Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DigiD Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.
Waarom is een pre-audit nodig?
Het verzamelen van bewijs is niet altijd eenvoudig. Het uitvoeren van de pre-audit voor de ENSIA en DigiD in het najaar geeft ruimte om goed voorbereid, gestructureerd en zonder verrassingen de audit te voltooien.
Met de pre-audit haal je een deel van de audit naar voren en kan je in januari al starten met het opmaken van de collegeverklaringen om in februari de audit te voltooien. Wij voeren de ENSIA-audit gefaseerd en als een proces uit. Aan het einde van de pre-audit krijg je een rapport waarin bevindingen en aanbevelingen staan. Ook lees je daarin hoe jouw organisatie ervoor staat.
Aan de hand van onze bevindingen kan je alvast actie ondernemen en verbeteringen doorvoeren nog voordat de zelfevaluatie is afgerond en ingestuurd en de formele audit is uitgevoerd. Een pre-audit is niet verplicht maar wij bevelen dit wel aan.
Wie moeten er bij de audit betrokken worden?
Bij een audit worden verschillende collega’s betrokken. Hieronder vind je per audit welke collegas dit zijn.
- Bij de ENSIA-audit zijn dit: de ENSIA coördinator, Beheerder(s) van de DigiD aansluitingen, Beheerder(s) SUWI, CISO.
- Bij een DigiD-audit zijn dit: De CISO en de functioneel applicatiebeheerders van de betrokken DigiD aansluiting.
- Bij een SUWI-audit zijn dit: De security officer(s) SUWI en de functioneel applicatiebeheerder SUWI.
- Bij een WPG-audit zijn dit: FG (Wpg), de CISO, de beleidsmedewerker handhaving, sociale recherche, leerplichtambtenaar en de betreffende functioneel applicatiebeheerders.
Is de ENSIA-audit verplicht?
Ja, sinds 2017 zijn gemeenten verplicht om jaarlijks een zelfevaluatie in te vullen omtrent informatieveiligheid, de zogenaamde ENSIA-audit.
Wat is nu eigenlijk de ENSIA?
Wil je weten wat ENSIA nu precies inhoudt? Lees daarvoor ons artikel Alles over ENSIA. Daarin ontdek je alles wat je wil weten over ENSIA.
Wat is horizontale verantwoording?
In 2013 hebben gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. Gemeenten moeten zich aan de gemeenteraad verantwoorden op gebied van informatieveiligheid. Dit doen zij door middel van een zelfevaluatie, IT-audit, collegeverklaring en een passage over informatieveiligheid in het jaarverslag. Dit wordt ook wel horizontale verantwoording genoemd.
Wat is verticale verantwoording?
Naast deze horizontale verantwoording dienen gemeenten zich ook te verantwoorden aan de toezichthouders. Dit wordt ook wel verticale verantwoording genoemd. De verticale verantwoording betekent verantwoording afleggen aan toezichthoudende instanties, namelijk de Basisregistratie Personen (BRP), DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT).
Waarom worden er zulke moeilijke termen gebruikt? Dat weten wij ook niet… Maar om het je wat makkelijker te maken hebben we een handig naslagwerk voor je gemaakt. Het Privacy en Security Afkortingenblog.
Wat is het LIAS ISMS?
Zelf procedures samenstellen en actueel houden kost veel tijd en de nodige educatie. Het LIAS ISMS maakt jouw werk gemakkelijker. Met het integraal beheersysteem heb je als CISO, PO, FG of afdeling burgerzaken direct een beheerinstrument in handen.
Heb je al documenten en beleid ontwikkeld? Dan voeg je deze eenvoudig toe aan het LIAS ISMS. De tool helpt je om de verantwoordingscyclus efficiënt in te richten, te monitoren en te herhalen.
Waarom moet ik zoveel documenten verzamelen?
Veel normen bestaan uit meerdere componenten. Veelal wordt daarbij documentatie of een procedure verwacht. Het is belangrijk om de procedure in de praktijk te testen. Daardoor kun je aan de auditor aangeven dat zowel de opzet als het bestaan in orde is. Een verslag van een controle, welke is ondertekend door de uitvoerder, is een prima manier om te laten zien wat je hebt gecontroleerd en wat eventuele opmerkingen zijn.
Het is fijn de documenten drie weken voor de auditdatum al te verzenden naar de auditor. Dan kan de auditor zich goed voorbereiden en gerichte vragen stellen.
Wat is een zelfevaluatie?
Als coördinator van de audit controleer je zelf per norm of het dossier compleet is en of er nog bevindingen zijn. Daarmee laat je zien dat je zelf de controle hebt en de verantwoordelijkheid neemt. Dit is voor een auditor een belangrijk signaal. Blijf eerlijk, ook als iets niet optimaal is. Wanneer de auditor iets opmerkt wat je ook had kunnen zien dan ben je niet in control.
Kom je er zelf niet uit? Inergy biedt ondersteuning. Met CISO as a Service van Inergy huur je eenvoudig en flexibel een CISO in.
Vindt de audit plaats op locatie of online?
Wij hebben in de afgelopen periode ervaren dat een audit ook prima op afstand kan worden afgenomen. Je kunt jouw voorkeur aangeven bij het inplannen van de afspraak. Bij de ENSIA-audit inclusief een pre-audit gaat onze voorkeur uit naar een pre-audit op locatie. De daadwerkelijke audit kan vervolgens prima online plaatsvinden. Maar dit kan desgewenst ook anders.
Hoe lang duurt een audit?
Inergy trekt voor de auditgesprekken (ENSIA, DigiD, VIPP, WPG) een dagdeel uit. Een aansluit audit DigiD duurt meestal twee uur. De gehele audit neemt echter veel meer tijd in beslag. De meeste tijd zit in het doorlezen van de documenten, het rapporteren en het registreren van de bewijsstukken. Auditoren hebben zich te houden aan de richtlijnen van de NOREA.
Heb je vragen naar aanleiding van deze blog? Neem dan gerust vrijblijvend contact met ons op.