Skip to main content

Van BIG naar BIO met een GAP-analyse


De BIO is per 2020 de opvolger van de BIG. Het jaar 2019 staat voor gemeenten daarom in het teken van de implementatie van de BIO. De overgang van de BIG naar de BIO is voor gemeenten geen sinecure. Een handig instrument dat je hierbij op weg kan helpen, is een GAP-analyse. Maar wat is een GAP-analyse en hoe voer je deze uit? Dat lees je in deze nieuwe blog.

Een GAP-analyse is een methode om een vergelijking te maken tussen de huidige situatie en de gewenste situatie van de baselinecriteria. Middels een GAP-analyse kan inzicht verkregen worden in hoeverre controls en maatregelen al dan niet zijn geïmplementeerd en van toepassing zijn. Hiermee kun je voor jouw gemeente verschillen tussen de huidige BIG implementatie en de BIO in kaart brengen, en daarmee nagaan in hoeverre het huidige inrichting van de informatiebeveiliging binnen de gemeente voldoet aan de BIO-criteria en wat er nog gedaan moet worden.

De GAP-analyse als tweetrapsraket

Met de komst van de BIO valt een GAP-analyse uiteen in een tweetrapsraket: de BIO kent namelijk zowel verplichte als niet-verplichte maatregelen. Afhankelijk van je BBN classificatie weet je welke maatregelen je (verplicht) moet implementeren. Daarnaast moet je registeren welke maatregelen en controls je niet kunt implementeren omdat ze niet van toepassing zijn. Dit wordt later in deze blog verder toegelicht.

De eerste stap in de GAP-analyse is het invullen van de generieke controls en maatregelen die op concern niveau zijn gespecificeerd. Dit kan worden uitgevoerd door de CISO en de eindverantwoordelijke van de gemeentelijke dienstverlening. Wanneer er geen formele eindverantwoordelijke is benoemd, wordt de gemeentesecretaris betrokken. Die zal dit naar alle waarschijnlijkheid dan weer snel delegeren door iemand anders al eindverantwoordelijke op dit gebied aan te stellen.

De tweede stap in de analyse is een aanvulling op de eerste stap en betreft de primaire processen, ofwel de specifieke controls en maatregelen. Deze analyse dient te worden uitgevoerd door de proceseigenaar (vaak een lijnmanager). De proceseigenaar kan hierbij gebruikmaken van wat er binnen de eerste stap al naar voren is gekomen.

Middels een GAP-analyse krijg je als gemeente dus inzicht in de geïmplementeerde maatregelen, de verantwoordelijke per maatregel en de nog te implementeren maatregelen. Op deze manier kan het informatiebeveiligingsplan van jouw gemeente worden aangevuld met activiteiten om zo de nog ontbrekende controls en maatregelen te implementeren.

Van BIG naar BIO in 6 stappen

Hoe maak je als gemeente een goede start met de BIO implementatie? Om gemeenten te ondersteunen bij de implementatie is vanuit de Informatiebeveiligingsdienst (IBD) en VNG Realisatie een aanpak voor de BIO en ENSIA opgesteld. In de BIOENSIA pilot kunnen de gemeenten die zich hebben aangemeld als pilotgemeente nagaan in hoeverre het huidige informatiebeveiligingsbeleid en -plan voldoet aan de BIO-criteria en welke stappen gemeenten nog moeten nemen. Hierbij is het stappenplan als volgt:

Stap 1: Koppel het bedrijfsproces aan een eindverantwoordelijke

Om te beginnen is het van belang om de verantwoordelijke voor het bedrijfsproces te zoeken en te (laten) benoemen. Daarbij is het moeilijk om de verantwoordelijkheden precies te definiëren, processen verschillen namelijk tussen gemeenten. Over het algemeen zien we dat de verantwoordelijkheden bij de afdelingsmanagers, meestal ook de proceseigenaar, liggen.
Let er hierbij op dat een bedrijfsproces gebruik kan maken van meerdere systemen, en je daarom ook moet weten dat je mogelijk binnen je bedrijfsproces moet schakelen met diverse systeemeigenaren (een proceseigenaar hoeft namelijk geen systeemeigenaar te zijn). Indien er geen eindverantwoordelijke is, is de gemeentesecretaris eindverantwoordelijk.

