Snel naar content
collega's Klaas, sheilindra, bianca en Ronald zitten op de bank

De 12 meest gestelde vragen bij een audit

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Waarom is een pre-audit nodig?

Het verzamelen van bewijs is niet altijd eenvoudig. Het uitvoeren van de pre-audit voor de ENSIA en DigiD in het najaar geeft ruimte om goed voorbereid, gestructureerd en zonder verrassingen de audit te voltooien.

Met de pre-audit haal je een deel van de audit naar voren en kan je in januari al starten met het opmaken van de collegeverklaringen om in februari de audit te voltooien. Wij voeren de ENSIA-audit gefaseerd en als een proces uit. Aan het einde van de pre-audit krijg je een rapport waarin bevindingen en aanbevelingen staan. Ook lees je daarin hoe jouw organisatie ervoor staat.

Aan de hand van onze bevindingen kan je alvast actie ondernemen en verbeteringen doorvoeren nog voordat de zelfevaluatie is afgerond en ingestuurd en de formele audit is uitgevoerd. Een pre-audit is niet verplicht maar wij bevelen dit wel aan.

De ENSIA (pre-) audit

De ENSIA (pre-) audit

Met ENSIA richt je het verantwoordingsstelsel voor informatieveiligheid zo effectief en efficiënt mogelijk in. Met deze audit ben je verzekerd van een optimale verantwoording.

Meer informatie

Wie moeten er bij de audit betrokken worden?

Bij een audit worden verschillende collega’s betrokken. Hieronder vind je per audit welke collegas dit zijn.

  • Bij de ENSIA-audit zijn dit: de ENSIA coördinator, Beheerder(s) van de DigiD aansluitingen, Beheerder(s) SUWI, CISO.
  • Bij een DigiD-audit zijn dit: De CISO en de functioneel applicatiebeheerders van de betrokken DigiD aansluiting.
  • Bij een SUWI-audit zijn dit: De security officer(s) SUWI en de functioneel applicatiebeheerder SUWI.
  • Bij een WPG-audit zijn dit:  FG (Wpg), de CISO, de beleidsmedewerker handhaving, sociale recherche, leerplichtambtenaar en de betreffende functioneel applicatiebeheerders.

Is de ENSIA-audit verplicht?

Ja, sinds 2017 zijn gemeenten verplicht om jaarlijks een zelfevaluatie in te vullen omtrent informatieveiligheid, de zogenaamde ENSIA-audit.

Wat is nu eigenlijk de ENSIA?

Wil je weten wat ENSIA nu precies inhoudt? Lees daarvoor ons artikel Alles over ENSIA. Daarin ontdek je alles wat je wil weten over ENSIA.

Wat is horizontale verantwoording?

In 2013 hebben gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. Gemeenten moeten zich aan de gemeenteraad verantwoorden op gebied van informatieveiligheid. Dit doen zij door middel van een zelfevaluatie, IT-audit, collegeverklaring en een passage over informatieveiligheid in het jaarverslag. Dit wordt ook wel horizontale verantwoording genoemd.

Wat is verticale verantwoording?

Naast deze horizontale verantwoording dienen gemeenten zich ook te verantwoorden aan de toezichthouders. Dit wordt ook wel verticale verantwoording genoemd. De verticale verantwoording betekent verantwoording afleggen aan toezichthoudende instanties, namelijk de Basisregistratie Personen (BRP), DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT).

Waarom worden er zulke moeilijke termen gebruikt? Dat weten wij ook niet… Maar om het je wat makkelijker te maken hebben we een handig naslagwerk voor je gemaakt. Het Privacy en Security Afkortingenblog.

Wat is het LIAS ISMS?

Zelf procedures samenstellen en actueel houden kost veel tijd en de nodige educatie. Het LIAS ISMS maakt jouw werk gemakkelijker. Met het integraal beheersysteem heb je als CISO, PO, FG of afdeling burgerzaken direct een beheerinstrument in handen.
Heb je al documenten en beleid ontwikkeld? Dan voeg je deze eenvoudig toe aan het LIAS ISMS. De tool helpt je om de verantwoordingscyclus efficiënt in te richten, te monitoren en te herhalen.

Waarom moet ik zoveel documenten verzamelen?

Veel normen bestaan uit meerdere componenten. Veelal wordt daarbij documentatie of een procedure verwacht. Het is belangrijk om de procedure in de praktijk te testen. Daardoor kun je aan de auditor aangeven dat zowel de opzet als het bestaan in orde is. Een verslag van een controle, welke is ondertekend door de uitvoerder, is een prima manier om te laten zien wat je hebt gecontroleerd en wat eventuele opmerkingen zijn.

Het is fijn de documenten drie weken voor de auditdatum al te verzenden naar de auditor. Dan kan de auditor zich goed voorbereiden en gerichte vragen stellen.

Inergy auditservices

De audits van Inergy

Inergy heeft onafhankelijke, gecertificeerde auditors die je bijstaan met een audit op jouw systemen en processen. Inergy ondersteunt je met de diverse audits, zoals ENSIA, VIPP, DigiD, SuWi en Wpg.

Meer informatie

Wat is een zelfevaluatie?

Als coördinator van de audit controleer je zelf per norm of het dossier compleet is en of er nog bevindingen zijn. Daarmee laat je zien dat je zelf de controle hebt en de verantwoordelijkheid neemt.  Dit is voor een auditor een belangrijk signaal. Blijf eerlijk, ook als iets niet optimaal is. Wanneer de auditor iets opmerkt wat je ook had kunnen zien dan ben je niet in control.

Kom je er zelf niet uit? Inergy biedt ondersteuning. Met CISO as a Service van Inergy huur je eenvoudig en flexibel een CISO in.

Vindt de audit plaats op locatie of online?

Wij hebben in de afgelopen periode ervaren dat een audit ook prima op afstand kan worden afgenomen. Je kunt jouw voorkeur aangeven bij het inplannen van de afspraak. Bij de ENSIA-audit inclusief een pre-audit gaat onze voorkeur uit naar een pre-audit op locatie. De daadwerkelijke audit kan vervolgens prima online plaatsvinden. Maar dit kan desgewenst ook anders.

Hoe lang duurt een audit?

Inergy trekt voor de auditgesprekken (ENSIA, DigiD, VIPP, WPG) een dagdeel uit. Een aansluit audit DigiD duurt meestal twee uur. De gehele audit neemt echter veel meer tijd in beslag. De meeste tijd zit in het doorlezen van de documenten, het rapporteren en het registreren van de bewijsstukken. Auditoren hebben zich te houden aan de richtlijnen van de NOREA.

Heb je vragen naar aanleiding van deze blog? Neem dan gerust vrijblijvend contact met ons op.

 

  

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder

Onze kijk op informatiebeveiliging in 2023

Onze kijk op informatiebeveiliging in 2023

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Lees verder

Een dag uit het leven van Marcel van Rooijen,  Java Developer bij Inergy

Een dag uit het leven van Marcel van Rooijen, Java Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Marcel van Rooijen, Java Developer bij Inergy, een kijkje in zijn werkdag. Een Java developer (ook Java-programmeur of Java-ontwikkelaar genoemd) is iemand die verantwoordelijk is voor de programmatuur van diverse (web)systemen in de programmeertaal Java. Java is een programmeertaal die developers gebruiken voor mobiel, software, en webontwikkeling. Lees over zijn dynamische dag in deze blog!

Lees verder