16.03.2020

De Baseline Informatiebeveiliging Overheid (BIO) implementeren met de tools van SafeHarbour

De Baseline Informatiebeveiliging Overheid (BIO) is nu dé norm voor de gehele overheid voor informatiebeveiliging. Meer nadruk op risicomanagement staat centraal in deze nieuwe norm. Uiteindelijk zal de BIO het makkelijker maken. Echter sta je als gemeente eerst voor een aantal grote uitdagingen. Nu moet er daadwerkelijk volgens de BIO gewerkt én verantwoord worden.

Wie betrek je erbij en hoe?

De BIO gaat niet alleen Burgerzaken aan. Het is een samenspel van diverse specialisten zoals, inkoop, applicatiebeheerders, facilitair medewerkers, ICT specialisten en HRM medewerkers. Daarom moet de BIO gemeente breed worden geïmplementeerd. Zorg hierbij dat je het behapbaar houdt voor jezelf en collega’s. Met realistische timings behaal je gezamenlijk de gestelde doelen en blijft de energie erin. Start met een klein groepje en gebruik dat succes om andere medewerker te betrekken en  te enthousiasmeren. Dit vraagt wel om persoonlijke aandacht en een switch van zelf doen naar coaching.

Waar begin je?

De implementatie van de BIO kost veel tijd. Bovendien: waar begin je? Met de tools van SafeHarbour IC Content en IC Control kun je direct aan de slag met de implementatie van de BIO. De IBD heeft een stappenplan opgesteld om de BIO te implementeren. Op basis van dit stappenplan met 13 stappen lichten wij in het document Implementatie van de BIO met IC Control en IC Content toe hoe je met gebruik van de tools van SafeHarbour de stappen eenvoudig kunt doorlopen. De functionaliteit en content van de tools schelen je veel tijd in het implementeren. Gelukkig begin je niet van nul af aan. Je hebt immers reeds al maatregelen uit de BIG geïmplementeerd die voor een deel terugkomen in de BIO.

Hoe helpen de tools van SafeHarbour met het implementeren van de BIO?

Wat is in hoofdlijnen de werking van iedere tool is en hoe sluiten deze aan op de BIO? Om volledig in control komen op de gebieden van informatiebeveiliging en privacy zijn er twee cycli.

Op strategisch niveau: GRC-tool IC Control
De eerste cyclus bevind zich op strategisch en tactisch niveau. Op dit niveau wordt beleid gemaakt. Het beleid geeft aan wat het ambitieniveau van de organisatie is en hoe zij ervoor gaat zorgen dat het ambitieniveau wordt gehaald. Voor de CISO is het op dit niveau van belang om inzicht te hebben in de mate waarin voldaan wordt aan de eisen. De tooling die hier inzicht in geeft noemen we ook wel GRC-tooling. Deze ondersteunt in feite het continu bijhouden van een GAP-analyse en helpt bij het identificeren en afhandelen van bedreigingen.

In de BIO staat risicomanagement centraal. Met de GAP-analyse in de GRC-tool IC Control van SafeHarbour kun je direct vaststellen waar de GAP in jouw organisatie zit. De risicoanalyse van IC Control maakt je risico’s op een toegankelijke wijze inzichtelijk door deze te identificeren en te analyseren. Daardoor krijg je inzicht in de borging van controls en maak je voor jouw collega’s, het management en bestuur de risico’s inzichtelijk. Ook vind je in IC Control de omschrijving van de bedrijfsprocessen. Maatregelen vanuit de 270002 zijn al voor je gekoppeld aan de normen. IC Control is direct te koppelen aan IC Content.

Op operationeel niveau: ISMS- ondersteunende tool IC Content
De tweede cyclus bevind zich op operationeel niveau. Op dit niveau is het van belang dat het beleid is vertaald in concrete richtlijnen en procedures. De vertaling van de maatregelen van de BIO vind je terug in IC Content. IC Content bevat onder andere een Informatieveiligheidsbeleid gericht op de BIO en een vertaling van het normenkader BIO naar procedures en andere handvatten, zodat je meteen aan de slag kunt. De grootste uitdaging is het controleren op de naleving van de richtlijnen en procedures en het actueel houden van de procedures. IC Content stelt proceseigenaren en vakspecialisten in staat om de richtlijnen en procedures bij te houden.

Ondersteuning en advies voor de BIO

Wil je meer weten over wat de BIO voor jouw organisatie gaat betekenen en hoe onze tools en de SafeHarbour-consultants en -auditoren kunnen ondersteunen en helpen? Neem voor een vrijblijvende demo of gesprek contact met ons op via telefoonnummer 085 – 30 30 279 of per e-mail naar info@safeharbour.nl