问责制 - 1 月 1 日至 4 月 30 日
ENSIA 协调员将开始制定学院声明。可以从 ENSIA 门户创建报告。协调员完成报告并确保它是一份整洁的文件。最终的报告称为大学声明。学院声明必须由学院签署。
市政当局必须让独立的 IT 审计员评估学院声明中的 Suwinet 和 DigiD 部分。这被称为 ENSIA 审计。
IT 审计员仅评估学院声明草稿是否正确。如果学院声明草案正确无误,学院声明将会被发送给市行政部门。他们必须批准并签署该文件。一旦建立学院声明,IT 审计员将起草一份保证声明,作为责任报告的一部分。
一旦文件得到各方签署,ENSIA 协调员就会将问责报告上传至 ENSIA 门户。提交问责报告的截止日期是4月30日。
发货时间 - 4 月 30 日至 7 月 15 日
除了责任报告外,CISO还起草了“信息安全”部分。此段将被纳入市政府的年度报告中。此外,在此阶段,问责报告将与市议会共享。执行局通过年度报告,其中包括信息安全部分。
市议会批准年度报告,其中包括有关信息安全段落。市议会已经收到了问责报告。最后,执行委员会于7月15日之前向全省提交批准的年度报告。
ENSIA 审计对于市政当局来说是强制性的,并且在问责期内进行。许多市政当局选择进行预先审计。在早期阶段(大约十月),审计员将参与市政府的自我评估。审计员评估问责制是否正确执行,并指出市政当局在哪些方面遵守或不遵守安全新西兰电报数据 指南。这将使市政府清楚了解在 12 月 31 日这个最后期限之前还需要做哪些工作。这为问责提供了方向。
审计时,学院报表是调查范围。审计的目的是确保学院声明的正确性。因此,可能会发生这样的情况:您表示您的市政当局不遵守安全指南,并且 ENSIA 审计员也证实了这一点。
使用 ENSIA - 戴明环和改进
对于许多城市来说,ENSIA 自我评估是‘必须的’。然而,通过智能使用 ENSIA 自我评估,它可以支持信息安全的持续改进过程。
BIO 要求各市政府必须拥有 ISMS。 ISMS 代表信息安全管理系统。 ISMS 是由政策、协议和措施组成的体系,旨在确保组织在信息安全领域持续改进。
持续改进基于戴明质量循环,也称为 PDCA 循环。 PDCA 代表计划-执行-检查-行动。通过定期设定目标(计划)。执行计划(做)。反思你的计划(检查)并调整计划(行动)可以帮助组织实现持续改进。
ENSIA 自我评估可以纳入质量圈,作为信息安全政策的“检查”。自我评估的结果为市政府提供了大量的信息安全方面的见解,并提供了许多改进的起点。