De Baseline Informatiebeveiliging Overheid (BIO) is geheel gestructureerd volgens de NEN-ISO/IEC 27002-standaard uit 2017 en beschrijft de invulling van deze ISO-standaard voor de overheid. Dit jaar staat de introductie van de nieuwe versie van de ISO 27002 gepland. Welke impact heeft dat op de inhoud en samenstelling van de huidige BIO? En wat betekent dit voor gemeenten?

De ISO 27002

De Internationale Organisatie voor Standaardisatie (ISO) is een organisatie die normen, vooral op het vlak van beveiliging, in de breedste zin ontwikkelt: van volksgezondheid tot aan informatiebeveiliging. De ISO 27002-standaard is een best practice van beveiligingsmaatregelen om informatiebeveiligingsrisico’s te reduceren. De ISO 27002 is een nadere uitwerking van de ISO 27001 annex A en kan organisaties ondersteunen gedurende de implementatie van een Information Security Management System (ISMS). De ISO 27002 norm is voor het laatst inhoudelijk aangepast in 2013 en in 2018 is opnieuw besloten tot herziening.

Impact op de huidige BIO

Dit heeft vanzelfsprekend impact op de huidige BIO, die is gebaseerd op de ISO 27002. De ISO controls zijn namelijk letterlijk in de BIO overgenomen. Om te achterhalen wat voor impact de ISO 27002 wijzigen hebben op de huidige BIO en de implementatie daarvan, heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) het adviesbureau Verdonck Klooster & Associates (VKA) gevraagd een onderzoek uit te voeren. Conclusie is dat er voldoende draagvlak is de huidige BIO aan te passen aan de nieuwe ISO 27002. Zodra de nieuwe versie wordt gepubliceerd door de NEN-organisatie zal de aanpassing van de BIO worden opgepakt. Wijzigingen in de ISO27002 kunnen in sommige gevallen leiden tot het splitsen of samenvoegen van overheidsmaatregelen of in een incidenteel geval tot het laten vervallen daarvan. Het beoogde beveiligingsniveau zal echter niet veranderen door de komst van de nieuwe ISO-versie.

Verschillen

Wat gaat er veranderen? Uit het onderzoek van VKA blijkt dat er een aantal wijzigingen is uitgevoerd op structuur en inhoud. Hieronder de belangrijkste ISO 27002 wijzigingen:

1. Thema’s

Met de komst van de ISO 27002 wijzigingen is er een grote verandering doorgevoerd in de indeling: de beheersmaatregelen worden straks verdeeld in vier groepen in plaats van 14. Elk met een eigen thema:

• Mensen, bijvoorbeeld werken op afstand.
• Fysieke objecten, bijvoorbeeld toegang tot de serverruimte.
• Technologie, bijvoorbeeld testen.
• Organisatie, bijvoorbeeld een inventaris van informatie en bijbehorende middelen.

2. Aantal controls

Een belangrijke wijziging is dat het aantal beheersmaatregelen teruggaat van 110 naar 96, waarvan 24 door samenvoeging van oude controls. Inhoudelijk is bij de samenvoeging niets geschrapt. In die 96 controls zijn er 13 nieuwe controls toegevoegd.

3. Attributen

De nieuwe norm bevat meer meta-informatie over de maatregelen en spoort de organisatie aan om daar zelf ook gebruik van te maken. Elke beheersmaatregel wordt bijvoorbeeld voorzien van kenmerken, ook wel ‘attributen’ genoemd. Hiermee kunnen controls geordend en beoordeeld worden. Deze attributen kunnen ook worden ingezet om aan te haken bij andere frameworks, zoals de vijf NIST-functies.

Risicomanagement als startpunt

De BIO gaat uit van risicomanagement als integraal startpunt voor de implementatie van maatregelen. De controls zullen dus altijd op basis van een risicoafweging vertaald moeten worden naar concrete maatregelen. In de praktijk zien we echter twee benaderingen bij overheidsorganisaties:

1. Een ‘compliance based’ benadering, waarbij de focus gelegd wordt op de implementatie van overheidsmaatregelen. Als de overheidsmaatregelen niet of zeer beperkt wijzigen bij de nieuwe BIO-versie, zullen deze organisaties weinig impact van de nieuwe versie ondervinden.
2. Een ‘risicogebaseerde’ benadering, waarbij de focus ligt op de analyse van bedreigingen en risico’s en vervolgens op het toepassen van de controls. Bij implementatie van de nieuwe BIO-versie zullen deze organisaties afhankelijk van de bedreigingen en risico’s de nieuwe controls waar nodig inpassen.

Kortom, er zijn nogal wat verplichte overheidsmaatregelen waarmee je de vraag kan stellen of “de invoering van controls altijd gebaseerd is op een risicoafweging.” Naar mijn smaak is de andere benadering (compliance based) de dominante. Toch blijven we halsstarrig stellen dat de BIO-implementatie risicogebaseerd is.

