Deze blog is in samenwerking met AuditTrail geschreven
De BIO heeft niets te maken met groente of fruit, maar meer met informatiebeveiliging binnen overheden. Het staat namelijk voor Baseline Informatiebeveiliging Overheid en is in werking sinds 1 januari 2020. Maar wat houdt het eigenlijk in? Wat zijn de voordelen en de verplichtingen?
De basis (en alle andere baselines)
In Nederland, of eigenlijk in West-Europa zijn alle raamwerken in informatiebeveiliging gebaseerd op de NEN-ISO/IEC27000-serie. Daarvan zijn de ISO27001 en ISO27002 de bekendste. De ISO27001 is het managementraamwerk. De PDCA en wat je moet doen om te zorgen dat ‘doen aan security’ niet blijft hangen in de vorm van een project. En dus niet volwassener wordt. De ISO27002 is een heldere en uitgebreide lijst met normen, maatregelen en implementatierichtlijnen, georganiseerd in overzichtelijke domeinen. De ISO wordt, zoals gebruikelijk periodiek geüpdatet. De laatste update was van 2013, die daarvoor van 2005. Zo kan iedereen die zich bezighoudt met risicomanagement meegaan met de tijd!
De volgende overheidsinstanties dienen te voldoen aan de BIO:
- Rijksoverheid
- Provinciale staten
- Gemeenten
- Waterschappen
Normenkaders in het informatiebeveiligingslandschap
Bij de Nederlandse overheden en in verschillende sectoren werden en worden raamwerken gebruikt die afgeleid zijn van de hierboven genoemde ISO. In de zorg de NEN7510, bij woningcorporaties de BIC. En bij de overheid had iedere bestuurslaag haar eigen baseline: gemeenten de BIG, waterschappen de BIWA, Provincies de IBI en de Rijksoverheid de BIR.
De BIR was gebaseerd op de ISO-update van 2013, maar de andere baselines waren nog gebaseerd op de versie uit 2005. Dit zorgde voor verwarring en werkte buitengewoon onhandig. Daarnaast ziet de wereld er nu natuurlijk heel anders uit ziet! Ook bleek er een grote behoefte te zijn om één baseline voor de gehele overheid te hebben. Dit stimuleert herkenbaarheid en eenduidigheid.
Evolutie
Het werd tijd voor een update. De BIO vervangt zowel de BIR, de BIWA, de IBI als de BIG. Wel is het gebaseerd op de BIG; het is een evolutie. Maar wat wil men nu bereiken?
Met het invoeren van de BIO beoogt men de beveiliging van informatiesystemen bij alle overheidsonderdelen te verbeteren. Alle overheidsinstanties kunnen hiermee aantonen dat de informatie die wordt verstuurd of ontvangen, voldoen aan passende wet- en regelgeving en daarmee goed beveiligd zijn. De BIG was meer ingestoken vanuit het treffen van maatregelen; de BIO legt meer nadruk op risicomanagement. Wat ons betreft een goede ontwikkeling. In onze dagelijkse praktijk zien wij gelukkig dat er steeds meer aandacht is voor de aansluiting tussen informatiebeveiliging en risicomanagement. Daarmee wordt ook impliciet erkend dat security een business risk is.
De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:
- Meer risicomanagement;
- Minder maatregelen (bijna 60% minder);
- Maatregelen zijn altijd verplicht;
- 3 Basis Beveiliging Niveaus (BBN1 t/m BBN3);
- Een baselinetoets die rekening houdt met die 3 niveaus;
- Selectie van ontbrekende maatregelen vooraf;
- Toewijzing van maatregelen op eindverantwoordelijke.
De keuze om 3 BBN’s te faciliteren is een goed idee. Dat zorgt ervoor dat het bruikbaar is in verschillende types organisaties met verschillende risicoprofielen. Al met al gaat het om een flink aantal wijzigingen. Ook de aanpak is nadrukkelijk anders dan met de BIG. Daarnaast is de verplichte herinrichting van de ENSIA een aanzienlijke wijziging.
De omschakeling naar de BIO is behoorlijk wat werk, maar goed te doen. De omschakeling geeft anderzijds ook kansen om de gehele aanpak van informatiebeveiliging nog eens goed tegen het licht te houden.
Implementatie van de BIO
Voor een juiste implementatie dient men de ISO27002 met alle controls toe te passen (of uit te leggen). Dit heet ook wel “comply or explain” (“pas toe of leg uit”). Het normenkader van de ISO27001 en 2 bestaat uit 114 maatregelen welke eenvoudig en overzichtelijk in te richten zijn binnen de organisatie. Veel van deze maatregelen zullen ook al geïmplementeerd zijn binnen de bestaande processen. Het is echter van groot belang om ervoor te zorgen dat deze maatregelen worden uitgevoerd en dat het duidelijk is waar dit wordt gedaan.
Ook biedt de invoering van de BIO de kans om alle “lessons learned” ein-de-lijk eens op te pakken en te verwerken in een nieuwe aanpak. En dan het liefst meteen in goede GRC software, die zowel de Security Officer als de Privacy Officer ondersteunt.
Even sparren? Bel ons gerust
Jorrit van de Walle
Jorrit van de Walle is directeur bij Audittrail, een audit- en adviesbureau op het gebied van informatiebeveiliging, Legal en business control. Samen met een team van bevlogen professionals – experts en juristen – werkt hij voor opdrachtgevers in verschillende sectoren, waaronder de overheid.
Robert ’t Hart
Robert ’t Hart is directeur bij NARIS. Het softwareplatform voor Governance, Risk and Compliance Het