Bijlage IV Collegeverklaring informatiebeveiliging
Collegeverklaring informatiebeveiliging DigiD en Suwinet 2023
Gemeente Stein
Doel en achtergrond verklaring
De aansluitingen die we als gemeente voor DigiD en Suwinet hebben, vereisen voorzieningen die zijn beveiligd en waarbij (privacygevoelige) data moet zijn beschermd tegen onrechtmatig gebruik. De gemeente treft interne beheersingsmaatregelen om veilig gebruik te kunnen maken van deze aansluitingen.
Met deze verklaring geven wij, het college van Burgemeester en Wethouders, aan in welke mate de gemeente voldoet aan de informatiebeveiligingsnormen voor DigiD en Suwinet. Deze verklaring maakt onderdeel uit van de verantwoording over informatiebeveiliging middels ENSIA1 en is tot stand gekomen door een zelfevaluatie over informatiebeveiligingsnormen gebaseerd op de door de toezichthouder geselecteerde eisen uit de ‘Baseline Informatiebeveiliging Overheid’ versie 1.04 voor Suwinet en de ‘Norm ICT-beveiligingsassessments DigiD versie 3.0’van Logius. De inhoud van deze collegeverklaring is getoetst door een onafhankelijke IT-auditor/RE.
Deze verklaring is bestemd voor de toezichthouder van DigiD, te weten Logius, alsmede de stelselhouder, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de toezichthouder van Suwinet, te weten Ministerie van Sociale Zaken en Werkgelegenheid via het Bureau Keteninformatie Werk en Inkomen (BKWI) alsmede de stelselhouder, het ministerie van Sociale Zaken en Werkgelegenheid.
Reikwijdte en diepgang verklaring
De aansluitingen die we als gemeentelijke organisatie voor DigiD en Suwinet hebben, vereisen dat onze voorzieningen moeten zijn beveiligd en (privacygevoelige) data moet worden beschermd tegen onrechtmatig gebruik. Hiervoor stellen de stelselhouders een aantal informatiebeveiligingsnormen verplicht. De gemeentelijke organisatie moet interne beheersingsmaatregelen treffen om te voldoen aan deze gestelde normen teneinde gebruik te mogen (blijven) maken van deze aansluitingen.
De zelfevaluatie ENSIA gaat over de opzet en het bestaan van de interne beheersingsmaatregelen om te kunnen voldoen aan de relevante beveiligingsnormen voor DigiD en Suwinet op 31 december 2023. Voor DigiD wordt de door Logius vastgestelde Norm ICT-beveiligingsassessments DigiD versie 3.0 gehanteerd; voor Suwinet de Verantwoordingsrichtlijn GeVS 2022 (tevens geldend voor het verslagjaar 2023) waarin zijn opgenomen de geselecteerde eisen uit de ‘Baseline Informatiebeveiliging Overheid’ versie 1.04. Deze verantwoordingsrichtlijn betreft opzet, bestaan en werking van de interne beheersingsmaatregelen. In het kader van de zelfevaluatie ENSIA zijn geen werkzaamheden uitgevoerd met betrekking tot de werking van deze maatregelen.
Als gevolg van de uitbesteding aan serviceorganisaties door de gemeente is een aantal van de interne beheersingsmaatregelen belegd bij serviceorganisaties. Hiervan hebben wij als gemeente een rapport van de onafhankelijke IT-auditor/RE van de serviceorganisaties ontvangen.
1 ENSIA ondersteunt de gemeente bij de verantwoording over informatiebeveiliging richting de gemeenteraad en de rijksoverheid. ENSIA gaat uit van de Baseline Informatiebeveiliging Overheid (BIO), alsmede van informatiebeveiligingsnormen vanuit Basisregistratie Personen (BRP), wet- en regelgeving reisdocumenten (PUN, PNIK), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO), de Gezamenlijke Elektronische Voorzieningen Structuur uitvoeringsorganisatie Werk en Inkomen (GeVS/Suwinet) en de Wet Onroerende Zaken (WOZ).
Collegeverklaring en samenvattend beeld van de auditbevindingen
Verklaring / Conclusie
Het college van Burgemeester en Wethouders van de gemeente Stein verklaart dat de gemeentelijke organisatie op 31 december 2023 voldoet aan alle geselecteerde normen inzake DigiD en Suwinet.
Samenvattend beeld
Deze collegeverklaring betreffende de gemeentelijke organisatie en serviceorganisaties dekken de geselecteerde normen inzake DigiD en Suwinet af.
Het detailoverzicht van normen en de mate waarin de gemeente en serviceorganisaties hieraan voldoen, zijn opgenomen in de volgende bijlagen:
• Bijlage 1 DigiD met kenmerk: 20230717141934
• Bijlage 2 Suwinet met kenmerk: 20230717141934
Aansluiting | Wordt aan alle normen voldaan? | Zijn de uitzonderingen in [een] verbeterplan[nen] opgenomen en zijn de verbetermaatregelen belegd |
|---|---|---|
DigiD 1001873 | Ja | Niet van toepassing |
DigiD 1002225 | Ja | Niet van toepassing |
Suwinet voor SUWI-taken | Ja | Niet van toepassing |
Suwinet voor niet-SUWI-taken | Niet van toepassing | Niet van toepassing |
College van B&W gemeente Gemeente Stein