BIO: Baseline informatiebeveiliging overheid

Deze blog is in samenwerking metAuditTrail geschreven 

De BIO heeft niets te maken met groente of fruit, maar meer met informatiebeveiliging binnen overheden. De BIO staat namelijk voor Baseline Informatiebeveiliging Overheid en is in werking sinds 1 januari 2020. Maar wat houdt de BIO eigenlijk in? Wat zijn de voordelen en de verplichtingen met het werken met de BIO?

De basis van de BIO (en alle andere baselines)

In Nederland, of eigenlijk in West-Europa zijn alle raamwerken in informatiebeveiliging gebaseerd op de NEN-ISO/IEC27000-serie. Daarvan zijn de ISO27001 en ISO27002 de bekendste. De ISO27001 is het managementraamwerk. De PDCA en wat je moet doen om te zorgen dat ‘doen aan security’ niet blijft hangen in de vorm van een project. En dus niet volwassener wordt. De ISO27002 is een heldere en uitgebreide lijst met normen, maatregelen en implementatierichtlijnen, georganiseerd in overzichtelijke domeinen. De ISO wordt, zoals gebruikelijk periodiek geüpdatet. De laatste update was van 2013, die daarvoor van 2005. Zo kan iedereen die zich bezighoudt met risicomanagement meegaan met de tijd! 

De volgende overheidsinstanties dienen te voldoen aan de BIO: 

  • Rijksoverheid 
  • Provinciale staten 
  • Gemeenten  
  • Waterschappen 

Normenkaders in het informatiebeveiligingslandschap

Bij de Nederlandse overheden en in verschillende sectoren werden en worden raamwerken gebruikt die afgeleid zijn van de hierboven genoemde ISO. In de zorg de NEN7510, bij woningcorporaties de BIC. En bij de overheid had iedere bestuurslaag haar eigen baseline: gemeenten de BIG, waterschappen de BIWA, Provincies de IBI en de Rijksoverheid de BIR. 

De BIR was gebaseerd op de ISO-update van 2013, maar de andere baselines waren nog gebaseerd op de versie uit 2005. Dit zorgde voor verwarring en werkte buitengewoon onhandig. Daarnaast ziet de wereld er nu natuurlijk heel anders uit ziet! Ook bleek er een grote behoefte te zijn om één baseline voor de gehele overheid te hebben. Dit stimuleert herkenbaarheid en eenduidigheid. 

Evolutie

Het werd tijd voor een update. De BIO vervangt zowel de BIR, de BIWA, de IBI als de BIG. Wel is de BIO gebaseerd op de BIG; het is een evolutie. Maar wat wil men bereiken met de BIO? 

Met het invoeren van de BIO beoogt men de beveiliging van informatiesystemen bij alle overheidsonderdelen te verbeteren. Alle overheidsinstanties kunnen hiermee aantonen dat de informatie die wordt verstuurd of ontvangen, voldoen aan passende wet- en regelgeving en daarmee goed beveiligd zijn. De BIG was meer ingestoken vanuit het treffen van maatregelen; de BIO legt meer nadruk op risicomanagement. Wat ons betreft een goede ontwikkeling. In onze dagelijkse praktijk zien wij gelukkig dat er steeds meer aandacht is voor de aansluiting tussen informatiebeveiliging en risicomanagement. Daarmee wordt ook impliciet erkend dat security een business risk is. 

De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn: 

  • Meer risicomanagement; 
  • Minder maatregelen (bijna 60% minder); 
  • Maatregelen zijn altijd verplicht; 
  • 3 Basis Beveiliging Niveaus (BBN1 t/m BBN3); 
  • Een baselinetoets die rekening houdt met die 3 niveaus; 
  • Selectie van ontbrekende maatregelen vooraf; 
  • Toewijzing van maatregelen op eindverantwoordelijke. 

De keuze om 3 BBN’s te faciliteren is een goed idee. Dat zorgt ervoor dat de BIO bruikbaar is in verschillende types organisaties met verschillende risicoprofielen. Al met al gaat het om een flink aantal wijzigingen. Ook de aanpak van de BIO is nadrukkelijk anders dan met de BIG. Daarnaast is de verplichte herinrichting van de ENSIA een aanzienlijke wijziging. 

De omschakeling naar de BIO is behoorlijk wat werk, maar goed te doen. De omschakeling geeft anderzijds ook kansen om de gehele aanpak van informatiebeveiliging nog eens goed tegen het licht te houden.

Implementatie van de BIO

Voor een juiste implementatie van de BIO dient men de ISO27002 met alle controls toe te passen (of uit te leggen). Dit heet ook wel “comply or explain” (“pas toe of leg uit”). Het normenkader van de ISO27001 en 2 bestaat uit 114 maatregelen welke eenvoudig en overzichtelijk in te richten zijn binnen de organisatie. Veel van deze maatregelen zullen ook al geïmplementeerd zijn binnen de bestaande processen. Het is echter van groot belang om ervoor te zorgen dat deze maatregelen worden uitgevoerd en dat het duidelijk is waar dit wordt gedaan. 

Ook biedt de invoering van de BIO de kans om alle “lessons learned” ein-de-lijk eens op te pakken en te verwerken in een nieuwe aanpak. En dan het liefst meteen in goede GRC software, die zowel de Security Officer als de Privacy Officer ondersteunt.

Even sparren? Bel ons gerust


Jorrit van de Walle
 
Jorrit van de Walle is directeur bij Audittrail, een audit- en adviesbureau op het gebied van informatiebeveiliging, Legal en business control. Samen met een team van bevlogen professionals – experts en juristen – werkt hij voor opdrachtgevers in verschillende sectoren, waaronder de overheid. 

Robert ’t Hart 
Robert ’t Hart is directeur bij NARIS. Het softwareplatform voor Governance, Risk and Compliance 

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: