Als CISO/IBF van een overheidsorganisatie hebben we het allemaal al meegemaakt. Normen van de diverse overheidslagen sluiten niet aan op elkaar, spraakverwarring en aanvullende eisen die ingevuld moeten worden. De doelstellingen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), Baseline Informatiebeveiliging Rijksoverheid (BIR), Baseline Informatiebeveiliging Waterschappen (BIWA) en Interprovinciale Baseline Informatiebeveiliging (IBI) zijn nooit gehaald wat betreft het vereenvoudigen en beter beschermen van de ketens. Zo zijn er afwijkingen tussen de normen met betrekking tot de beheersmaatregelen, waardoor miscommunicatie optreedt.

Transitie
De Baseline Informatiebeveiliging Overheid (BIO) gaat hier een eind aanmaken. De BIO is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (rijk, gemeenten, provincies en waterschappen). Voorheen hadden overheidslagen zijn eigen baseline, maar nu is er met gezamenlijke inspanning één norm voor de gehele overheid, de BIO.

De BIO is gebaseerd op de nieuwe ISO27001:2013 norm waarbij de ISO27002:2013 voor implementatie van maatregelen wordt gehanteerd. Dat is een groot voordeel ten opzichte van de oude normen aangezien het samenwerkt met een internationale norm, de ISO27001. Dit betekent dat het eenvoudiger is om (inter-)nationale samenwerking te verbeteren. Daarnaast is er meer sturing om compliance en de verantwoordelijkheid wordt belegd in de keten in plaats van bij een individu.

Nieuw binnen de BIO is dat risicomanagement een veel groter onderdeel gaat uitmaken van de informatiebeveiliging. Hiervoor zijn Basis Beveiliging Niveaus (BBN) opgesteld gebaseerd op schade (impact), dreiging en de daarbij behorende basismaatregelen. Per informatieproces/systeem kan dan door een Quickscan Information Security (QIS) bepaald worden welke BBN niveau noodzakelijk is. Daarnaast zijn er aantal overheidsmaatregelen opgenomen in de BIO die verplicht zijn om in te voeren.

Voordelen die behaald worden door één normenkader:

• Het verbeteren van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
• Administratieve lastenverlichting bij overheid en bedrijven, zowel afnemers als leveranciers, door een uniforme norm bij de overheid;
• Aansluiting bij internationale regelgeving en standaarden;
• Vermindering van onderhoudskosten.

Wat betekent dit voor mijn organisatie?
Als CISO/IBF wordt wel actie verwacht. Het eenvoudig plotten van de oude maatregelen op de nieuwe norm, BIO, zal onvoldoende zijn, aangezien risicomanagement een essentieel onderdeel vormt van de nieuwe norm. Maak daarom gebruik van de resterende tijd in 2019 om de benodigde processen in te richten zodat je klaar bent voor de norm wanneer de overgangsperiode op 1 januari 2020 afloopt.
Om als CISO/IBF goed beslagen ten ijs komen is het belangrijkste advies om het proces van risicomanagement voor te bereiden met proceseigenaren en in te richten. Daarnaast is een goede voorbereiding op de BIO norm belangrijk om straks daadwerkelijk volgens de BIO te gaan werken.

Om terug te komen op de vraag; Is de BIO het tovermiddel om informatiebeveiliging binnen de overheidslagen te verbeteren? Als we kijken naar de BIO dan zie je dat er meer aandacht is voor een risico-gedreven aanpak en dat is positief. Daarnaast is er meer focus op eigenaarschap van informatiesystemen, maar om antwoord op de vraag te geven; Nee de BIO is niet het tovermiddel, maar het helpt wel om door de keten heen niveaus te bewaken.