De BIO maakt het makkelijker, toch?

Sinds 2013 hanteren gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, provincies en waterschappen hanteren hun eigen normen, de BIR, BIWA en IBI. Alle separate overheidsnormen komen samen in de Baseline Informatiebeveiliging Overheid (BIO). Deze baseline is nu het nieuwe normenkader voor alle overheden.

Alle eerder genoemde baselines binnen de overheid zijn allemaal nog gebaseerd op de NEN/ISO 27001 uit 2005 en lopen achter op de NEN/ISO 27001 uit 2013. De ISO uit 2013 kent een andere indeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking tussen organisaties die gebruikmaken van verschillende versies. De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Met de BIO als gezamenlijke baseline, wordt voorkomen dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO wordt gezamenlijk beheerd, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen.

Uiteindelijk zal de BIO het makkelijker maken, maar voordat we daar zijn, staan we voor een aantal grote uitdagingen. De grootste verandering is dat ook de ENSIA opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten.

Meer risicomanagement en explicieter

De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

De BIO verschilt op een aantal belangrijke punten van de BIG:

  1. minder maatregelen (bijna 60% minder);
  2. maatregelen zijn altijd verplicht;
  3. meer risicomanagement (het begint met een QuickScan, de QIS);
  4. 3 basis-beveiligingsniveaus (BBN);
  5. selectie van ontbrekende maatregelen vooraf;
  6. toewijzing van maatregelen op eindverantwoordelijke;
  7. een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus.

Meteen aan de slag met de BIO

De Baseline Informatiebeveiliging Overheid (BIO) is nu dé norm voor de gehele overheid voor informatiebeveiliging. De BIO, gebaseerd op de ISO 27001 uit 2013, is de opvolger van alle normen die worden gebruikt binnen de overheid voor informatiebeveiliging waar onder de BIWA, BIG en BIR. Meer nadruk op risicomanagement staat centraal in deze nieuwe norm. Uiteindelijk zal de BIO het makkelijker maken. Echter sta je als gemeente eerst voor een aantal grote uitdagingen. Nu moet er daadwerkelijk volgens de BIO gewerkt én verantwoord worden.

 

Wie betrek je erbij en hoe?

De BIO gaat niet alleen Burgerzaken aan. Het is een samenspel van diverse specialisten zoals, inkoop, applicatiebeheerders, facilitair medewerkers, ict specialisten en HRM medewerkers. Daarom moet de BIO gemeente breed worden geïmplementeerd. Zorg hierbij dat je het behapbaar houdt voor jezelf en collega’s. Met realistische timings behaal je gezamenlijk de gestelde doelen en blijft de energie erin. Een praktische werkwijze is de olievlek methode. Door te starten met een klein groepje kan je dat succes gebruiken om andere medewerker te betrekken en wellicht te enthousiasmeren. Dit vraagt wel om persoonlijke aandacht en een switch van zelf doen naar coaching.

 

Waar begin je?

De implementatie van de BIO kost veel tijd. Bovendien: waar begin je? Met de tools van SafeHarbour IC Content en IC Control kun je direct aan de slag met de implementatie van de BIO. De IBD heeft een stappenplan opgesteld om de BIO te implementeren. Op basis van dit stappenplan met 13 stappen lichten wij in het document Implementatie van de BIO met IC Control en IC Content toe hoe je met gebruik van de tools van SafeHarbour de stappen eenvoudig kunt doorlopen. De functionaliteit en content van de tools schelen je veel tijd in het implementeren. Gelukkig begin je niet van nul af aan. Je hebt immers reeds al maatregelen uit de BIG geïmplementeerd die voor een deel terugkomen in de BIO.

 

Hoe helpen de tools van SafeHarbour met het implementeren van de BIO?

Voordat we overgaan op de ondersteuning die de tools van SafeHarbour bieden per stap in het implementatie stappenplan van de IBD, schetsen wij eerst in hoofdlijnen wat de werking van iedere tool is en hoe deze aansluit op de BIO. Om volledig in control komen op de gebieden van informatiebeveiliging en privacy zijn er twee cycli.

 

Op strategisch niveau: GRC-tool IC Control
De eerste cyclus bevind zich op strategisch en tactisch niveau. Op dit niveau wordt beleid gemaakt. Het beleid geeft aan wat het ambitieniveau van de organisatie is en hoe zij ervoor gaat zorgen dat het ambitieniveau wordt gehaald. Voor de CISO is het op dit niveau van belang om inzicht te hebben in de mate waarin voldaan wordt aan de eisen. De tooling die hier inzicht in geeft noemen we ook wel GRC-tooling. Deze ondersteunt in feite het continu bijhouden van een GAP analyse en helpt bij het identificeren en afhandelen van bedreigingen.

In de BIO staat risicomanagement centraal. Met de GAP-analyse in de GRC-tool IC Control van SafeHarbour kun je direct vaststellen waar de GAP in jouw organisatie zit. De risicoanalyse van IC Control maakt je risico’s op een toegankelijke wijze inzichtelijk door deze te identificeren en te analyseren. Daardoor krijg je inzicht in de borging van controls en maak je voor jouw collega’s, het management en bestuur de risico’s inzichtelijk. Ook vind je in IC Control de omschrijving van de bedrijfsprocessen. Maatregelen vanuit de 270002 zijn al voor je gekoppeld aan de normen. IC Control direct te koppelen aan IC Content.

 

Op operationeel niveau: ISMS- ondersteunende tool IC Content
De tweede cyclus bevind zich op operationeel niveau. Op dit niveau is het van belang dat het beleid is vertaald in concrete richtlijnen en procedures. De vertaling van de maatregelen van de BIO vind je terug in IC Content. IC Content bevat onder andere een Informatieveiligheidsbeleid gericht op de BIO en een vertaling van het normenkader BIO naar procedures en andere handvatten, zodat je meteen aan de slag kunt. De grootste uitdaging is het controleren op de naleving van de richtlijnen en procedures en het actueel houden van de procedures. IC Content stelt proceseigenaren en vakspecialisten in staat om de richtlijnen en procedures bij te houden.

 

Ondersteuning en advies voor de BIO

Wil je meer weten over wat de BIO voor jouw organisatie gaat betekenen en hoe onze tools en de SafeHarbour-consultants en -auditoren kunnen ondersteunen en helpen? Neem vrijblijvend contact met ons op via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl