Veel gemeenten zijn nog druk bezig om de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) te implementeren, maar de opvolger staat inmiddels ook voor de deur. De Baseline Informatiebeveiliging Overheid (BIO) moet vanaf 2019 een eenduidige baseline voor alle overheidsinstellingen bieden. Is het oude wijn in nieuwe zakken of brengt de BIO meer met zich mee? En hoe kan de nieuwe baseline de lokale overheden helpen?
Risicogericht door de hele organisatie
Wie door de BIO heen bladert, zal delen van de structuur herkennen uit de BIG en in elk geval veel van de maatregelen. De nieuwe baseline is net als de BIG dan ook gebaseerd op de ISO 27001 en 27002 normen, zij het bijgewerkte versies daarvan, en ook de structuur van die normen is overgenomen. Het is voor gemeenten belangrijk om de twee baselines goed naast elkaar te leggen en stil te staan bij de plekken waar ze op elkaar aansluiten en vooral ook waar ze van elkaar verschillen.
Twee belangrijke veranderingen met de komst van de BIO zijn de expliciete aandacht voor verantwoordelijkheden en risicomanagement. In de nieuwe baseline wordt de verantwoordelijkheid voor informatieveiligheid nadrukkelijk neergelegd bij de secretaris, de proceseigenaar of een derde partij als dat van toepassing is. Deze verantwoordelijke moet ervoor zorgen dat de risico’s bij zijn of haar processen in beeld zijn en dat daar passende maatregelen voor genomen worden. Daarbij is het van belang om gedegen kennis van zowel informatiebeveiliging als de inhoud van de processen mee te nemen.
Basis Beveiligingsniveaus
Om dat goed en gestructureerd te kunnen doen, worden er met de BIO drie beveiligingsniveaus geïntroduceerd: de zogeheten Basis Beveiligingsniveaus (BBN). Van BBN1 tot en met BBN3 zijn er bijbehorende verplichte overheidsmaatregelen beschreven die voor een passende bescherming bij het betreffende beveiligingsniveau moeten zorgen. In veel gevallen is de proceseigenaar verantwoordelijk voor het toepassen van het juiste beveiligingsniveau en de naleving daarvan. Deze verschuiving zorgt ervoor dat informatiebeveiliging nadrukkelijker in de organisatie wordt belegd. Het is dan ook een belangrijke stap in de groei naar volwassenheid op het gebied van informatieveiligheid, waarin proceseigenaren nadrukkelijk hun verantwoordelijkheid pakken op dit onderwerp en dit uitdragen binnen hun afdeling.
Als dit op een gedegen manier gebeurt, zal de CISO meer een coördinerende rol kunnen pakken en meer grip krijgen op informatieveiligheid in de gehele organisatie, juist omdat dit door de hele organisatie gedragen wordt. Daarbij is het wel van belang dat er voldoende kennis en bewustwording aanwezig is op de verschillende afdelingen.
Eén baseline als basis?
Hoewel er binnen de BIO veel raakvlakken zijn met de BIG, zal het voor de meeste organisaties toch tijd kosten om goed bekend te raken met de inhoud van de nieuwe baseline en daaraan te gaan voldoen. Daarom is 2019 ook aangewezen als overgangsjaar, om deze stap te kunnen zetten. De verantwoording volgens ENSIA zal volgend jaar in principe nog conform de BIG gebeuren, maar uiteindelijk zal ook daar de BIO gaan gelden.
Nu er een eenduidige baseline komt voor alle overheden kan het waardevol zijn als de BIO in combinatie met ENSIA daadwerkelijk als centrale spil gaat functioneren wat betreft de verantwoording ten aanzien van informatiebeveiliging. Nu vult de CISO naast de vragen in ENSIA ook nog de vragenlijst van de accountant voor de jaarrekening in en worden bij de audits wederom aparte assessments afgenomen voor vakgebieden die ook gewoon in ENSIA aan bod komen. Daar valt voor informatiebeveiligend Nederland nog een mooie stap te zetten.
Meer weten?
Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy, via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.