Skip to main content

Van BIG naar BIO; wat zijn de verschillen?

| IB&P | ,

Baselines op het gebied van informatiebeveiliging, we hebben er een hoop binnen de overheid. De BIG, BIR, BIWA, IBI en straks vanaf 2019 is daar dan de BIO, ofwel de Baseline Informatiebeveiliging Overheid, die de eerdergenoemde sectorale baselines zal vervangen. Binnen gemeenten hanteren we momenteel de BIG. Wat zijn de merkbare verschillen tussen de BIG en de BIO? En hoe kun je je als CISO voorbereiden op de BIO?

De BIO

Net als bij de BIG helpt de Baseline Informatiebeveiliging Overheid (BIO) het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. De BIO is van toepassing op alle overheidslagen er moet er voor zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid verbeterd worden. Op deze manier kunnen gegevens op een veilige manier gedeeld worden binnen de diverse overheidslagen.

Waar de huidige baselines nog gebaseerd zijn op de oude NEN/ISO 27002:2005 norm is de BIO gebaseerd op de huidige, nieuwe ISO 27002:2013 norm. Met deze gezamenlijke baseline kan er makkelijker samengewerkt worden binnen en tussen de diverse ketens omdat we één gemeenschappelijke taal spreken; we hanteren allemaal dezelfde beveiligingsmaatregelen die in lijn zijn met de wet- en regelgeving. Daarnaast hoeft niet elke overheidslaag het wiel opnieuw uit te vinden en afzonderlijk voor zichzelf een baseline op te stellen en bij te houden. Win-winsituatie dus!

Verschillen

Wat gaat er veranderen voor gemeenten? De BIO verschilt in een aantal opzichten van de huidige BIG. Ik zet de belangrijkste en de in de praktijk meest merkbare verschillen op een rij:

  • Drie basisbeveiligingniveaus (BBN) – Binnen de BIO wordt op basis van generieke schade en bedreigingen een onderscheid gemaakt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een aantal controls (maatregelen) en een verantwoordings- en toezichtsregime. Hoe hoger het niveau, hoe hoger de potentiële impact. Om te bepalen op welk (basis)niveau het informatiesysteem zich van een organisatie bevindt, biedt de BIO een BNN-toets. Zie ook mijn eerdere blog over BBN waarin ik hier uitgebreider op inga.

  • Meer risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN. Dit begint met een baselinetoets, de Quickscan Information Security (QIS) . De QIS houdt rekening met de 3 BBN’s. Aan de hand van de QIS kun je vervolgens de BBN-toets voor het bepalen van het niveau, invullen en eventuele aanvullende vereisten bepalen die nodig zijn om een informatiesysteem te beschermen. Hiermee wordt het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd en blijft het hanteerbaar en efficiënt.

  • Minder maatregelen – De ISO 27002:2013 norm bestaat uit 114 controls, ofwel beheersmaatregelen. De BIO volgt deze opbouw en heeft deze controls letterlijk overgenomen. Dit betekent dat er bijna 60% minder maatregelen zijn dan binnen de BIG het geval was.

  • Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen omdat deze voortvloeien uit wet- en regelgeving. De BIO noemt deze verplichte maatregelen ‘overheidsmaatregelen’. Deze maatregelen vormen de basis voor een betrouwbare en professionele informatievoorziening en zijn daarom allemaal en altijd verplicht voor elke overheidslaag, indien van toepassing.

  • Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen aan een eindverantwoordelijke. In de BIO staat aangegeven welke controls voor welke rol toepasselijk zijn. Omdat binnen de overheid elk onderdeel anders georganiseerd is, onderscheidt de BIO drie (hoofd)rollen: de secretaris/algemeen directeur, de proceseigenaar en de dienstenleverancier. Uiteraard zijn er in de praktijk meer rollen betrokken bij informatiebeveiliging, denk aan de toezichthouder en medewerkers, maar het gaat hier om de verantwoordelijke voor de uitvoering van de maatregel.

  • Nieuwe inrichting ENSIA – Met de komst van de BIO zal tevens de wens om het aantal toetsen te reduceren en om te zetten naar een Single Audit vervult worden. Hier wordt bij gemeenten al invulling aangegeven vanuit ENSIA. Dit wordt nu vanuit de BIG aangevlogen en zal dus compleet opnieuw moeten worden ingericht op basis van de BIO.

  • Gewijzigd ondersteuningsaanbod operationele producten – Tot slot is de aanpak van de BIO anders dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van operationele producten van de IBD. Deze zullen moeten worden omgezet naar operationele BIO-producten voor gemeenten.

Bereid je tijdig voor

De verwachting is dat de BIO met ingang van 1 januari 2019 het nieuwe normenkader wordt voor alle gemeenten en gemeentelijke samenwerkingsverbanden. Waarbij 2019 een overgangsjaar zal zijn en er pas vanaf 2020 echt volgens de BIO gewerkt gaat worden. Besluitvorming hierover moet echter nog plaatsvinden, dus het kan ook nog anders (later) worden.

Om je als CISO voor te bereiden op de komst van de BIO is het belangrijkste advies om het proces van risicomanagement op de rails te krijgen met de proceseigenaren. De eerste vraag is dan: waar ligt het eigenaarschap per informatiesysteem? Bereid je tijdig voor op de BIO en richt het proces van risicomanagement goed in om straks ook daadwerkelijk volgens de BIO te kunnen gaan werken. Een goed begin is ook hier het halve werk…

IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…
Verder lezen