Nog even en de nieuwe ENSIA-tool voor de overheid (ENSIA.nl) is beschikbaar in juli. Wat kun je ervan verwachten? Vervangt de tool het Informatie Security Management Systeem (ISMS) van jouw organisatie? Het antwoord is nee! Waarom kan de ENSIA-tool voor de overheid niet als ISMS van jouw organisatie dienst doen? En hoe voorkom je dubbele registratie en verantwoording en richt je het proces efficiënt in? Je leest het in dit blog.
In de ENSIA-tool voor de overheid staan alleen de ENSIA vragenlijsten waarmee je verantwoording aflegt. Per norm geef je aan of je wel óf niet voldoet aan de Baseline Informatiebeveiliging Overheid (BIO) en andere basisregistraties. Behalve de jaarlijks terugkerende verantwoordingsplicht, heeft de ENSIA-tool voor de overheid géén ISMS-functionaliteit. Als overheidsorganisatie ben je vanwege de BIO verplicht om een ISMS te hebben (specifieke overheidsmaatregel 18.2.1.1). Een ISMS ondersteunt je bij de uitvoering, het bijhouden en rapporteren van processen. Het helpt je daarmee om het niveau van informatiebeveiliging in jouw organisatie te verhogen. De term ‘System’ betekent niet een systeem, maar een sluitende PDCA-cyclus (Plan-Do-Check-Act), een kwaliteitscirkel, Deming circle of beleidscyclus. Voldoe je aan de elementen uit de cirkel? Dan heeft jouw organisatie een sluitend ISMS!
Welke functionaliteiten heeft een ISMS-tool?
Een ISMS vormt de basis voor de informatiebeveiliging van jouw organisatie. De belangrijkste functies van een ISMS zijn de maximale ondersteuning van de gehele PDCA-cyclus. Want het doel is te werken aan een continue verbetercyclus. Zo werk je het hele jaar door samen met betrokken collega’s én de verantwoordelijken van jouw organisatie aan deze verbetercyclus. Je kunt in een ISMS-tool inzicht krijgen in de status van normen, toelichting geven, taken toewijzen en bewijslast toevoegen.
Lees ook:
Alles over ENSIA
ENSIA-tool is er om verantwoording af te leggen (horizontaal en verticaal toezicht)
De ENSIA-tool voor de overheid ondersteunt niet de gehele verbetercyclus (PDCA-cyclus), maar slechts het verantwoordingsdeel. De ENSIA-tool voor de overheid is ook alleen bedoeld om verantwoording af te leggen. De naam zegt het al: Eenduidige Normatiek Single Information Audit. De ENSIA-tool voor de overheid biedt de mogelijkheid om ‘verticaal toezicht’ te houden. Dat houdt in dat verantwoording via de ENSIA-tool voor de overheid aan de verschillende Ministeries wordt gegeven op de verschillende normenkaders zoals BRP, Reis, DigiD, Suwinet, BAG, BGT, BRO en WOZ. Ook de verantwoording op de zelfevaluatie BIO wordt via de ENSIA-tool van de overheid uitgevraagd.
De ENSIA-tool voor de overheid biedt ook de mogelijkheid om ‘horizontaal toezicht’ uit te voeren. Daarmee wordt bedoeld dat je verantwoordingsrapportages kunt maken voor het algemeen bestuur en dagelijks bestuur van je eigen organisatie.
Nuance ontbreekt in de ENSIA-tool voor de overheid
In de ENSIA-tool voor de overheid kun je enkel vragen beantwoorden met Ja of Nee. Soms is er de mogelijkheid voor meer nuance of de mogelijkheid voor een toelichting voor jezelf. Je ziet de toelichtingen vervolgens weer terug in de export. De nuance ontbreekt daardoor. Want je organisatie is opgebouwd uit vele processen, procedures, personen en programmatuur.
Een simpel ‘ja’ of ‘nee’ is niet de nuance die in je eigen organisatie voldoet. Het gaat immers om de permanente verbetercyclus (Plan-Do-Check-Act).
Een ISMS ondersteunt wel de complete verbetercyclus en geeft je inzicht zodat je continu kunt anticiperen en passende verbetermaatregelen neemt, gebaseerd op een risicoanalyse en risicobeoordeling. Je houdt de regie in eigen hand, ziet alle details, kunt per informatiecluster differentiëren en de nuances aanbrengen. Ook in de verantwoording naar je eigen directie en bestuur.
Effectief en efficiënt verantwoording afleggen vanuit je ISMS
Ieder jaar moet je als gemeente verantwoorden over de informatiebeveiliging van jouw gemeente via de ENSIA-tool voor de overheid. In de tool geef je op basis van de input uit jouw ISMS aan of je wel of niet voldoet. Maar je wil natuurlijk zoveel mogelijk alles één keer verantwoorden en één keer registreren. Dat kan!
Lees ook:
De rol van de ENSIA-coördinator: zo leg je de verantwoordelijkheid neer bij de proceseigenaar.
In het LIAS ISMS zijn de ENSIA-vragen gekoppeld aan de controls van de BIO. Daardoor heb je direct vanuit het ISMS zicht op de status van de control en kan je ook vanuit daar de verantwoording vastleggen. Dan vindt de verantwoording op één plek plaats en kan het ENSIA proces gecoördineerd worden vanuit het ISMS. De ENSIA-lijst in het ISMS bewaart de historie, is doorzoekbaar per normenkader en biedt de mogelijkheid om interne notities te maken. Met één druk op de knop maak je een export van je verantwoording die je kan importeren in de ENSIA-tool voor de overheid (na oplevering van de ENSIA-tool is er een import en exportfunctie zodat dit kan worden ingevuld). Zo leg je effectief en efficiënt verantwoording af, vanuit je ISMS. Die blijft het hele jaar beschikbaar, is in een oogopslag inzichtelijk én gekoppeld aan jouw eigen maatregelen binnen het ISMS.
Heb je vragen over het ISMS of over de ENSIA-tool voor de overheid? Of wil je een demo van het LIAS ISMS? Neem dan contact met ons op. Je kunt je natuurlijk ook aanmelden voor
een van onze webinars over het LIAS ISMS of informatiebeveiliging en privacy.
Meer weten?
Neem vrijblijvend contact met ons op.