De BIO maakt het makkelijker, toch?


Sinds 2013 hanteren gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, provincies en waterschappen hanteren hun eigen normen, de BIR, BIWA en IBI. Alle separate overheidsnormen komen samen in de Baseline Informatiebeveiliging Overheid (BIO). Deze baseline is nu het nieuwe normenkader voor alle overheden.

Alle eerder genoemde baselines binnen de overheid zijn allemaal nog gebaseerd op de NEN/ISO 27001 uit 2005 en lopen achter op de NEN/ISO 27001 uit 2013. De ISO uit 2013 kent een andere indeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking tussen organisaties die gebruikmaken van verschillende versies. De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Met de BIO als gezamenlijke baseline, wordt voorkomen dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO wordt gezamenlijk beheerd, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen.

Uiteindelijk zal de BIO het makkelijker maken, maar voordat we daar zijn, staan we voor een aantal grote uitdagingen. De grootste verandering is dat ook de ENSIA opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten.

 

Meer risicomanagement en explicieter


De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

De BIO verschilt op een aantal belangrijke punten van de BIG:

  1. minder maatregelen (bijna 60% minder);
  2. maatregelen zijn altijd verplicht;
  3. meer risicomanagement (het begint met een QuickScan, de QIS);
  4. 3 basis-beveiligingsniveaus (BBN);
  5. selectie van ontbrekende maatregelen vooraf;
  6. toewijzing van maatregelen op eindverantwoordelijke;
  7. een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus.

 

 

Meteen aan de slag met de BIO

De BIO is vanaf dit jaar het nieuwe normenkader voor alle overheden. Nu moet er daadwerkelijk volgens de BIO gewerkt en verantwoord worden. Laat jouw organisatie toetsen aan de BIO om vervolgens jouw organisatie hierop aan te passen.  De tools van SafeHarbour IC Content en IC Control ondersteunen in de implementatie. Met de GAP-analyse in onze GRC-tool IC Control kun je direct vaststellen waar de GAP in jouw organisatie zit. De risicoanalyse in IC Control maakt je risico’s op een toegankelijke wijze inzichtelijk door deze te identificeren en te analyseren. Daardoor krijg je inzicht in de borging van controls en maak je voor jouw collega’s, het management en bestuur de risico’s inzichtelijk. Ook vind je in IC Control de omschrijving van de bedrijfsprocessen. Maatregelen vanuit de 270002  zijn al voor je gekoppeld aan de normen. Ook is IC Control direct te koppelen aan IC Content.

IC Content is dé ISMS- ondersteunende tool mét content en bevat onder andere een Informatieveiligheidsbeleid gericht op de BIO en een vertaling van het normenkader BIO naar procedures en andere handvatten, zodat je meteen aan de slag kunt.

 

Ondersteuning en advies voor de BIO

Wil je meer weten over wat de BIO voor jouw organisatie gaat betekenen en hoe onze tools en de SafeHarbour-consultants en -auditoren kunnen ondersteunen en helpen? Neem vrijblijvend contact met ons op via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl