald. Logius is de organisatie die bepaalt wat verplicht gesteld wordt voor DigiD en BKWI is daarvan de evenknie voor Suwinet.
Het ENSIA assessment is een in vaktermen “assertion based” wat zoveel betekent dat wij als auditors zoveel mogelijk “steunen” op het door de gemeente al voor het invullen van de zelfevaluatie vergaarde bewijsmateriaal. Idealiter levert de gemeente als klant dus al het bewijsmateriaal zelf aan.
Wat kunnen wij u bieden?
BKBO is weliswaar een klein auditbedrijf, maar we zijn in gemeenteland al jaren goed thuis en nu in de gemeentemarkt een van de grootste auditorganisaties. Wij zijn gespecialiseerd in gemeenten. Door onze bewezen kennis en ervaring hebben we voor meer dan 90 gemeenten het ENSIA assessment uitgevoerd. U kunt er van op aan dat wij concrete verbetervoorstellen zullen doen die de organisatie kan implementeren. Een keuze voor BKBO is een keuze voor kwaliteit.
Wat is uw voordeel?
BKBO is onafhankelijk. Goed ingevoerd in gemeenteland. We zijn deskundig, goed bereikbaar en geven direct terugkoppeling. BKBO is een “platte” organisatie en de audit wordt niet over verschillende schrijven uitgevoerd. We zetten samen een planning met u uit waarbij we alles op alles zetten om de deadline van 1 mei te halen. Wij ondersteunen u met een aanpak die zowel tijd als kosten bespaart. Wij zijn zeker van onze zaak en bieden u een vaste prijs. Dat is voordelig en compleet want het is inclusief eventuele controle audit. Wij bieden gemeente en sociale diensten de mogelijkheid om een TPM-verklaring te verkrijgen voor het Suwinet deel van ENSIA. Met een Third Party Memo bespaart u op de auditkosten omdat de deelnemers dan maar een beperkt assessment hoeven te ondergaan.
Hoe pakken wij dat aan?
Wij hebben een gestandaardiseerde en beproefde uitvoeringswijze ontwikkeld. U bepaalt met een zelfonderzoek moeiteloos wat uw situatie is. Dit begint met een vragenlijst. Hierdoor brengt u eenvoudig uw situatie overzichtelijk in kaart. Wanneer alles duidelijk is voor u, wordt door ons een audit plaats op uw contracten, procedures en de beveiligingsorganisatie. Wij zorgen dat voor u alles compleet, geordend en begrijpelijk is.
We leggen onze bevindingen vast in een overzichtelijke conceptrapportage. We doen concrete aanbevelingen om de tekortkomingen efficiënt op te heffen. Het assessment wordt afgesloten met een persoonlijk gesprek waarin we de bevindingen en onze aanbevelingen helder toelichten. Daarna wordt de rapportage definitief gemaakt.
Wat is uw investering?
Afhankelijk van wat u wilt dat onderzocht wordt, variëren de kosten tussen de € 2.500,- en € 9.000,-. Afhankelijk van het aantal en type DigiD en Suwinet aansluitingen. De genoemde prijzen zijn exclusief BTW en inclusief reis- en verblijfskosten. Daarnaast profiteert u van onze unieke ‘geen gekibbel garantie’. Dit houdt in dat wij een vaste prijs hanteren inclusief een heraudit als dit van toepassing is.
Voorzie uzelf van een professionele auditor
Voor een ENSIA assessment of een van onze overige audits schakelt u een professionele auditor in. Wij staan voor u klaar en gaan graag met u in gesprek. Heeft u vragen voor ons of wilt u meteen een offerte aanvragen? Neem dan contact met ons op. Ons team beschikt over de kennis van diverse IT-audits.