Baseline Informatiebeveiliging Overheid

De kogel is door de kerk: de baseline informatiebeveiliging overheid (BIO) 1.0 is klaar en nu kunnen de diverse overheidslagen de bestuurlijke besluitvorming inrichten.

De huidige baselines van gemeenten, provincies, waterschappen en het rijk zijn allemaal nog gebaseerd op de NEN/ISO 27002:2005 en lopen achter op de NEN/ISO 27002:2013. De ISO uit 2013 kent een andere hoofdstukindeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking met organisaties die al wel gebruik maken van de 2013-versie.

De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Het feit dat de BIO een gezamenlijke baseline is, voorkomt dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO zal gezamenlijk beheerd worden, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen.

Vanaf 2016 is door vertegenwoordigers van de rijksoverheid, de provincies, waterschappen, gemeenten (VNG) en het Centrum voor Informatiebeveiliging en Privacy (CIP), gewerkt aan een gezamenlijke baseline die alle bestaande losse overheidsbaselines zal gaan vervangen. Diverse gemeenten hebben in de afgelopen tijd meegewerkt aan de review van deze BIO, alle commentaar is gewogen en verwerkt in de versie 1.0.

De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:

  1. Minder maatregelen (bijna 60% minder)
  2. Maatregelen zijn altijd verplicht
  3. Meer risicomanagement (het begint met een QuickScan, de QIS)
  4. 3 Basisbeveiligingniveaus (BBN)
  5. Selectie van ontbrekende maatregelen vooraf
  6. Toewijzing van maatregelen op eindverantwoordelijke
  7. Een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus

De grootste verandering zal zijn dat ook bijvoorbeeld ENSIA compleet opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten. Ook een grote verandering is dat de aanpak anders is dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van de IBD door middel van operationele BIO-producten voor gemeenten.

Wanneer gaat de BIO er echt zijn voor gemeenten?

De verwachting is dat de BIO zal worden voorgelegd aan de besluitvormdende gremia van de VNG en het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO)-overleg. Wanneer de BIO wordt aangenomen in 2018 zal, met ingang van 1-1-2019, de BIO nieuwe normenkader worden voor alle gemeenten en gemeentelijke samenwerkingsverbanden. Het jaar 2019 zal dan gelden als overgangsjaar zodat pas vanaf 1-1-2020 daadwerkelijk volgens de BIO gewerkt en verantwoord moet worden.

Lees meer en denk en discussieer mee op de IBD-Community