Echter, is het niet effectiever om jezelf af te vragen: als je dan toch tijd, aandacht, energie en budget steekt in de controles en audits; waarom doe het dan niet zo dat het je verder helpt? Waarom de ENSIA-verantwoording niet als een middel zien? Sterker nog: gebruik de verantwoordingscyclus om ervan te leren. Om stap voor stap informatiebeveiliging naar een hoger niveau te brengen. Want dat is het uiteindelijke doel van ENSIA.
Nog meer voordelen
Nog niet volledig overtuigd? Denk eens aan voordelen als minder rompslomp en geen zaken dubbel hoeven te doen (en daardoor ook minder overbodige kosten). Of medewerkers makkelijker meenemen in het waarom van de controlewerkzaamheden.
Lees ook: ENSIA-verantwoording: weer race tegen de klok?
In control met ENSIA
Terug naar de controleverklaring. In de meest ideale situatie hoop ik als auditor een CISO aan te treffen die zegt: ‘Hier is de concept collegeverklaring, wij voldoen aan alle vereisten. En hier is de onderliggende bewijslast, waarin wij per norm aangegeven hebben waarom wij vinden dat we hieraan voldoen.’ Kijk, dan zit je als CISO achter het stuur en ben je in control!
Achter het stuur
Wat deze CISO’s anders doen? Mijns inziens de volgende drie dingen:
Van doel naar resultaat
Zij zorgen dat de documenten, die als bewijslast dienen, het resultaat zijn van de intern uitgevoerde controles (en niet het doel).Kritisch naar de resultaten
Zij gaan binnen hun gemeente het gesprek aan over de vraag: waarom vinden wij dat we aan de norm(en) voldoen?Denken in een (PDCA-)cyclus
Controles, bewijslast en overwegingen (CHECK) vormen voor hen het uitgangspunt voor verbeteracties (ACT) én het vertrekpunt voor de volgende controlecyclus (PLAN). Bij een volgende controle (DO) volstaat dan een check of er in de opzet (beleid, contracten, procedures) nog wijzigingen zijn en dient enkel het bestaan en (in de toekomst) de werking vastgesteld te worden.
Geïnspireerd door deze andere benadering van die jaarlijkse race tegen de klok voor de ENSIA-verantwoording? Bij deze daag ik CISO's en ENSIA-coördinatoren uit om achter het stuur te gaan zitten! Wie durft?
Wij helpen gemeenten op weg!
Baker Tilly heeft diverse hulpmiddelen om gemeenten te helpen ‘in control’ te komen. Zo is er een speciale checklist, die per norm de beheersdoelstelling, de verwachtte maatregelen en de bijbehorende bewijslast weergeeft. Je kunt deze checklist gebruiken:
om te controleren of alle benodigde bewijslast aanwezig is;
als verantwoordingsdocument aan te geven waarom en op basis van welke bewijslast je van mening bent aan deze norm te voldoen;
als handig hulpmiddel voor de volgende controlecyclus.
Laat hieronder uw gegevens achter en ontvang direct een voorbeeld van deze checklist voor de DigiD-norm U/WA.05.
Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken
