{"id":9695,"date":"2020-01-14T17:46:00","date_gmt":"2020-01-14T16:46:00","guid":{"rendered":"https:\/\/naris-prod.azurewebsites.net\/wat-is-risicomanagement-2-copy\/"},"modified":"2025-08-08T12:15:25","modified_gmt":"2025-08-08T10:15:25","slug":"wat-betekent-de-baseline-informatiebeveiliging-overheid-bio","status":"publish","type":"post","link":"https:\/\/www.naris.com\/nl\/wat-betekent-de-baseline-informatiebeveiliging-overheid-bio\/","title":{"rendered":"Wat betekent de BIO nu eigenlijk?"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

DE ROL VAN BIO IN OVERHEIDSORGANISATIES<\/h3>\n

In de afgelopen kerstvakantie las ik het boek Het is oorlog maar niemand die het ziet<\/em> van NRC journalist Huib Modderkolk. Zie hier <\/a>een goede recensie. Het is een boek over de schaduwkant van het internet, en daarmee eigenlijk verplichte literatuur voor elke zichzelf respecterende CISO. Maar ook de manager of toezichthouder van iedere denkbare organisatie zal absoluut baat bij dit boek hebben. Het heeft mij er vooral bewust van gemaakt van de enorme kwetsbaarheid van overheidsorganisaties.<\/p>\n

\"\"

<\/p>\n

BIO Governance en risicomanagement<\/a><\/figcaption>\n<\/figure>\n

Informatiesystemen<\/strong><\/h3>\n

Juist in deze tijd zijn data en informatiesystemen cruciaal voor het goed functioneren van overheidsorganisaties. Hierdoor wordt het steeds essenti\u00ebler om continu\u00efteit van de bedrijfsprocessen heel goed te bewaken. Daarnaast moet de beveiliging passend zijn en uiteraard in lijn met de wet- en regelgeving. Om dit mogelijk te maken is onlangs de BIO ontstaan die hier de criteria voor dicteert. Na het lezen van de BIO en de richtlijnen staat mij dan ook een zeer uitgeschreven en concrete aanpak voor ogen.<\/p>\n

De achtergrond van BIO<\/h3>\n

Er bestond al enorm veel normering maar onlangs is deze juist samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze BIO zijn twee heel belangrijke keuzes gemaakt, namelijk een sterke focus op governance en een sterke focus op risicomanagement. De ISO27002 is letterlijk overgenomen en bevat een concrete uitwerking van de 114 mogelijke beheersmaatregelen (controls).<\/p>\n

Governance<\/h3>\n

De BIO cre\u00ebert veel meer duidelijkheid over de governance rondom informatiebeveiliging (die nadrukkelijk bij bestuurders of lijnmanagers ligt). In de handreiking van de VNG \u201c10 bestuurlijke principes voor informatiebeveiliging<\/em><\/a> \u201d wordt hun rol klip en klaar uitgelegd. Los van de harde principes wordt er concreet gemaakt wat er nu werkelijk juist verwacht wordt.<\/p>\n

De bestuurder is verantwoordelijk voor een veilige informatievoorziening. Het is daarom aan de bestuurder om de risicobereidheid te bepalen en daarmee te controleren of de maatregelen binnen de organisatie de risico\u2019s terugbrengen tot een voor de bestuurder acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming.<\/p>\n

Risicosturing<\/h3>\n

Maar waar nu te beginnen? Risicosturing wordt terecht als basis gebruikt bij het stellen van de juiste prioriteiten. Er dient een continu proces van identificatie en beoordeling van risico\u2019s plaats te vinden. Denk hierbij bijvoorbeeld aan de volgende risico\u2019s:<\/p>\n

    \n
  • privacy schendingen door een datalek<\/li>\n
  • informatie die niet integer is en\/of het in verkeerde handen vallen van deze informatie<\/li>\n
  • gijzeling van belangrijke data<\/li>\n
  • economische schade door het uitlekken van vertrouwelijke plannen en documenten<\/li>\n
  • fysieke schade door storingen in systemen in de openbare ruimte<\/li>\n<\/ul>\n

    In de BIO zijn op basis van de risico\u2019s (generieke schades en dreigingen) een drietal standaard basisbeveiligingsniveaus (BBN\u2019s) gedefinieerd met de bijbehorende beveiligingseisen die moeten worden ingevuld. Per informatiesysteem bepaalt het lijnmanagement het BBN.<\/p>\n

    Restrisico\u2019s<\/h3>\n

    N\u00e1 de analyse wordt bepaald wat nodig is qua beheersing en controls en hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Natuurlijk zijn risico\u2019s nooit helemaal weg te nemen. Van de restrisico\u2019s moet boven alles bepaald worden of ze acceptabel zijn. Dit alle behelst een continu proces waarbij het lijnmanagement ervoor moet zorgen dat steeds de Plan-Do-Check-Act cyclus wordt doorlopen. Ten slotte moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls.<\/p>\n

    Tot slot<\/h3>\n

    Hoewel er enorm veel aandacht naar de IT uitgaat blijft de mens toch vaak gewoon het grootste gevaar. Bewustwording is daarmee een uitermate belangrijke control. Wellicht dat het verplicht lezen van het boek Het is oorlog maar niemand die het ziet<\/em> dit bewustzijn tot nog grotere hoogtes kan stuwen.<\/p>\n

    Daarnaast lijkt het nu belangrijker dan ooit om als risicomanager (vanuit control of vanuit financi\u00ebn) nadrukkelijk de verbinding met de CISO te zoeken.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

    DE ROL VAN BIO IN OVERHEIDSORGANISATIES In de afgelopen kerstvakantie las ik het boek Het is oorlog maar niemand die het…<\/p>\n","protected":false},"author":20,"featured_media":5763,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[83,4],"class_list":["post-9695","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-informatiebeveiliging","tag-risicomanagement"],"_links":{"self":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/9695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/users\/20"}],"replies":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/comments?post=9695"}],"version-history":[{"count":23,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/9695\/revisions"}],"predecessor-version":[{"id":27902,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/9695\/revisions\/27902"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media\/5763"}],"wp:attachment":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media?parent=9695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/categories?post=9695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/tags?post=9695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}