Skip to main content

Van BIG naar BIO; wat zijn de verschillen?


Baselines op het gebied van informatiebeveiliging, we hebben er een hoop binnen de overheid. De BIG, BIR, BIWA, IBI en straks vanaf 2019 is daar dan de BIO, ofwel de Baseline Informatiebeveiliging Overheid, die de eerdergenoemde sectorale baselines zal vervangen. Binnen gemeenten hanteren we momenteel de BIG. Wat zijn de merkbare verschillen tussen de BIG en de BIO? En hoe kun je je als CISO voorbereiden op de BIO?

De BIO

Net als bij de BIG helpt de Baseline Informatiebeveiliging Overheid (BIO) het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. De BIO is van toepassing op alle overheidslagen er moet er voor zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid verbeterd worden. Op deze manier kunnen gegevens op een veilige manier gedeeld worden binnen de diverse overheidslagen.

Waar de huidige baselines nog gebaseerd zijn op de oude NEN/ISO 27002:2005 norm is de BIO gebaseerd op de huidige, nieuwe ISO 27002:2013 norm. Met deze gezamenlijke baseline kan er makkelijker samengewerkt worden binnen en tussen de diverse ketens omdat we één gemeenschappelijke taal spreken; we hanteren allemaal dezelfde beveiligingsmaatregelen die in lijn zijn met de wet- en regelgeving. Daarnaast hoeft niet elke overheidslaag het wiel opnieuw uit te vinden en afzonderlijk voor zichzelf een baseline op te stellen en bij te houden. Win-winsituatie dus!

Verschillen

Wat gaat er veranderen voor gemeenten? De BIO verschilt in een aantal opzichten van de huidige BIG. Ik zet de belangrijkste en de in de praktijk meest merkbare verschillen op een rij:

  • Drie basisbeveiligingniveaus (BBN) – Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een aantal controls (maatregelen) en een verantwoordings- en toezichtsregime. Hoe hoger het niveau, hoe hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, biedt de BIO een BNN-toets. Zie ook mijn eerdere blog over BBN waarin ik hier uitgebreider op inga.

  • Meer risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN. Dit begint met een baselinetoets, de Quickscan Information Security (QIS) . De QIS houdt rekening met de 3 BBN’s. Aan de hand van de QIS kun je vervolgens de BBN-toets voor het bepalen van het niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen. Hiermee wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het hanteerbaar en efficiënt.

  • Minder maatregelen – De ISO 27002:2013 norm bestaat uit 114 controls, ofwel beheersmaatregelen. De BIO volgt deze opbouw en heeft deze controls letterlijk overgenomen. Dit betekent dat er bijna 60% minder maatregelen zijn dan binnen de BIG het geval was.

  • Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen omdat deze voortvloeien uit wet- en regelgeving. De BIO noemt deze verplichte maatregelen ‘overheidsmaatregelen’. Deze maatregelen vormen de basis voor een betrouwbare en professionele informatievoorziening en zijn daarom allemaal en altijd verplicht voor elke overheidslaag, indien van toepassing.

  • Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen aan een eindverantwoordelijke. In de BIO staat aangegeven welke controls voor welke rol toepasselijk zijn. Omdat binnen de overheid elk onderdeel anders georganiseerd is, onderscheidt de BIO drie (hoofd)rollen: de secretaris/algemeen directeur, de proceseigenaar en de dienstenleverancier. Uiteraard zijn er in de praktijk meer rollen betrokken bij informatiebeveiliging, denk aan de toezichthouder en medewerkers, maar het gaat hier om de verantwoordelijke voor de uitvoering van de maatregel.

  • Nieuwe inrichting ENSIA – Met de komst van de BIO zal tevens de wens om het aantal toetsen te reduceren en om te zetten naar een Single Audit vervult worden. Hier wordt bij gemeenten al invulling aangegeven vanuit ENSIA. Dit wordt nu vanuit de BIG aangevlogen en zal dus compleet opnieuw moeten worden ingericht op basis van de BIO.

  • Gewijzigd ondersteuningsaanbod operationele producten – Tot slot is de aanpak van de BIO anders dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van operationele producten van de IBD. Deze zullen moeten worden omgezet naar operationele BIO-producten voor gemeenten.

Bereid je tijdig voor

De verwachting is dat de BIO met ingang van 1 januari 2019 het nieuwe normenkader wordt voor alle gemeenten en gemeentelijke samenwerkingsverbanden. Waarbij 2019 een overgangsjaar zal zijn en er pas vanaf 2020 echt volgens de BIO gewerkt gaat worden. Besluitvorming hierover moet echter nog plaatsvinden, dus het kan ook nog anders (later) worden.

Om je als CISO voor te bereiden op de komst van de BIO is het belangrijkste advies om het proces van risicomanagement op de rails te krijgen met de proceseigenaren. De eerste vraag is dan: waar ligt het eigenaarschap per informatiesysteem? Bereid je tijdig voor op de BIO en richt het proces van risicomanagement goed in om straks ook daadwerkelijk volgens de BIO te kunnen gaan werken. Een goed begin is ook hier het halve werk…

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…