VNG Nassaulaan 12 Den Haag Gorinchem, 1 oktober 2014 Geachte drs B. Drewes, De VIAG heeft een raadpleging behouden onder zijn leden omtrent de bevindingen van de DigiD-audit. Als vakvereniging willen wij u als VNG graag informeren over deze uitkomsten. Hieronder treft u de uitkomsten. Ter verbetering van de DigiD audit worden in hoofdlijnen de volgende punten genoemd: in de audit ligt teveel de nadruk op informatiebeveiliging in de breedste zin van het woord, terwijl de DigiD audit daar slechts een klein onderdeel van uitmaakt. Het DigiD assessment lijkt gebruikt te worden als agendasetting voor meer aandacht voor informatiebeveiliging bij gemeenten. Veel liever zien wij, dat in combinatie met een single information single audit naar de specifieke informatie wordt gekeken en niet nogmaals alle algemene beleidstukken aangeleverd en dus ook opnieuw beoordeeld moeten worden; sommige normen zijn niet duidelijk, vooral norm B-013 wordt veel genoemd. Ook is niet altijd duidelijk wat er precies aan informatie moet worden aangeleverd om voldoende te kunnen scoren; discussies gaan vaak over kleine dingen die niet op orde zijn. Het oplossen daarvan leidt niet echt tot een betere informatiebeveiliging, maar resulteren wel in het niet halen van de audit. Er is weinig ruimte voor herstelacties. De maatregel heraudit is soms wel erg zwaar; auditoren interpreteren niet eenduidig. Bij het aanleveren van gelijke stukken werden er verschillende beoordelingen gegeven. Als gemeente kun je hier weinig tegen doen. Auditoren beroepen zich op hun onafhankelijkheid. Logius vindt dit een zaak tussen gemeente en auditor; voor gemeenten zijn deadlines scherp, Logius reageert zelf vaak (te) laat; het is niet duidelijk waarom Logius soms wel en soms niet goedkeuring geeft voor uitstel van de heraudit waardoor het mogelijk wordt dit te combineren met de jaarlijkse audit. Dit is vaak wel wenselijk; hersteltermijnen zijn in een aantal gevallen (te) kort. Als het informatiebeveiligingsplan moet worden bijgesteld wil de auditor ook vaak de governance beoordelen. Dus inbedding in de organisatie moet aangetoond zijn. Dit is niet haalbaar in de korte termijnen; leveranciers zouden hun TPM verklaringen halverwege het jaar gereed moeten hebben. Dit maakt het plannen van de audit flexibeler. Al onze leden zijn het erover eens dat het goed is dat informatiebeveiliging op de agenda staat, zowel ambtelijk als bestuurlijk. Tegelijkertijd bestaat er zeker de behoefte om de auditlasten (en kosten) zo laag mogelijk te houden zoals ook gesteld wordt in de resolutie informatieveiligheid. Immers met de komst van de DigiD-audit is er weer sprake van een extra audit. Wij willen als VIAG naast bovenstaande verbeterpunten daarom vooral extra aandacht vragen voor het single information single audit (Sisa)principe. Als vakvereniging denken graag met u mee hoe de genoemde verbeterpunten vorm kunnen worden gegeven. Hoogachtend Namens het VIAG bestuur A.A. van Beek Voorzitter VIAG
© Copyright 2024 ExpyDoc
