De transitie naar de Baseline Informatiebeveiliging Overheid (BIO)
Vanaf 2020 zijn alle overheden verplicht om te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). In dit artikel lees je hier meer over.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlVanaf 2020 zijn alle overheden verplicht om te voldoen aan de ‘nieuwe’ norm genaamd ‘Baseline Informatiebeveiliging Overheid (BIO)’. De BIO is de opvolger/samenvoeging van de Baseline Informatiebeveiliging Gemeenten (BIG), de Baseline Informatiebeveiliging Rijksdienst (BIR), de Baseline Informatiebeveiliging Waterschappen (BIWA) en de Interprovinciale Baseline Informatiebeveiliging (IBI). Het jaar 2019 is het zogenaamde overgangsjaar waarin overgegaan kan worden van deze normen naar de BIO. Overheidsinstanties dienen op 1 januari 2020 de transitie gemaakt te hebben naar de Baseline Informatiebeveiliging Overheid (BIO).
Van ‘oude’ normen naar één integrale norm
Risicogebaseerd denken
Eén van de grootste veranderingen van de BIO ten opzichte van bijv. de BIG, is dat meer dan 200 beheersmaatregelen in de BIO niet meer zijn benoemd. De BIO is namelijk opgezet om gemeentes vanuit een meer risicogebaseerde denkwijze de voor hen relevante beheersmaatregelen te laten treffen. Echter, de beheersmaatregelen die in de BIO zijn opgenomen, zijn verplicht voor alle overheden.
Drie basisbeveiligingsniveaus
Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Des te hoger het niveau, des te hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem van een organisatie zich bevindt, biedt de BIO een Quickscan Information Security (QIS). Aan de hand van de QIS kun je vervolgens de BNN-toets uitvoeren.
Gebaseerd op ISO 27002
Daarnaast is er nog een ander groot verschil. De BIO is namelijk gebaseerd op de meest actuele versie van de ISO 27002. Dit zorgt onder meer voor andere beheersmaatregelen uit de annex A van de ISO 27002.
Beheersmaatregelen en rollen
Ook wordt er in de BIO expliciet aandacht gegeven aan de toewijzing van beheersmaatregelen aan een eindverantwoordelijke. Er wordt in de BIO aangegeven welke beheersmaatregelen voor welke rollen van toepassing zijn. Denk hierbij aan: directie, proces-eigenaren en de dienstenleverancier. Verder wordt er ingezoomd op bewustwording; informatiebeveiliging is immers de verantwoordelijkheid van iedereen!
PDCA en ISMS
Overige verschillen zitten voornamelijk in de relatie tussen risicomanagement en de Plan-Do-Check-Act (Deming Cirkel) van het Information Security Management System (ISMS) en de control cyclus van de overheid. Het opzetten van een ISMS wordt een minimale eis waaraan voldaan dient te worden.
De rol van een (C)ISO
De implementatie van de ‘nieuwe’ baseline BIO lijkt voor sommige overheden een doel te zijn dat gerealiseerd moet worden door de (C)ISO. De baseline is daarentegen echter opgericht om te dienen als een instrument om de beheersmaatregelen gestructureerd in te voeren. Elke beheersmaatregel moet afzonderlijk worden onderzocht en per informatiesysteem dient gekeken te worden of de beheersmaatregel passend is of dat er afgeweken wordt (het zogenaamde pas toe of leg uit principe). Het doel van informatiebeveiliging is dat risico’s ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid (BIV-classificatie) van informatie worden voorkomen. Hierdoor is het niet het doel van de (C)ISO, maar van de gehele managementlaag/overheid.
Bereid jezelf tijdig voor!
Om je als (C)ISO en overheidsorgaan goed voor te bereiden op de verplichtingen vanuit de BIO en de transitie naar de Baseline Informatiebeveiliging Overheid, is ons advies om zo snel mogelijk te starten met het in kaart brengen van het risicomanagementproces en het aanleren van de risico gebaseerde denkwijze in de gehele organisatie.
Hulp nodig? CertificeringsAdvies Nederland adviseert en ondersteunt organisaties met het voldoen aan de Baseline Informatiebeveiliging Overheid. Wij bieden daarbij o.a. de volgende diensten aan:
- Het uitvoeren van een Quickscan Information Security (QIS);
- Het uitvoeren van de BBN-toets;
- Het opstellen van een concreet actieplan;
- Het uitvoeren van een interne audit op het gehele ISMS en de beheersmaatregelen.
Benieuwd naar de mogelijkheden? Neem dan gerust contact met ons op!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlKom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
- Altijd een oplossing op maat
- Jouw organisatie als uitgangspunt
- Snel, pragmatisch en persoonlijk