De BIO maakt het makkelijker, toch?

Sinds 2013 hanteren gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, provincies en waterschappen hanteren hun eigen normen, de BIR, BIWA en IBI. Alle separate overheidsnormen komen samen in de Baseline Informatiebeveiliging Overheid (BIO). Deze baseline is nu het nieuwe normenkader voor alle overheden.

Lees meer

Alle eerder genoemde baselines binnen de overheid zijn allemaal nog gebaseerd op de NEN/ISO 27001 uit 2005 en lopen achter op de NEN/ISO 27001 uit 2013. De ISO uit 2013 kent een andere indeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking tussen organisaties die gebruikmaken van verschillende versies. De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Met de BIO als gezamenlijke baseline, wordt voorkomen dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO wordt gezamenlijk beheerd, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen.

Uiteindelijk zal de BIO het makkelijker maken, maar voordat we daar zijn, staan we voor een aantal grote uitdagingen. De grootste verandering is dat ook de ENSIA opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten.

Meer risicomanagement en explicieter

De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

De BIO verschilt op een aantal belangrijke punten van de BIG:

  1. minder maatregelen (bijna 60% minder);
  2. maatregelen zijn altijd verplicht;
  3. meer risicomanagement (het begint met een QuickScan, de QIS);
  4. 3 basis-beveiligingsniveaus (BBN);
  5. selectie van ontbrekende maatregelen vooraf;
  6. toewijzing van maatregelen op eindverantwoordelijke;
  7. een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus.

Meteen aan de slag met de BIO

De Baseline Informatiebeveiliging Overheid (BIO) is nu dé norm voor de gehele overheid voor informatiebeveiliging. De BIO, gebaseerd op de ISO 27001 uit 2013, is de opvolger van alle normen die worden gebruikt binnen de overheid voor informatiebeveiliging waar onder de BIWA, BIG en BIR. Meer nadruk op risicomanagement staat centraal in deze nieuwe norm. Uiteindelijk zal de BIO het makkelijker maken. Echter sta je als gemeente eerst voor een aantal grote uitdagingen. Nu moet er daadwerkelijk volgens de BIO gewerkt én verantwoord worden.

Wie betrek je erbij en hoe?

De BIO gaat niet alleen Burgerzaken aan. Het is een samenspel van diverse specialisten zoals, inkoop, applicatiebeheerders, facilitair medewerkers, ICT specialisten en HRM medewerkers. Daarom moet de BIO gemeente breed worden geïmplementeerd. Zorg hierbij dat je het behapbaar houdt voor jezelf en collega’s. Met realistische timings behaal je gezamenlijk de gestelde doelen en blijft de energie erin. Een praktische werkwijze is de olievlek methode. Door te starten met een klein groepje kan je dat succes gebruiken om andere medewerker te betrekken en wellicht te enthousiasmeren. Dit vraagt wel om persoonlijke aandacht en een switch van zelf doen naar coaching.

Waar begin je?

De implementatie van de BIO kost veel tijd. Bovendien: waar begin je? Met de tools van Inergy kun je direct aan de slag met de implementatie van de BIO. De functionaliteit en content van de tools schelen je veel tijd in het implementeren. Gelukkig begin je niet van nul af aan. Je hebt immers reeds al maatregelen uit de BIG geïmplementeerd die voor een deel terugkomen in de BIO.

Hoe helpen de tools van Inergy met het implementeren van de BIO?

Voordat we overgaan op de ondersteuning die de tools bieden per stap in het implementatie stappenplan van de IBD, schetsen wij eerst in hoofdlijnen wat de werking van iedere tool is en hoe deze aansluit op de BIO. Om volledig in control komen op de gebieden van informatiebeveiliging en privacy zijn er twee cycli.

Op strategisch niveau

De eerste cyclus bevind zich op strategisch en tactisch niveau. Op dit niveau wordt beleid gemaakt. Het beleid geeft aan wat het ambitieniveau van de organisatie is en hoe zij ervoor gaat zorgen dat het ambitieniveau wordt gehaald. Voor de CISO is het op dit niveau van belang om inzicht te hebben in de mate waarin voldaan wordt aan de eisen. De tooling die hier inzicht in geeft noemen we ook wel GRC-tooling. Deze ondersteunt in feite het continu bijhouden van een gap-analyse en helpt bij het identificeren en afhandelen van bedreigingen.

In de BIO staat risicomanagement centraal. Met de gap-analyse in LIAS ISMS kun je direct vaststellen waar de GAP in jouw organisatie zit. De risicoanalyse van LIAS ISMS  maakt je risico’s op een toegankelijke wijze inzichtelijk door deze te identificeren en te analyseren. Daardoor krijg je inzicht in de borging van controls en maak je voor jouw collega’s, het management en bestuur de risico’s inzichtelijk. Ook vind je in  de omschrijving van de bedrijfsprocessen. Maatregelen vanuit de 270002 zijn al voor je gekoppeld aan de normen.

Lees ook: gap-analyse: Excel of toch liever een GRC-tool?

Op operationeel niveau

De tweede cyclus bevind zich op operationeel niveau. Op dit niveau is het van belang dat het beleid is vertaald in concrete richtlijnen en procedures. De vertaling van de maatregelen van de BIO vind je terug in LIAS ISMS. Het LIAS ISMS bevat onder andere een Informatieveiligheidsbeleid gericht op de BIO en een vertaling van het normenkader BIO naar procedures en andere handvatten, zodat je meteen aan de slag kan. De grootste uitdaging is het controleren op de naleving van de richtlijnen en procedures en het actueel houden van de procedures. De tool stelt proceseigenaren en vakspecialisten in staat om de richtlijnen en procedures bij te houden.

Whitepaper

Timeline informatiebeveiliging, privacy en auditing 2021

Download gratis de timeline informatiebeveiliging, privacy en auditing 2021 met alle belangrijke deadlines. In de Timeline staan belangrijke data van verplichte audits zoals ENSIA, SUWI en DigiD. Daarnaast vind je alle deadlines ten aanzien van de regels en verordeningen van de BIO, AVG, PNIK, BRP, BGT, BRO, SUWI, Rodin en KIDO.

Download nu

Joost van Bree

Accountmanager

Ondersteuning en advies voor de BIO

Wil je meer weten over wat de BIO voor jouw organisatie gaat betekenen en hoe onze tools, consultants en auditoren kunnen ondersteunen en helpen? Neem vrijblijvend contact met ons op.

Bel ons op 0348 45 76 66

Mail Joost van Bree via joost.van.bree@Inergy.nl