Stap 2: Voer de baselinetoets uit

Vervolgens voer je voor elk proces een baselinetoets uit. De ENSIA pilotgroep maakt uitsluitend gebruik van het BBN 2 wat vergelijkbaar is met de oude BIG. Daarnaast bestaan ook BBN1 en (straks) BBN3. Voer indien nodig een risicoanalyse uit bij afwijkende betrouwbaarheidseisen van informatiebeveiliging, zoals beschikbaarheid en integriteit, zoals het geval is bij SCADA-systemen. Aanvullend kan er een Data Protection Impact Assessment (DPIA) uitgevoerd worden als dit verplicht is en nog niet gedaan is.

Stap 3: Bepaal welke controls of maatregelen van toepassing zijn (en welke niet)

Zoek in de BIO de controls en verplichte maatregelen bij het geselecteerde BBN om de gevonden risico’s adequaat te beheersen. Noteer en motiveer de controls die niet van toepassing zijn en neem die op in de ‘Niet Van Toepassing Verklaring’ (NVTV) of in ISO termen de ‘Verklaring van Toepasselijkheid’ genoemd.
In tegenstelling tot de BIG zijn alle maatregelen zoals beschreven in de BIO verplicht (het is het minimale niveau waar je aan moet voldoen). Indien een bepaalde maatregel niet van toepassing is in relatie tot het beoordeelde proces, dient de proceseigenaar dit te motiveren in de NVTV. Voordeel hiervan is dat je vooraf gedwongen wordt er goed over na te denken, waardoor discussies achteraf, over waarom iets niet is gedaan, worden voorkomen.

Stap 4: Formuleer (indien nodig) aanvullende maatregelen

Selecteer en formuleer passende maatregelen bij de controls uit de BIO waar geen verplichte maatregelen bij staan. De control vergt immers wel maatregelen voor implementatie. Bij sommige controls zijn hier alleen geen verplichte maatregelen aan gekoppeld, maar heb je zelf de vrijheid om dit in te richten zolang je maar wel aan de control voldoet. Vanuit de IBD komt een lijst met mogelijke maatregelen, om invulling te geven aan deze controls, ter beschikking. Deze maatregelen zijn gebaseerd op de BIG maatregelen. Daarnaast kun je ook andere bronnen raadplegen, zoals de implementatie handreiking voor ISO27002. Als gemeente mag je uiteraard ook zelf invulling geven aan de maatregelen, maar let op: dit is lastiger dan je denkt.

Stap 5: Cluster controls en te treffen maatregelen

Cluster de controls en de verschillende invullingen van de te treffen maatregelen uit de analyse naar soort en beleg deze bij de juiste personen. Hiermee krijg je inzicht in wie wat doet. Verdeel indien nodig de verantwoordelijkheid en taken onder andere uitvoerders (actiehouders) binnen je gemeente. Zorg dat je deze clustering en toewijzingen vastlegt. Het clusteren kan je bijvoorbeeld doen langs de PIOFACH. Op deze manier cluster je maatregelen logisch naar Personeel, Informatievoorziening, Organisatie, Financiën, Automatisering, Communicatie en Huisvesting.

Stap 6: Monitoring

Tot slot, kun je aansluiting zoeken bij het organisatorische ISMS dat wordt gebruikt en daar de controls,maatregelen en uitvoerder in opnemen zodat je dit kunt monitoren. Dit monitoren moet uiteraard aansluiten bij de werkwijze van de gemeente. Vanzelfsprekend rapporteer je afwijken die je constateert bij het monitoren.

Kortom, de resultaten van een GAP-analyse geven je snel en effectief inzicht in de actuele status van de nieuwe BIO-criteria in relatie tot je huidige informatiebeveiliging. Via bovenstaande 6 stappen weet je wat er nog te doen is en in welke volgorde qua prioriteit (op basis van je risicoanalyse). Ik hoop je met deze blog meer inzicht te hebben gegeven in hoe je een GAP-analyse uitvoert en een start kunt maken met de BIO implementatie.

Meer informatie?

Een uitgebreide beschrijving van deze stappen vind je in het document ‘Introductie aanpak BIO’ van de IBD. Deze blog is gebaseerd op de Webinar ENSIA BIO academy 1. Wil je advies of ondersteuning bij het uitvoeren van een GAP-analyse of de implementatie van de BIO, neem dan gerust contact met ons op. Wij helpen je graag verder.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…