Bepaal het basisbeveiligingsniveau (BBN) BIO met de Quickscan Information Security (QIS)

Met de Quickscan Information Security (QIS) en de bijbehorende BBN-toets bepaal je het BBN-niveau van je organisatie.

Basisbeveiligingsniveau Bio
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De Baseline Informatiebeveiliging Overheid (BIO), die inmiddels haar intrede heeft gedaan, wordt per 1 januari 2020 verplicht voor alle overheidsinstanties en leveranciers van de overheid. De BIO vervangt ‘oude’ informatiebeveiligingsnormen binnen de overheid, zoals bijvoorbeeld de BIR en de BIG. Een belangrijk onderdeel van de BIO, dat in eerdere normen ook van toepassing was, is de Quickscan Information Security (QIS) met de daarbij behorende BBN-toets. Deze kan gebruikt worden om het basisbeveiligingsniveau BIO te bepalen. In dit artikel vertellen we daar meer over.

De Quickscan Information Security (QIS) bij de BIO

De QIS is een ideaal uitgangspunt om zo het volwassenheidsniveau van een organisatie te bepalen en van daaruit verder te gaan verbeteren. De Quickscan geeft snel een beeld van de technische en organisatorische beveiligingsmaatregelen van een organisatie. Tijdens de Quickscan wordt per beveiligingsaspect gekeken naar wat de impact voor de organisatie is als gevolg van het optreden van een mogelijk incident waarbij informatie in het informatiesysteem en of de werking daarvan wordt aangetast.

Het basisbeveiligingsniveau (BBN) binnen de BIO

Met de QIS als instrument kan het juiste basisbeveiligingsniveau (BBN) voor een organisatie worden bepaald. Binnen de BIO wordt namelijk op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN). Des te hoger het BBN, des te hoger de potentiële impact. Elk BBN kent een verplichte set aan beveiligingsmaatregelen en ieder niveau is complementair aan het vorige niveau; zo vult BBN 3 het niveau BBN 2 aan en vult BBN 2 weer BBN 1 aan.

Basisbeveiligingsniveau 1 (BBN 1)
Dit is het niveau waaraan alle overheidssystemen minimaal dienen te voldoen. Denk daarbij aan volgen van wet- en regelgeving, de AVG en algemene beheersmaatregelen. Op dit niveau gaat het over openbare en niet-gevoelige informatie.

Basisbeveiligingsniveau 2 (BBN 2)
Bij dit niveau ligt de focus op bewuste bescherming van veelgebruikte informatie. Op dit niveau wordt namelijk vertrouwelijke informatie verwerkt en ook is het zo dat incidenten kunnen leiden tot commotie. De veiligheid van andere systemen is op dit niveau bovendien afhankelijk van de veiligheid van het eigen systeem.

Basisbeveiligingsniveau 3 (BBN 3)
Op dit niveau vindt actieve bescherming van vertrouwelijke en kritische informatie plaats. Dit betreft zeer gevoelige informatie waarbij verlies ervan zeer grote impact heeft. Aansluiting op een infrastructuur van BBN 3 is vereist om informatie te kunnen verwerken op deze infrastructuur.

Bepaal het basisbeveiligingsniveau met de QIS

Om te bepalen op welk niveau een organisatie zich bevindt dient er een BBN-toets te worden uitgevoerd. Wanneer je de QIS doorloopt dan is het vervolgens mogelijk om de BBN-toets voor het bepalen van het BBN-niveau in te vullen. Aan de hand van deze output, in combinatie met de output van de risico-inventarisatie, kunnen aanvullende eisen bepaald worden die nodig zijn om het informatiesysteem te beschermen. De QuickScan Information Security bestaat uit een aantal stappen. Deze zijn overzichtelijk weergegeven in het handige ‘QIS-stappenplan’ dat te downloaden is via deze website. Hieronder een korte uitleg van de te doorlopen stappen.

Allereerst is het zaak dat de scope wordt geïnventariseerd, dat deze informatie wordt gerubriceerd en dat processen worden geclassificeerd. Vervolgens dient er een dreigingsprofiel te worden opgesteld en dienen de betrouwbaarheidseisen (BIV) te worden bepaald. Daarna kan er een basisbeveiligingsniveau (BBN) worden gekozen op basis van de BBN-toets. Na het uitvoeren van de toets wordt bekeken hoe passend het BBN is. Tot slot worden de resultaten van de QIS vastgesteld en worden er eventuele aanvullende controls en maatregelen bepaald. Het resultaat van de QIS is een rapportage waarin de keuze voor het BBN wordt toegelicht.

Bereid jezelf tijdig voor!

Om je als (C)ISO en overheidsorgaan goed voor te bereiden op de verplichtingen vanuit de BIO, is ons advies om zo snel mogelijk te starten met het in kaart brengen van het risicomanagementproces en het aanleren van de risico gebaseerde denkwijze in de gehele organisatie. Hulp nodig? CertificeringsAdvies Nederland adviseert en ondersteunt organisaties met het voldoen aan de Baseline Informatiebeveiliging Overheid. Wij bieden daarbij o.a. de volgende diensten aan:

  • Het uitvoeren van een Quickscan Information Security (QIS);
  • Het uitvoeren van de BBN-toets;
  • Het opstellen van een concreet actieplan;
  • Het uitvoeren van een interne audit op het gehele ISMS en de beheersmaatregelen.

Neem gerust contact met ons op. Onze adviseur vertelt je graag meer!

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

BBN bepalen?

Download het stappenplan Quickscan Information Security!

  • Voldoe eenvoudig aan verplichtingen
  • Handig stappenplan
  • Overzichtelijk op een rij

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields