Inloggen

Wachtwoord opvragen
Nieuwhuis Consult

Baseline Informatiebeveiliging Overheid BIO

Search
Generic filters
Exact matches only
Filter by Custom Post Type

Informatiebeveiliging bij de overheid

Staatssecretaris Knops van BZK heeft de Tweede Kamer geïnformeerd over maatregelen om de informatieveiligheid bij de overheid te verhogen. Eén daarvan is de ontwikkeling van een gezamenlijk normenkader voor informatiebeveiliging voor alle overheidslagen: de Baseline Informatiebeveiliging Overheid.

Nieuw normenkader voor alle overheden

Gemeenten hanteren sinds 2013 de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, de waterschappen en provincies hanteren hun eigen respectievelijke normen, de BIR, BIWA en IBI. Deze zijn nu samen met de BIG gebundeld in de Baseline Informatiebeveiliging Overheid (BIO).  De nieuwe baseline wordt het nieuwe normenkader voor alle overheden.

De huidige baselines van gemeenten, provincies, waterschappen en het rijk zijn allemaal nog gebaseerd op de NEN/ISO 27002:2005 en lopen achter op de NEN/ISO 27002:2013. De ISO uit 2013 kent een andere hoofdstukindeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking met organisaties die al wel gebruik maken van de 2013-versie. De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Het feit dat de BIO een gezamenlijke baseline is, voorkomt dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO zal gezamenlijk beheerd worden, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen.

Wat is de BIO?

De BIO is een doorontwikkeling, ofwel een ‘update’, van de nu bestaande BIG. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op deze BIG. De werkzaamheden die voor de BIG zijn verricht zijn al grotendeels in lijn met de BIO.

Vanaf 2016 is door vertegenwoordigers van de rijksoverheid, de provincies, waterschappen, gemeenten (VNG) en het Centrum voor Informatiebeveiliging en Privacy (CIP), gewerkt aan een gezamenlijke baseline die alle bestaande losse overheidsbaselines zal gaan vervangen. Diverse gemeenten hebben in de afgelopen tijd meegewerkt aan de review van deze BIO, alle commentaar is gewogen en verwerkt in de versie 1.0.

Meer risicomanagement

De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:

  1. Minder maatregelen (bijna 60% minder)
  2. Maatregelen zijn altijd verplicht
  3. Meer risicomanagement (het begint met een QuickScan, de QIS)
  4. 3 Basisbeveiligingniveaus (BBN)
  5. Selectie van ontbrekende maatregelen vooraf
  6. Toewijzing van maatregelen op eindverantwoordelijke
  7. Een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus

De grootste verandering zal zijn dat ook bijvoorbeeld ENSIA compleet opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten. Ook een grote verandering is dat de aanpak anders is dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van de IBD door middel van operationele BIO-producten voor gemeenten.

Besluitvormingsproces voor gemeenten

In lijn met de gedachte achter Samen Organiseren heeft het College van Dienstverleningszaken (CvD), met inbreng van de commissie Informatiesamenleving, het VNG Bestuur geadviseerd over de vaststelling van de BIO voor gemeenten.

De BIO is na instemming van alle overheidslagen interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO). Gemeenten zijn in dit overleg vertegenwoordigd door de VNG.

Inwerkingtreding in 2020, overgangsjaar 2019

De BIO wordt op 1 januari 2020 van kracht. In 2019 kunnen gemeenten zich voorbereiden op de overgang van de BIG naar de BIO. De informatiebeveiligingsdienst (IBD) ondersteunt gemeenten daarbij met producten en regionale bijeenkomsten. De verantwoordingssystematiek ENSIA zal ook worden bijgewerkt naar de BIO.

In het voorjaar van 2019 wordt de ENSIA vragenlijst aangepast en in een pilot ter beschikking gesteld aan een aantal gemeenten en toezichthouders.

De volledige tekst van de BIO is voor gemeenten beschikbaar op de IBD-Community. Leveranciers kunnen de volledige tekst van de BIO opvragen bij de IBD.

(Bron: https://www.informatiebeveiligingsdienst.nl/project/baseline-informatiebeveiliging-overheid/)

 

 

Ervaringen

"Nieuwhuis Consult was a great help for implementing our ISMS ; the consultant successfully managed to adapt the complex ISO 27001 requirements into something our company could easily work with. "

Cyril Mallet - CTO Platform 161

"Het was een leerzaam en leuk traject! Zowel in je adviezen als in de training weet je mijn aandacht goed vast te houden, mijn complimenten!"

Karin van Veen - EHS-coördinator Saint Gobain

"De praktische aanpak van het ISO 27001 traject was precies wat we nodig hadden."

Goran Grcic - CEO Graficom

"Al meer dan 15 jaar is Nieuwhuis Consult onze betrouwbare partner op het gebied van veiligheid van ons materieel"

Remko Vriezema - Hoofd werkplaatsen Twente Milieu

"Bedankt voor je kundige advies, ondersteuning en prettige samenwerking in het traject dat we gehad hebben om tot de ISO13485:2016 certificering te komen."

Bert Raap - General Manager Prince Technologies