fbpx

De BIO: een compliancy-kans voor IT

Wim Hoving

Architect ISM-methode

Met een compacte oplossing eenvoudig voldoen aan de compliancy en security-eisen die vanuit de BIO aan de IT worden gesteld

Het security en compliancy-niveau van de IT wordt veroorzaakt door de werkwijze van de IT-organisatie. Het voldoen aan de BIO kan dan ook alleen effectief en efficiënt gerealiseerd worden door compliancy te integreren in de IT-werkwijze.

De nadruk op security is, mede door het toenemend aantal ernstige incidenten, sterk vergroot waardoor het management en de gemeentelijk bestuurder wettelijk scherpere vastgestelde verplichtingen hebben. Al deze veranderingen bieden echter ook kansen. Zo vergroot de BIO harmonisatie-kansen tussen overheden onderling en derden. Met ISM, een compacte van ITIL afgeleide gestandaardiseerde methode, wordt de informatieveiligheid voor de IT-afdeling geïntegreerd in de service levels en werkwijze en is daarom de geschikte methode om in jouw overheidsorganisatie de compliancy efficiënt op orde te brengen.

 


 

De BIO: wat is het en wat verandert er?

Waar eerder gemeenten (de BIG), waterschappen (BIWA), het Rijk (de BIR) en provincies (IBI) ieder een eigen Baseline Informatieveiligheid hadden is er sinds 2020 één gezamenlijk basis-normenkader voor alle overheden voor informatiebeveiliging: de BIO. BIO staat voor Baseline Informatieveiligheid Overheid en impliceert een flink aantal veranderingen, uitdagingen en kansen voor z’n stakeholders. Zo hoeft in de BIO nog maar 60% van de oorspronkelijke maatregelen geïmplementeerd te worden ten opzichte van de BIG.

De BIO is de Nederlandse afgeleide van de ISO27001 en ISO27002. De ISO27001/2 is een algemene internationale norm voor informatiebeveiliging, de BIO stamt daar dus van af en geldt voor alle Nederlandse overheden. De BIO vervangt de ISO27001/2 echter niet! De BIO voorziet in specifieke overheidsmaatregelen en beschrijft tot in detail de implementatie en eisen voor procesinrichting.

De grootste verandering die de BIO met zich meebrengt ten opzichte van haar voorganger is dat risicomanagement in belang is toegenomen. De vraag die daar centraal bij staat is:

wordt informatie niet te zwaar of te licht beveiligd?

Informatiebeveiliging is een belangrijk kwaliteitsaspect van de informatievoorziening van de overheid en het beveiligen daarvan is geen eenmalige zaak, maar een doorlopend proces. Dit doorlopende proces is onder de verantwoordelijkheid van het lijn- en procesmanagement komen te liggen.

De eerste stap van het risicomanagement is het doen van de Baseline Toets BIO. Deze toets kan op verschillende manieren afgelegd worden en heeft als doel om inzichtelijk te maken dat een (nog op te zetten) proces, informatie en/of informatiesysteem de juiste beveiliging heeft. Dit spreekt voor zich uiteraard. Een nulmeting is een logisch vertrekpunt voordat de normen en eisen uit de BIO omgezet dienen te worden in actiepunten.

Een andere grote verandering is dat de BIO duidelijk eindverantwoordelijken aanwijst. Met betrekking tot de gehele compliancy, oftewel voldoen aan de wettelijke vereisten van de BIO, is de gemeentesecretaris eindverantwoordelijke. Echter, het lijn- en procesmanagement dient aantoonbaar te maken dat getroffen veiligheidsmaatregelen voldoen aan de informatieveiligheidseisen.

Daarbij is er sprake van proportionaliteit. Daarmee wordt bedoelt dat per risico-categorie andere vereisten nodig zijn. Bij de lichtste categorie hoeft de proces-eigenaar slechts op verzoek de CISO te informeren over informatieveiligheid. Op het zwaarste niveau dient toestemming van de gemeentesecretaris verleend te worden bij het verwerken van bijzondere informatie en/of is mandatering mogelijk naar de CISO of CIO.

