ENSIA verantwoording

De bestuurlijke doelstelling is om te voldoen aan de Baseline Informatiebeveiliging Overheid als basisnormenkader voor informatiebeveiliging en dat de gemaakte afspraken over de ENSIA verantwoording worden nagekomen. Doorvertaald naar bedrijfsvoering is de doelstelling om door middel van informatiebeveiliging de continuïteit van de gemeentelijke informatie en de informatievoorziening te kunnen waarborgen. Hierbij kan men op hoofdlijnen denken aan:

•    Zorgvuldig en veilig omgaan met informatie.
•    Betrouwbare en continue dienstverlening.
•    Voldoen aan wet- en regelgeving (zoals die geldt voor de Baseline Informatiebeveiliging Overheid en de Algemene Verordening Gegevensbescherming).

In 2024 stond informatiebeveiliging onder andere in het teken van het treffen van de nodige bewustwordingsacties, zoals het verplicht volgen van e-learnings over informatiebeveiliging en privacy, het ontwikkelen van een bedrijfscontinuïteitsplan en het werken met een managementsysteem op het gebied van informatiebeveiliging en privacy voor teamleiders en afdelingsmanagers.

Onze gemeente heeft de complete ICT infrastructuur uitbesteed inclusief de daarbij behorende dienstverleningsprocessen op ICT gebied. Hierdoor heeft afdeling bedrijfsvoering meer dan ooit tevoren een regiefunctie op het gebied van ICT. Ook informatiebeveiliging maakt hier onderdeel van uit. Technische informatiebeveiligingsmaatregelen treffen we in samenwerking met de ICT dienstenleverancier, waarbij de regie en de verantwoordelijkheid bij de gemeente ligt. Organisatorische maatregelen voeren we zelf uit. Zo maken we gebruik van cloudbeleid en een cloud-checklist om als gemeente steeds meer grip te krijgen op ICT in de cloud. Daarnaast worden steeds meer digitale toegangsprocedures geanalyseerd en daar waar nodig aanscherpt met bijvoorbeeld het implementeren van Multi Factor Authenticatie. Tot slot zijn alle medewerkers voorzien van een nieuwe laptop en nieuwe smartphone, waarbij ze gebruik maken van een moderne en veilige werkplek en waarbij we de apparaten zelf beheren. 

Een compact overzicht van de belangrijkste maatregelen die bijdragen aan het realiseren van de informatiebeveiligingsdoelstellingen:

•    Informatiebeveiliging uitvoeren op basis van een Information Security Management System (ISMS) om de gehele Plan Do Check Act-cyclus op het gebied van informatiebeveiliging op gestructureerde wijze af te dekken, risicomanagement uit te voeren, overzicht en structuur te behouden en continue verbetering te bewerkstelligen.
•    Continue bewustwording uitvoeren voor de hele organisatie.
•    Organisatorische en technische maatregelen treffen om informatiebeveiliging naar een hoger volwassenheidsniveau te brengen.

Met behulp van de ENSIA verantwoording is er een toetsmoment voor het behalen van onze doelstellingen van informatiebeveiliging. Naast de landelijk verplichte audit inzake de informatiebeveiliging van DigiD en Suwinet worden ook belangrijke onderdelen uit de BIO voor onze gemeente door een onafhankelijke IT auditor getoetst op basis van opzet, bestaan en werking. Op deze manier hebben we een zo goed mogelijk beeld over de stand van zaken rondom informatiebeveiliging en het compliant zijn met de Baseline Informatiebeveiliging Overheid (BIO). In de publicatie van deze jaarrekening meldt de ENSIA-coördinator, na afronding van een externe audit door een IT-auditor, dat onze gemeente over 2024:

•    Voldoet aan de wettelijke normen voor Suwinet met betrekking tot de Participatiewet, Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers (IOAW), Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen (IOAZ) en Gemeentelijke Sociale Dienst (GSD). 
•    Voldoet aan de wettelijke normen voor Suwinet met betrekking tot adresonderzoek door Burgerzaken.
•    Voldoet aan alle wettelijke normen voor DigiD met betrekking tot het Burgerzaken-systeem. 
•    Voldoet aan alle wettelijke normen voor DigiD met betrekking tot het zaaksysteem.
•    Na kwaliteitscontrole de Basisregistratie Adressen & Gebouwen (BAG) score voldoende is.
•    Na kwaliteitscontrole de Basisregistratie Grootschalige Topografie (BGT) score voldoende is.
•    Na kwaliteitscontrole de Basisregistratie Ondergrond (BRO) score voldoende is.