Één baseline informatieveiligheid voor overheden

Één baseline informatieveiligheid voor overheden

Door: Ingermar Vrossink

Introductie

De Baseline Informatiebeveiliging Overheid (BIO) is vanaf 1 januari 2020 van kracht en vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Met deze vervanging en introductie ontstaat er één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid en is gebaseerd op de ISO-norm. De baseline informatieveiligheid voor Gemeenten (BIG) is de grondslag voor de doorontwikkeling naar de BIO, de BIO is dus een update van de BIG. Binnen de BIO wordt er bijvoorbeeld meer nadruk gelegd op risicomanagement, waarbij de rol van de bestuurder en lijnmanager, i.r.t risicomanagement, explicieter zijn weergegeven. Om per 1 januari 2020 aan de BIO te voldoen, moeten overheden zich dit jaar voorbereiden op de overgang.

De praktijk

De afgelopen jaren is er veel gedaan om te kunnen voldoen aan normenkaders zoals BIR en BIG, allen een afgeleide van de ISO 27001. En nu is er de BIO, één norm voor verschillende overheden wat het een stuk eenvoudiger zou moeten maken. Dat is deels ook wel waar; de BIO bevat minder maatregelen, is sterk gerelateerd aan de ISO 27001, is risk-based (QIS) en werkt met basisbeveiligingsniveaus (BBN). Aan de andere kant vraagt het wel om een migratie van de huidige geïmplementeerde normen, want even simpelweg een-op-een overzetten is er helaas niet bij.

Bij veel organisaties blijkt het voldoen aan wet- en regelgeving, maar meer nog aan een normenkader, niet of moeilijk realiseerbaar. Consultants of auditors gaan langs een checklist en kijken hoog-over naar de maatregelen met als resultaat dat er op de werkvloer niet voldoende volgens het beleid wordt gewerkt. Aanvragen zijn over het algemeen gericht op het implementeren van een normenkader waarbij het ontbreekt aan de samenwerking met de praktijk.

Het kan ook anders

VIP Compliance is een dienst van Ventus IT Professionals dat volgens het beleid (wet- en regelgeving en normenkaders) wordt doorgevoerd naar de lijn en daar plat wordt geïmplementeerd. Dat wil zeggen dat maatregelen niet opgedrongen worden vanuit het management of letterlijk moeten worden opgevolgd, maar binnen de kaders wordt begeleid tot de gewenste invulling van de maatregelen op operationeel niveau. Op deze wijze wordt het geen procesdocument of papieren tijger, maar krijgt de norm inhoud door de juiste invulling ervan vanuit praktisch oogpunt. Het resultaat is een juist beveiligingsniveau van de architectuur, beveiligd en werkbaar.

Een groot bijkomend voordeel is dat het met de implementatie van de BIO ook erg goed werken is richting ISO 27001 certificering, iets wat meer en meer een vereiste wordt vanuit klanten of leveranciers. Uiteraard werkt de compliance ook wanneer nog geen baseline is doorgevoerd, maar er direct wordt begonnen met de BIO of aan een andere norm zoals bijvoorbeeld de NEN 7510 voor de zorg.

De BIO is sinds 1 januari 2019 gepubliceerd met een implementatieperiode van een jaar. Het is echter wel van belang tijdig met de migratie of implementatie te beginnen om in 2020 te kunnen voldoen aan deze baseline.

Waar zitten de verschillen?

Zoals eerder aangegeven is een groot verschil tussen de BIO en BIR of BIG dat er veel minder maatregelen zijn (zo’n 60%) en dat het ook meer risico gerelateerd werkt. De BIO maakt gebruik van zogenaamde BBN’s (Basis Beveiligingsniveau’s) en QIS (risico analyse). Het voordeel van een risico gedreven implementatie is dat er veel minder letterlijk naar maatregelen gekeken wordt om hieraan te voldoen, maar dat de risico analyse de prioriteit gaan bepalen. Dit betekent dat compliance veel meer inhoud gaat krijgen. In control zijn geeft nu meer aan dat men bewust is van de status in plaats van weten hoeveel maatregelen nog geïmplementeerd moeten worden. Daarnaast is de BIO gebaseerd op de ISO 27001 uit 2013 terwijl de oude normen uit gaan van de normen uit 2005. Dus als migratie toch aan de orde is, is de BIO een logische stap.

No alt text provided for this image

Hoe kunnen wij u helpen?

Informatiebeveiliging staat centraal voor de security specialisten van Ventus IT Professionals. Wij hebben security specialisten, consultants en architecten in dienst, die allen gecertificeerd zijn en u kunnen voorzien van onafhankelijk advies en begeleiding, of het nu gaat om een migratie, implementatie of audit. Ventus IT Professionals opereert altijd onafhankelijk en is op geen enkele wijze gelieerd aan hard- en/of software leveranciers en heeft hierin ook geen enkel belang. Wij adviseren te allen tijde in het belang van onze klanten. Op de hoogte blijven van meer nieuws? Volg dan onze Ventus LinkedIn pagina.