Baseline Informatiebeveiliging Overheid (BIO)
Voor een veilige digitale overheid
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Helder, actueel en veilig.
Gedeelde taal, samenwerken in ketens
Voorheen hadden alle bestuurslagen nog een eigen baseline, de BIR (Rijk), BIG (gemeenten), IBI (provincies) en BIWA (waterschappen). Deze baselines waren (met uitzondering van de BIR2017) voor een groot deel nog gebaseerd op de ISO-normering uit 2005 en lopen achter op de actuele ISO uit 2013 (NEN-ISO 27002). Om de informatiebeveiliging optimaal te professionaliseren is er behoefte aan een eenduidige en herkenbare stevige basis voor de gehele overheid. Voor een veilige digitale overheid.
Wat is de BIO?
De BIO is een doorontwikkeling, ofwel een ‘update’, van de BIG. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op deze BIG. De werkzaamheden die voor de BIG zijn verricht zijn al grotendeels in lijn met de BIO.
Meer risicomanagement
De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.
De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:
- Minder maatregelen (bijna 60% minder)
- Maatregelen zijn altijd verplicht
- Meer risicomanagement (het begint met een Baselinetoets BIO)
- 3 Basisbeveiligingniveaus (BBN)
- Selectie van ontbrekende maatregelen vooraf
- Toewijzing van maatregelen op eindverantwoordelijke
- Een baselinetoets die rekening houdt met die 3 niveaus
De grootste verandering is dat ook bijvoorbeeld ENSIA compleet opnieuw zal moeten worden ingericht en daar is heel wat werk te verzetten. Ook een grote verandering is dat de aanpak anders is dan bij de BIG en dat betekent ook een wijziging in het ondersteuningsaanbod van de IBD door middel van operationele BIO-producten voor gemeenten.
Implementatieondersteuning BIO
De volgende documenten en producten zijn beschikbaar ter ondersteuning van de implementatie bij gemeenten:
- Baseline Informatiebeveiliging Overheid (BIO)
- Mindmap basisprocessen en mindmap basismaatregelen voor informatiebeveiliging
- Introductie aanpak BIO
- Aanpak BIO voor kleine gemeenten
- Aanpak informatiebeveiligingsbeleid BIO gemeenten met apart format informatiebeveiligingsbeleid
- Baselinetoets BIO inclusief uitleg
- GAP-analyse BIO met aparte uitleg
- Maatregelenset BBN2+
- Diepgaande risicoanalyse met aparte uitleg
- NEN/ISO 270001/2
- IRPA tool
- Handreiking Dataclassificatie
- Eenvoudig hulpmiddel voor bepalen maatregelen, BBN en schade voor betrokkenen
** Bekijk hier alle kennisproducten van de IBD **
De IBD adviseert CISO’s van gemeenten per afdeling of per werkproces met de verantwoordelijken om tafel te zitten en de huidige stand van zaken te bespreken en een beknopt plan van aanpak BIO op te stellen. U kunt gebruik maken van de bovenstaande beschikbare documenten en tools om dit gestructureerd aan te pakken. De manager heeft met informatieveiligheid een belangrijke rol, zie daarvoor ook de handreiking voor de manager en de factsheet voor de manager.
Besluitvormingsproces voor gemeenten
In lijn met de gedachte achter Samen Organiseren heeft het College van Dienstverleningszaken (CvD), met inbreng van de commissie Informatiesamenleving, het VNG Bestuur geadviseerd over de vaststelling van de BIO voor gemeenten.
De BIO is na instemming van alle overheidslagen interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO). Gemeenten zijn in dit overleg vertegenwoordigd door de VNG.
Evaluatie Baseline Informatieveiligheid Overheid
Bij de vaststelling van de BIO is afgesproken dat deze in 2023 zou worden geëvalueerd. De evaluatie is vervroegd naar 2022 door de komst van de nieuwe ISO27002, zodat in 2023 een vernieuwde BIO 2.0 kan worden opgeleverd waarin de evaluatie alsook de structuuraanpassing als gevolg van de nieuwe ISO27002 kan worden opgeleverd. Het evaluatierapport bevat de resultaten van de evaluatie en is richtinggevend voor het feitelijk herschrijven van de BIO.
ENSIA
ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.
lees hier meer
