Contact

De 10 bestuurlijke principes voor informatiebeveiliging

Met de komst van de BIO zijn ook de 10 bestuurlijke principes voor informatiebeveiliging geïntroduceerd.

10 bestuurlijke principes voor informatiebeveiliging
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Vanwege de toegenomen digitalisering is er permanente aandacht nodig voor informatiebeveiliging binnen de overheid. Met die achterliggende gedachte is de Baseline Informatiebeveiliging Overheid in het leven geroepen. Vanaf 1 januari 2020 zijn alle overheidsinstanties, en partijen die samenwerken met de overheid, verplicht om hieraan te voldoen. De nieuwe richtlijn vervangt de bestaande normen zoals de BIR, BIR 2017, BIG, BIWA en de IBI. De BIO is in tegenstelling tot de huidige richtlijnen veel meer gericht op risicomanagement en maakt van informatiebeveiliging veel meer de zaak van de bestuurder. Om bestuurders met die verantwoordelijkheid te helpen zijn er door de Vereniging Nederlandse Gemeenten (VNG) de 10 bestuurlijke principes voor informatiebeveiliging opgesteld. Daarover lees je meer in dit artikel.

Baseline informatiebeveiliging
Wil je meer lezen over de BIO? Bekijk dan het artikel:

De transitie naar de Baseline Informatiebeveiliging Overheid (BIO)

Focus op risico-gebaseerd denken

De BIO staat voor een veilige digitale overheid en is gebaseerd op de actuele, internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002). Eén van de grootste veranderingen hierdoor is dat er in de BIO veel meer focus wordt gelegd op risico-gebaseerd denken. In de BIO-richtlijn zijn weliswaar minder beheersmaatregelen opgenomen dan in de huidige normen, maar de beheersmaatregelen die in de BIO staan zijn wel verplicht voor alle overheden.

Informatiebeveiliging als bestuursverantwoordelijkheid

Doordat er in de BIO meer nadruk wordt gelegd op risicomanagement zal de rol van de bestuurder en het lijnmanagement ten aanzien van risicomanagement veranderen. In de BIO wordt namelijk expliciet aandacht gegeven aan het toewijzen van beheersmaatregelen aan een eindverantwoordelijke. Informatiebeveiliging is immers een zaak van de business en de lijnorganisatie en is daarmee verankerd in de bestuursverantwoordelijkheid van de organisatie.

Om als bestuurder en lijnmanagement invulling te kunnen geven aan die verantwoordelijkheid is er door de Vereniging van Nederlandse Gemeenten (VNG) tegelijkertijd bij de introductie van de BIO een handreiking ’10 bestuurlijke principes voor informatiebeveiliging’ uitgegeven. Dit zijn tips en richtlijnen die een bestuurder kan gebruiken bij de implementatie van de Baseline Informatiebeveiliging Overheid en bij het invulling geven aan zijn functie.

Wil je advies over de BIO of meer weten over de mogelijkheden? Bekijk dan onze BIO-adviespagina en vraag informatie aan!

10 bestuurlijke principes voor informatiebeveiliging

De lijst met bestuurlijke principes vormt hierdoor als het ware een leidraad voor de uitvoering van informatiebeveiliging, het bijbehorende risicomanagement en de beheersmaatregelen die daaronder vallen. In de BIO wordt aangegeven welke beheersmaatregelen voor welke rollen van toepassing zijn. Denk daarbij aan rollen als directie, proces-eigenaren en de dienstenleverancier.

De 10 bestuurlijke principes voor informatiebeveiliging (bron: VNG) zijn te vinden op de website van VNG. Het uitgangspunt van het document is als volgt: Informatiebeveiliging creëert waarde, voorkomt schade en draagt bij aan de bedrijfsdoelstellingen van de organisatie. Om dat te bewerkstelligen zijn de volgende 10 principes belangrijk:

  1. Bestuurders bevorderen een veilige/open aanspreekcultuur
    Menselijk gedrag en cultuur beïnvloeden op significante wijze alle aspecten van risicomanagement op elk niveau en in elk stadium.
  2. Informatiebeveiliging is van iedereen
    Passende en tijdige betrokkenheid van belanghebbenden maakt het mogelijk dat hun kennis, opvattingen en percepties in aanmerking worden genomen. Dit resulteert in een verbeterd bewustzijn en goed geïnformeerd risicomanagement.
  3. Informatiebeveiliging is risicomanagement
    Risicomanagement wordt bewust toegepast bij alle organisatie activiteiten.
  4. Risicomanagement is onderdeel van de besluitvorming
    Risicomanagement is onderdeel van alle besluiten en risicomanagement is chefsache.
  5. Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking
    Het risicomanagementproces is aangepast en staat in verhouding tot de externe en interne context van de organisatie die verband houdt met haar doelstellingen.
  6. Informatiebeveiliging is een proces
    Risico’s kunnen ontstaan, veranderen of verdwijnen als de externe en interne context van een organisatie verandert. Risicomanagement detecteert en anticipeert op die veranderingen en gebeurtenissen op een gepaste en tijdige manier.
  7. Informatiebeveiliging kost geld
    Risico’s moeten behandeld worden en er zijn vele manieren om veiligheid te realiseren, maar aan alle zijn kosten verbonden.
  8. Onzekerheid dient te worden ingecalculeerd
    De input voor risicomanagement is gebaseerd op historische en actuele informatie, evenals op toekomstige verwachtingen. Risicomanagement houdt expliciet rekening met eventuele beperkingen en onzekerheden die aan dergelijke informatie en verwachtingen zijn verbonden. Informatie moet tijdig, duidelijk en beschikbaar zijn voor relevante belanghebbenden.
  9. Verbetering komt voort uit leren en ervaring
    Risicobeheer wordt voortdurend verbeterd door leren en ervaring.
  10. Het bestuur controleert en evalueert
    Risicomanagement is het controleren en evalueren van resultaten, evenals het nemen van eindverantwoordelijkheid en het doorhakken van lastige knopen.

Ondersteuning nodig bij de implementatie van de BIO?

CertificeringsAdvies Nederland adviseert en ondersteunt organisaties met het voldoen aan de Baseline Informatiebeveiliging Overheid. Wij bieden daarbij o.a. de volgende diensten aan:

  • Het uitvoeren van een Quickscan Information Security (QIS);
  • Het uitvoeren van de BBN-toets;
  • Het opstellen van een concreet actieplan;
  • Het uitvoeren van een interne audit op het gehele ISMS en de beheersmaatregelen.

Benieuwd naar de mogelijkheden? Neem dan gerust contact met ons op!

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

BBN bepalen?

Download het stappenplan Quickscan Information Security!

  • Voldoe eenvoudig aan verplichtingen
  • Handig stappenplan
  • Overzichtelijk op een rij
Download stappenplanContact

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields

Nieuwsbrief

Informatiebeveiliging

Nut of noodzaak?

Informatie is van grote waarde voor bedrijven. Een digitale strategie met belangrijke plaats voor informatiebeveiliging is pure noodzaak.

Lees meer

Gerelateerde artikelen