Baseline Informatiebeveiliging Overheid (BIO) in zicht

Van de BIG, BIWA en BIR naar de Baseline Informatiebeveiliging Overheid (BIO)
Vanaf 01 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) dé norm voor de gehele overheid voor informatiebeveiliging. De BIO, gebaseerd op de ISO 27001 uit 2013, is de opvolger van alle normen die worden gebruikt binnen de overheid voor informatiebeveiliging waar onder de BIWA, BIG en BIR.

De BIO maakt het makkelijker, toch?
Sinds 2013 hanteren gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, provincies en waterschappen hanteren hun eigen normen, de BIR, BIWA en IBI. Alle separate overheidsnormen komen samen in de Baseline Informatiebeveiliging Overheid (BIO). De nieuwe baseline is het nieuwe normenkader voor alle overheden.

Alle eerder genoemde baselines binnen de overheid zijn allemaal nog gebaseerd op de NEN/ISO 27001 uit 2005 en lopen achter op de NEN/ISO 27001 uit 2013. De ISO uit 2013 kent een andere indeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking tussen organisaties die gebruikmaken van verschillende versies. De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Met de BIO als een gezamenlijke baseline, wordt voorkomen dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO wordt gezamenlijk beheerd, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen.

Uiteindelijk zal de BIO het makkelijker maken, maar voordat we daar zijn, staan we voor een aantal grote uitdagingen. De grootste verandering is dat ook de ENSIA opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten.

Meer risicomanagement en explicieter
De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

De BIO verschilt op een aantal belangrijke punten van de BIG:

  1. minder maatregelen (bijna 60% minder);
  2. maatregelen zijn altijd verplicht;
  3. meer risicomanagement (het begint met een QuickScan, de QIS);
  4. 3 basis-beveiligingsniveaus (BBN);
  5. selectie van ontbrekende maatregelen vooraf;
  6. toewijzing van maatregelen op eindverantwoordelijke;
  7. een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus.

Overgangsjaar
Met ingang van 1 januari 2019 is de BIO het nieuwe normenkader worden voor alle overheden. Het jaar 2019 geldt als overgangsjaar wat betekent dat vanaf 1 januari 2020 daadwerkelijk volgens de BIO gewerkt en verantwoord moet worden. Dat lijkt nu nog ver weg, maar gelet op dat wat er nog moet gebeuren, is dat erg dichtbij.

Kunt u zich al voorbereiden?
Dat kan zeker! Hoe eerder u hiermee aan de gang gaat, de beter. Start vanaf maart met het toetsen van uw organisatie aan de nieuwe BIO. Zo kunt u uw organisatie geleidelijk aanpassen en gereed zijn op 01 januari 2020. Wilt u meer weten over wat de BIO voor uw organisatie gaat betekenen? Heeft u advies nodig in de ombuiging? De SafeHarbour-consultants en -auditoren staan klaar om u te helpen. Neem vrijblijvend contact met ons op via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl