Het varieert per organisatie hoe het proceseigenaarschap is ingevuld en hoe medewerkers dit ervaren. De ene ENSIA-coördinator is bij gebrek aan eigenaarschap aan het sleuren terwijl de andere ENSIA-coördinator in een organisatie werkzaam is waar het eigenaarschap duidelijk is belegd waardoor de audit soepel doorlopen wordt.
Het laatste wat je wilt is steeds weer zelf de verantwoording moeten pakken terwijl de proceseigenaar uiteindelijk verantwoordelijk hoort te zijn. Hoe zorg je ervoor dat je als ENSIA-coördinator of CISO op het niveau blijft van het coördineren van de ENSIA-audit en iedere proceseigenaar zelf in staat laat zijn om aan te tonen of hij compliant is of niet?
Verantwoordelijk neerleggen bij proceseigenaren
Blijf als CISO of ENSIA-coördinator onafhankelijk. Ga het gesprek met de managers van de proceseigenaren aan om deze in hun rol te zetten. Zij zijn immers verantwoordelijk voor het werk dat hun teamleden uitvoeren. De Baseline Informatiebeveiliging Overheid (BIO) is hier duidelijk in: “de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan”. Belangrijk is dat je vervolgens de proceseigenaren helpt om de rol te kunnen oppakken.
Projectgroep per ENSIA-audit
Vorm een projectgroep met (functioneel) applicatiebeheerders per applicatie voor de: BGT, BAG, per toepassing voor SUWI (Sociaal domein, Burgerzaken, etc.) en alle applicaties waarop een DigiD-aansluiting zit. Stel de projectleden niet zelf aan, maar vraag de managers om de verantwoordelijken zelf aan te wijzen om deel te nemen. Hier zit echt de truc.
Managers hebben de rol en daarmee de positie om projectleden aan te wijzen en aan te spreken op hun verantwoording om het betreffende onderdeel voor de ENSIA-audit te onderhouden en actueel te houden. De projectleden fungeren vervolgens als ambassadeur binnen hun eigen afdeling. Zij beantwoorden de vragen in de ENSIA-tool en dragen ook de bewijsstukken aan die hun antwoord ondersteunen. Ieder doet dat voor de applicatie waarbij hij/zij betrokken is.
En wat is dan nog de rol van de ENSIA-coördinator?
Deze zorgt in de rol van projectleider ervoor dat iedereen toegang heeft tot de ENSIA-tool en dat alle projectgroep leden weten wanneer er wat van iemand verwacht wordt. De ENSIA-coördinator zorgt ervoor dat iedereen zich aan de oplevermomenten houdt, zodat de coördinator vervolgens voor 31 december de antwoorden kan indienen via de ENSIA-tool en voor 30 april de gewaarmerkte collegeverklaring en de Assurance verklaring kan indienen via de ENSIA-tool.
LIAS ISMS heeft een aansluiting op de ENSIA-tool. Met een druk op de knop maak je een export van je verantwoording die je kan importeren in de ENSIA-tool van de overheid (vanaf juli 2021 beschikbaar). Zo leg je effectief en efficiënt verantwoording af. Die blijft het hele jaar beschikbaar, is in een oogopslag inzichtelijk én gekoppeld aan jouw eigen maatregelen binnen het ISMS.
Aan de slag met de ENSIA-audit
Structuur en overzicht zijn key bij een goede uitvoering van de ENSIA. Benieuwd hoe wij je verder kunnen helpen? Neem vooral vrijblijvend contact met ons op!
