Skip to main content

Quickscan Information Security (QIS); de 7 stappen


Jawel, hij komt er aan: de Baseline Informatiebeveiliging Overheid (BIO). Naar verwachting zal deze in 2019 zijn intrede doen en vanaf 2020 gelden. De BIO vervangt de sectorale baselines, zoals de BIR, BIG, BIWA en IBI. Eerder schreef ik al een blog over de verhouding tussen de BIR2017 en de BIG/BIO. Onderdeel van de huidige BIR en straks ook de BIO is de Quickscan Information Security (QIS) en de BBN-toets. Maar wat houdt de QIS en BBN-toets precies in?

Uitvoering QIS

Binnen de BIR2017 wordt op basis van generieke schade en bedreigingen voor de Rijksoverheid, een onderscheid gemaakt in drie basisbeveiligingsniveau’s, ook wel BBN’s genoemd. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, dient er een BBN-toetst uitgevoerd te worden. De Quickscan Information Security (QIS) helpt daarbij. Met de handreiking QIS kun je de BBN-toets (zoals beschreven in de BIR21017) voor het bepalen van dit niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen.
De quickscan bestaat uit 7 stappen die ik in deze blog graag met je doorneem.

Stap 1: bepaal de scope, context en rubricering

Deze stap wordt uitgevoerd door de procesbegeleider en de eigenaar van het proces en het informatiesysteem. Niet anders als bij andere processen is een goede voorbereiding en afstemming met de opdrachtgever en de te betrokken functionarissen belangrijk. Samen bepaal je de scope en context van het te beschermen informatiesysteem. Tevens wordt de door de eigenaar vastgestelde rubricering vastgelegd. De resultaten worden vervolgens naar de betrokken functionarissen verzonden.

Stap 2: Classificeer proces en informatiesysteem en bepaal externe eisen

Om de doelstellingen die je hebt gedefinieerd onder stap 1 te kunnen realiseren, is het noodzakelijk dat de bedrijfsprocessen goed functioneren. Daarom wordt bij stap 2 het belang van ieder proces geclassificeerd. Waarbij de classificatie de waarde aangeeft die de organisatie hecht aan het informatiesysteem ter ondersteu¬ning van het proces. Tevens wordt er getoetst of er externe eisen zijn vanuit andere organisaties/partners en/of wetgeving waar aan moet worden voldaan, zoals de AVG.

Stap 3: Bepaal het dreigingsprofiel

Het onderscheid in drie basis beveiligingsniveaus – kortaf dus: BBN’s – wordt gemaakt op basis van het dreigingsprofiel. In het dreigingsprofiel leg je vast óf en van welk soort bedrei-gingen het proces met ondersteunend informatiesysteem doelwit kan worden. Hierbij kan het van toegevoegde waarde zijn om ook inzicht te hebben in (beveiligings)incidenten die hebben plaatsgevonden in het verleden.

Stap 4: Bepaal betrouwbaarheidseisen

In deze stap wordt een inschatting gemaakt van de maximale schade die kan ontstaan op het gebied van de betrouwbaarheidseisen ‘Beschikbaarheid’, ‘Integriteit’ en ‘Vertrouwelijkheid’. Dit wordt gedaan aan de hand van de schadescenario’s zoals beschreven in de BIR2017. Waarbij de waarde laag, midden of hoger dan midden kan worden toegekend. De resultaten van deze stap dienen weer als basis voor stap 5: het uitvoeren van de BBN toets.

Stap 5: Voer de BBN-toets uit

Aan de hand van de BBN-toets wordt het bijbehorende BBN gekozen. De BBN’s bouwen voort op het vorige niveau. Dus hoe hoger het niveau, hoe hoger de potentiële impact (dus hoe meer maatregelen). Welke drie BBN’s er zijn lees je hier. Het BBN wordt bepaald aan de hand van een aantal afwegingen, namelijk:

  • Is BBN2 voldoende?
    In de meeste gevallen is BBN2 van toepassing op een specifiek informatiesysteem. In sommige gevallen is BB2 onvoldoen¬de, in dat geval is BBN3 van toepassing.
  • Is BBN2 te zwaar?
    Bij BBN2 informatiesystemen kan het ongewenst of onbedoeld openbaren van informatie leiden tot BBN2-schade. Denk aan politieke of diplomatieke schade, financiële schade of reputatie- en imagoschade. Is hier geen sprake van? Dan is BBN1 van toepassing.
  • Bepaal extra vereisten voor beschikbaarheid en/of integriteit
    Op basis van het gekozen BBN kunnen eventuele aanvullende controls en/of zwaardere maatregelen worden overwogen. In dat geval wordt op basis van expliciete risicoafweging bepaald voor welke controls welke aanvullende en/of zwaardere maatregelen nodig zijn. De verantwoording en toezicht vindt plaats volgens BBN3.

Stap 6: Bepaal passendheid van gekozen BBN

In deze stap wordt per proces en/of informatiesysteem de passendheid van het gekozen BBN bepaald, door na te gaan welke extra (of juist minder) schade kan ontstaan of welke schade waarschijnlijk niet aan de orde zal zijn voor de bij dit BBN behorende niveaus van ‘Beschikbaarheid’ en ‘Integriteit’.

Stap 7: Stel resultaten vast

Tot slot worden de resultaten van de Quickscan vastgesteld door de eigenaar van het proces en/of het informatiesysteem. Deze resultaten kunnen vervolgens worden gebruikt binnen de organisatie om, indien nodig, aanvullende controls en maatregelen vast te stellen.

Aan de slag!

Ik hoop je met bovenstaande samenvatting een beeld te hebben gegeven van wat de
Quickscan inhoudt. De gehele handreiking met daarin alle stappen uitgebreid beschreven vind je hier. Heeft jouw gemeente de Quickscan al uitgevoerd?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…