Impact op gemeenten

Wanneer de wijzigingen worden doorgevoerd in een aangepaste BIO, heeft dit impact op gemeenten en op organisaties waarmee de gemeenten samenwerkt, zoals leveranciers. Om te bepalen wat die impact is, heeft VKA gesproken met VNG, als woordvoerder van de gemeenten. Dit betekent wel dat alle Nederlandse gemeenten nu vertegenwoordigd zijn door twee personen. Ik persoonlijk vind dat mager… Enfin, volgens de VNG varieert de werklast voor aanpassing en de doorlooptijd van de BIO per gemeente. Hoe verder de gemeente is met de invoering van de BIO, hoe kleiner de werklast zal zijn. De impact voor gemeenten ‘op papier’ is nul, stelt men. De implementatie van de BIO is immers een continu proces. Al zou je ook kunnen zeggen dat je op een gegeven moment van implementeren door kan naar beheren en dat daarmee de BIO-implementatie géén continue proces is. Wel een láng proces. Lees hier meer over in mijn eerdere blog ‘Met de BIO bezig blijven; hoe lang?’.

Impact op contracten en certificeringstrajecten

Het aanpassen van de BIO aan de NEN-ISO-27002 heeft ook impact op reeds afgesloten dan wel af te sluiten contracten en ISO-27001 certificeringstrajecten. Voor de gemeenten betreft dit de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) en de Gemeentelijke ICT Kwaliteitsnormen. In de Gemeentelijke ICT-kwaliteitsnormen is in paragraaf 4.3 opgenomen dat ‘de ICT-prestatie de functionele en technische mogelijkheden dient te hebben zodat de opdrachtgever kan voldoen aan de BIO’. Afhankelijk van de aard van de ICT-prestatie kan een gewijzigde BIO grote impact hebben op dergelijke contracten door de inzichten die de nieuwe BIO kan bieden op de specifieke terreinen van de nieuwe controls. Maar het is belangrijk om hier te noemen dat art. 25(1) jo. 25(2) GIBIT de mogelijkheid biedt om een andere norm voor informatiebeveiliging overeen te komen dan de BIO.

Dus ben je als gemeente met je leveranciers overeengekomen dat bijvoorbeeld een ISO27001 certificaat volstaat? Dan veroorzaakt de gewijzigde BIO geen problemen. Het certificaat blijft namelijk geldig voor een termijn van drie jaar, ook na wijziging van de norm. Na de ‘transitieperiode’ zullen zij, om een certificering te behouden, uiterlijk drie jaar na invoering van de nieuwe ISO een hercertificering volgens de nieuwe ISO27001 moeten halen. Hiermee blijven zij ook compliant aan een gewijzigde BIO. Kortom, de impact van een gewijzigde BIO op nieuwe contracten kan dan ook als minimaal beschouwd worden.

Doorlooptijd

Maar voordat we zover zijn, dient eerst een traject ingezet te worden om de wijzigingen door te voeren in de BIO. Deze eerste stap wordt uitgevoerd door de Werkgroep BIO en bekrachtigd in het Kern IBO. De start van dit traject vindt plaats na publicatie van de nieuwe ISO 27002, naar verwachting maart 2022. Het Kern IBO heeft aangegeven dat de inhoudelijke aanpassingen van maatregelen pas bij de geplande evaluatie van de BIO aan de orde zijn. Deze staat gepland voor 2023, maar gaat naar verwachting (eerder) parallel lopen aan de ontwikkeling BIO 2.0.

Op het moment dat gemeenten de aanpassingen in beeld hebben, moet er een keuze gemaakt worden hoe deze maatregelen in te voeren in de organisatie. Dat kan op twee manieren:

1. Als apart project. De wijzigingen worden dan als totaalpakket ingepland en uitgerold in de organisatie.
2. Als onderdeel van de reguliere onderhoudscyclus. De wijzigingen worden dan als deelpakketten behandeld in de verschillende (vaak meerjarige) onderhoudscycli die de gemeente hanteert voor het aanpassen van processen, informatiesystemen en infrastructuur.

Ondersteunende kennisproducten

Zowel de Informatiebeveiligingsdienst (IBD) als het Centrum Informatiebeveiliging en Privacybescherming (CIP) bieden ondersteunende kennisproducten aan ten behoeve van de implementatie van de BIO. De IBD geeft aan dat een nieuwe ISO 27002 weinig impact zal hebben op deze ondersteunende producten. Het onderhoud van de producten is volgens de IBD immers onderdeel van de normale procesgang. Echter, in tegenstelling tot de IBD, geeft het CIP aan dat de nieuwe ISO 27002 wél grote impact heeft op de ondersteunende producten van het CIP, aangezien deze allemaal aangepast dienen te worden doordat de nieuwe ISO 27002 verschilt op structuur. Kortom, daar is nog werk aan de winkel.

Meer informatie?

Ben je benieuwd naar alle onderzoeksresultaten, lees dan hier het hele rapport ‘Onderzoek Impact 2021 versie ISO27002 op de BIO’ of bekijk de webinar van het CIP hierover. Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.