Inleiding: de BIO

Vanaf 1 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. De BIG, BIR, BIR2017, IBI en BIWA zullen worden getransformeerd naar de BIO. Daarmee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek: ISO27001. Vanaf 2020 geldt de Baseline Informatiebeveiliging Overheid als norm voor de gehele Nederlandse overheid. Er moet nog heel wat gebeuren willen de overheidsorganisaties deze BIO volledig hebben geïmplementeerd.  

Wat is de BIO?

De BIO is feitelijk een update van de nu bestaande BIG. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op deze BIG. De werkzaamheden die voor de BIG zijn verricht zijn al grotendeels in lijn met de BIO. Echter door deze BIO wordt het informatiebeveiligingbeleid in alle overheidsinstanties gelijkgetrokken. Dit helpt in zowel vermindering van de audit last maar ook in eenduidigheid en uitwisselbaarheid van kennis en ervaring met informatiebeveiliging tussen de verschillende overheden. Er komt hierdoor een gezamenlijke taal.  

Vanaf 2016 is door vertegenwoordigers van de rijksoverheid, de provincies, waterschappen, gemeenten (VNG) en het Centrum voor Informatiebeveiliging en Privacy (CIP), gewerkt aan een gezamenlijke baseline die alle bestaande losse overheidsbaselines zal gaan vervangen. Diverse gemeenten hebben in de afgelopen tijd meegewerkt aan de review van deze BIO, alle commentaar is gewogen en verwerkt in de versie BIO 1.0.

Meer risicomanagement.

De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:

    Minder maatregelen (bijna 60% minder)

    Maatregelen zijn altijd verplicht

    Meer risicomanagement (het begint met een QuickScan, de QIS)

    3 Basisbeveiligingniveaus (BBN)

    Selectie van ontbrekende maatregelen vooraf

    Toewijzing van maatregelen op eindverantwoordelijke

    Een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus

De grootste verandering zal zijn dat ook bijvoorbeeld ENSIA (de verantwoordingstructuur en auditering) compleet opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten. Ook een grote verandering is dat de aanpak anders is dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van de IBD door middel van operationele BIO-producten voor gemeenten.

InformationSecure.nl

InformationSecure.nl heeft kennis en ervaring met Informatiebeveiligingsbeleid binnen de overheden en kan helpen met implementatie van deze nieuwe BIO. Voor meer informatie zie onze contact pagina.

Geraadpleegde bronnen: ondermeer VNG, IBD en CIP.

De nieuwe Baseline Informatiebeveiliging Overheid (BIO)
Tagged on: