2020, het jaar van de Baseline Informatiebeveiliging Overheid (BIO)
Een praktische leidraad hoe om te gaan met de uitdagingen en kansen van dit nieuwe normenkader op het gebied van informatieveiligheid.
Per 1 januari van dit jaar is de Baseline Informatiebeveiliging Overheid, ook wel genoemd BIO actief. Met de komst van de BIO zijn de normenkaders BIG voor gemeenten, BIR voor rijksoverheid en ministeries, BIWA voor waterschappen en IBI voor provincies samengesmolten tot één Baseline Informatiebeveiliging Overheid (BIO). Het normenkader van de BIO is opgesteld om de overheid in staat te stellen te voldoen aan de verantwoordelijkheden betreft de bescherming van persoonsgegevens, informatieveiligheid en de beheersing van te treffen beveiligingsmaatregelen. 2019 was het overgangsjaar. In 2020 dienen alle lagen van de overheid aantoonbaar te voldoen aan de normen van dit nieuwe BIO normenkader. Wij hebben reeds in 2019 met onze Key Control Dashboard software diverse ministeries, ZBO’s, provincies en gemeenten geholpen aantoonbaar In Control te geraken op de BIO. Lees in dit artikel welke kansen en uitdagingen voortvloeien met betrekking tot de implementatie en verantwoording van het BIO normenkader.
Uitdagingen
SMART formuleren van maatregelen
Kijkende naar het BIO normenkader valt allereerst op dat de scherpte van de formulering van de maatregelen nog genoeg te wensen overlaat. Een groot deel van de maatregelen zijn multi-interpretabel en niet SMART. Daarmee is het nagenoeg onmogelijk om de diverse decentrale spelers en organisatieonderdelen die betrokken zijn bij de verantwoording van de BIO direct maatregelen en normen uit de BIO te laten toetsen. Het is zaak om eerst het BIO normenkader en de bijbehorende maatregelen te voorzien van, door de CISO opgestelde, organisatie specifieke instructies en toelichtingen. Dit zodat de toetsing van de maatregelen binnen de organisatie op een zo efficiënte en eenduidig mogelijke wijze gerealiseerd wordt. Een heldere vertaling, uitleg en begrip van de BIO draagt immers ook bij aan een breder draagvlak bij de decentrale organisatieonderdelen en systeem verantwoordelijke die betrokken zijn bij het toetsings- en verantwoordingsproces.
Maatregelen effectief decentraal beleggen en inzicht creëren
Verder is te zien dat er in de BIO een kolom is opgenomen om inzichtelijk te maken wie verantwoordelijk is voor de verantwoording van een betreffende maatregel. De verschillende verantwoordelijke die standaard zijn opgenomen in de BIO zijn: secretaris/algemeen directeur, proceseigenaar en dienstenleverancier. Vanuit de BIO is dus aangegeven wie verantwoordelijk zou moeten zijn. Net zo belangrijk is het benoemen wie verantwoordelijk is voor de toetsing en verantwoording van de betreffende maatregelen. Dit is niet standaard uitgeschreven en dit zult u samen met uw organisatie moeten bepalen. Om een goede balans te vinden tussen de belasting van de CISO, de centrale beheers- of interne controle organisatie en bedrijfsvoering is het van belang om alleen de relevante maatregelen decentraal te beleggen. Als voorbeeld: maatregelen die betrekking hebben op centrale onderwerpen zoals policy ’s en het informatiebeveiligingsbeleid kunnen in de meeste gevallen éénmalig centraal worden getoetst. Ga dus slim om met het beleggen / labelen van BIO maatregelen naar afdeling, proces, applicatie of asset. Hierdoor draag je zorg dat per systeemeigenaar, organisatieonderdeel of entiteit een minimale set aan maatregelen ontstaat. Daarnaast is later direct inzichtelijk wat de In Control Status per systeem/organisatie/entiteit is.
Creëer totaalinzicht, implementeer een integraal ISMS / GRC software platform
Een andere uitdaging is beschreven in BIO maatregel 18.2.1.1. Deze maatregel vraagt specifiek om het inregelen van een ISMS of GRC systeem waarmee u de gehele Plan-Do-Check-Act cyclus met betrekking tot de aantoonbare verantwoording en opeenvolging van het BIO normenkader op een gestructureerde wijze borgt. Veel organisaties werken nog met aan elkaar geknoopte Excel bestanden en zullen niet aan deze maatregel kunnen voldoen. Voor een soepele implementatie is een ISMS software platform en hulp bij de implementatie van het BIO normenkader in de vorm van kennis, ervaring en ondersteuning vanuit de leverancier key.
Kansen
Van elkaar leren
Het nieuwe BIO normenkader biedt uiteraard ook kansen. Het belangrijkste voordeel van de BIO is de integraliteit en uniformiteit. Waar er vroeger verschillende normenkaders bestonden voor de rijksoverheid, ministeries, gemeenten, waterschappen en provincies is er nu één overkoepelend normenkader. Daarnaast is de structuur van de BIO exact gelijk aan normenkaders zoals NEN7510 en ISO27001 waardoor ook branche overstijgend vergeleken kan worden en met elkaar best-practices kunnen worden gedeeld.
Hernieuwde focus op risicomanagement
Daarnaast komt in het BIO normenkader een scherpere focus op risicomanagement naar voren. De basis beveiliging niveaus (BBN’s) zijn daar het bewijs van. Op basis van de BBN-score wordt bepaald welke maatregelen relevant zijn om te toetsen voor een bepaalde organisatie onderdeel / entiteit. Door hier effectief mee om te gaan en te prioriteren kan het totaalaantal te toetsen maatregelen omlaag gebracht worden.
Samen aantoonbaar In Control op het BIO normenkader en inzicht in de actuele status op het gebied van informatieveiligheid
Het succesvol binnen de organisatie implementeren van het BIO normenkader, inclusief het inrichten van een GRC / ISMS software platform, biedt u de mogelijkheid om naar de toekomst toe beter en effectiever inzicht te krijgen in de In Control status van de informatieveiligheid binnen uw organisatie met daarbij integraliteit en inzicht tussen processen, systemen, risico’s en maatregelen. Data-driven-audit technieken zullen daarnaast naar de toekomst toe helpen de verantwoording van dit BIO normenkader effectiever en slimmer te doen.
In 2019 hebben wij reeds bij ministeries, provincies, gemeentes en andere organisaties het BIO normenkader succesvol geïmplementeerd. Dit met behulp van ons integrale GRC en ISMS software platform het Key Control Dashboard. Wij kennen de complexiteit en uitdagingen omtrent de implementatie van dit normenkader. Wij helpen u graag bij het benutten van kansen en dragen zorg dat u op effectieve wijze In Control bent op o.a. de onderwerpen informatieveiligheid, privacy en bijbehorende normenkaders waaronder de BIO, ISO 27001, et cetera.
Wilt u meer weten over wat het Key Control Dashboard voor u als organisatie kan betekenen neem dan gerust contact met ons op.
Stef de Graaf werkt als Senior Consultant bij het Key Control Dashboard. Als Project Manager is hij verantwoordelijk voor de implementatie van het ISMS en GRC software platform Key Control Dashboard bij diverse Ministeries, financiële instellingen, zorgorganisaties en andere overheidsorganisaties.