Skip to main content

Quickscan Information Security (QIS); de 7 stappen


Jawel, hij komt er aan: de Baseline Informatiebeveiliging Overheid (BIO). Naar verwachting zal deze in 2019 zijn intrede doen en vanaf 2020 gelden. De BIO vervangt de sectorale baselines, zoals de BIR, BIG, BIWA en IBI. Eerder schreef ik al een blog over de verhouding tussen de BIR2017 en de BIG/BIO. Onderdeel van de huidige BIR en straks ook de BIO is de Quickscan Information Security (QIS) en de BBN-toets. Maar wat houdt de QIS en BBN-toets precies in?

Uitvoering QIS

Binnen de BIR2017 wordt op basis van generieke schade en bedreigingen voor de Rijksoverheid, een onderscheid gemaakt in drie basisbeveiligingsniveau’s, ook wel BBN’s genoemd. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, dient er een BBN-toetst uitgevoerd te worden. De Quickscan Information Security (QIS) helpt daarbij. Met de handreiking QIS kun je de BBN-toets (zoals beschreven in de BIR21017) voor het bepalen van dit niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen.
De quickscan bestaat uit 7 stappen die ik in deze blog graag met je doorneem.

Stap 1: bepaal de scope, context en rubricering

Deze stap wordt uitgevoerd door de procesbegeleider en de eigenaar van het proces en het informatiesysteem. Niet anders als bij andere processen is een goede voorbereiding en afstemming met de opdrachtgever en de te betrokken functionarissen belangrijk. Samen bepaal je de scope en context van het te beschermen informatiesysteem. Tevens wordt de door de eigenaar vastgestelde rubricering vastgelegd. De resultaten worden vervolgens naar de betrokken functionarissen verzonden.

Stap 2: Classificeer proces en informatiesysteem en bepaal externe eisen

Om de doelstellingen die je hebt gedefinieerd onder stap 1 te kunnen realiseren, is het noodzakelijk dat de bedrijfsprocessen goed functioneren. Daarom wordt bij stap 2 het belang van ieder proces geclassificeerd. Waarbij de classificatie de waarde aangeeft die de organisatie hecht aan het informatiesysteem ter ondersteu¬ning van het proces. Tevens wordt er getoetst of er externe eisen zijn vanuit andere organisaties/partners en/of wetgeving waar aan moet worden voldaan, zoals de AVG.

Stap 3: Bepaal het dreigingsprofiel

Het onderscheid in drie basis beveiligingsniveaus – kortaf dus: BBN’s – wordt gemaakt op basis van het dreigingsprofiel. In het dreigingsprofiel leg je vast óf en van welk soort bedrei-gingen het proces met ondersteunend informatiesysteem doelwit kan worden. Hierbij kan het van toegevoegde waarde zijn om ook inzicht te hebben in (beveiligings)incidenten die hebben plaatsgevonden in het verleden.

Stap 4: Bepaal betrouwbaarheidseisen

In deze stap wordt een inschatting gemaakt van de maximale schade die kan ontstaan op het gebied van de betrouwbaarheidseisen ‘Beschikbaarheid’, ‘Integriteit’ en ‘Vertrouwelijkheid’. Dit wordt gedaan aan de hand van de schadescenario’s zoals beschreven in de BIR2017. Waarbij de waarde laag, midden of hoger dan midden kan worden toegekend. De resultaten van deze stap dienen weer als basis voor stap 5: het uitvoeren van de BBN toets.

Stap 5: Voer de BBN-toets uit

Aan de hand van de BBN-toets wordt het bijbehorende BBN gekozen. De BBN’s bouwen voort op het vorige niveau. Dus hoe hoger het niveau, hoe hoger de potentiële impact (dus hoe meer maatregelen). Welke drie BBN’s er zijn lees je hier. Het BBN wordt bepaald aan de hand van een aantal afwegingen, namelijk:

  • Is BBN2 voldoende?
    In de meeste gevallen is BBN2 van toepassing op een specifiek informatiesysteem. In sommige gevallen is BB2 onvoldoen¬de, in dat geval is BBN3 van toepassing.
  • Is BBN2 te zwaar?
    Bij BBN2 informatiesystemen kan het ongewenst of onbedoeld openbaren van informatie leiden tot BBN2-schade. Denk aan politieke of diplomatieke schade, financiële schade of reputatie- en imagoschade. Is hier geen sprake van? Dan is BBN1 van toepassing.
  • Bepaal extra vereisten voor beschikbaarheid en/of integriteit
    Op basis van het gekozen BBN kunnen eventuele aanvullende controls en/of zwaardere maatregelen worden overwogen. In dat geval wordt op basis van expliciete risicoafweging bepaald voor welke controls welke aanvullende en/of zwaardere maatregelen nodig zijn. De verantwoording en toezicht vindt plaats volgens BBN3.

Stap 6: Bepaal passendheid van gekozen BBN

In deze stap wordt per proces en/of informatiesysteem de passendheid van het gekozen BBN bepaald, door na te gaan welke extra (of juist minder) schade kan ontstaan of welke schade waarschijnlijk niet aan de orde zal zijn voor de bij dit BBN behorende niveaus van ‘Beschikbaarheid’ en ‘Integriteit’.

Stap 7: Stel resultaten vast

Tot slot worden de resultaten van de Quickscan vastgesteld door de eigenaar van het proces en/of het informatiesysteem. Deze resultaten kunnen vervolgens worden gebruikt binnen de organisatie om, indien nodig, aanvullende controls en maatregelen vast te stellen.

Aan de slag!

Ik hoop je met bovenstaande samenvatting een beeld te hebben gegeven van wat de
Quickscan inhoudt. De gehele handreiking met daarin alle stappen uitgebreid beschreven vind je hier. Heeft jouw gemeente de Quickscan al uitgevoerd?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…