Kansen tot harmonisatie met ISM: een gestandaardiseerde ITIL-methode

De BIO geeft het management grote verantwoordelijkheid ten aanzien van informatiebeveiliging en maakt duidelijk aan welke eisen het ingewikkelde risicomanagement moet voldoen. Als handreiking biedt de BIO handvaten aan. Zo definieert de BIO op basis van algemene schades en/of dreigingen voor de overheid drie standaard veiligheidsniveaus, inclusief bijbehorende beveiligingseisen die moeten worden ingevuld. Dus, de BIO stelt aan alle overheidsinstanties dezelfde duidelijk beschreven veiligheidseisen en maakt dezelfde functies verantwoordelijk.

In de BIO staat per veiligheidsniveau/categorie beschreven aan welke ‘controls’ uit de ISO 27002 moet worden voldaan. De ISM compliancy tool vertaalt die controls in concrete actiepunten voor de basisprocessen die in iedere IT-organisatie aanwezig zijn. Deze actiepunten worden integraal onderdeel van de werkwijze van de IT-organisatie. Het voldoen aan deze actiepunten wordt daarmee onderdeel van de Service Level Agreements (SLA’s).

Ook koppelt de ISM compliancy tool de controls toe aan rollen, waardoor niet alleen het ‘wat’ is verduidelijkt, maar ook het ‘wie’. Aangezien voor alle gemeenten dus dezelfde beveiligingseisen gelden (als onderdeel van de IT-dienstverlening), die onder dezelfde verantwoordelijke functies vallen leent de implementatie van de BIO zich ook voor eenzelfde uniforme en integrale aanpak: de ISM-methode.

Vraag: ITIL is een reeks van best practices en ontwikkeld als referentiekader voor het inrichten van beheerprocessen binnen de ICT-afdeling. Maar hoe kies je de best practices voor de processen omtrent informatieveiligheid?   

Elke gemeente moet compliant zijn aan de BIO, wat is dan de best practice voor de IT-afdeling? ITIL is een referentiemodel met 34 practices, de Integrated Service Management-methode (ISM-methode) is het praktische toepassingsmodel dat ITIL terugbrengt tot de kern, namelijk: een gestandaardiseerde managementmethode die jouw IT-dienstverlening en IT-servicemanagement (en dus informatiebeveiliging) optimaal organiseert. ISM is een ITIL-toepassing die dus goed aansluit op de standaardisatie en harmonisatie die de BIO voorschrijft. Met andere woorden: probeer zelf niet het wiel uit te vinden als dat al lang voor je is gedaan.

De ISM-methode is bijzonder geschikt voor overheden die haar IT-organisatie op orde wil hebben en wellicht moeite hebben met compliancy- en veiligheidseisen. De ISM-methode zorgt immers voor een optimaal IT-servicemanagement. Security is daarvan een belangrijk onderdeel. Het is dus een methode om de servicekwaliteit van de IT-organisatie te verhogen. Dat bereik je door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISM compliancy tool is een web-based compliancy tool die eenvoudig alle normeisen van de BIO en ISO27001/2 vertaalt in concrete acties om deze vervolgens te koppelen aan de ISM werkwijzen. Dit scheelt veel tijdrovend en complex uitzoekwerk en geeft je de best practice handvaten m.b.t. informatieveiligheid.

Ook heeft ISM een gratis BIO checklist ontwikkelt. Zodoende kun je gemakkelijk inzichtelijk maken of jouw IT-organisatie voldoet aan de compliancy-eisen van de BIO. Vraag de BIO checklist direct gratis aan.

 

 

 

 


Benieuwd naar een integraal IT service management systeem? Download dan de gratis whitepaper!

Wil je je IT-beheer verder professionaliseren? Met het gratis ISM-procesmodel kun je de ISM-methode direct, eenvoudig en snel invoeren, toepassen en te begrijpen: 70 pagina’s direct toepasbaar! Download de whitepaper hieronder:

service management systeem ism methode servitect
Download

 

 

thuiswerken in de IT ism methode

Thuiswerken en de impact op leiderschap in de IT – 9 tips

Nederland is massaal gaan thuiswerken. Dat geldt ook voor IT-ers. Thuiswerken in de IT heeft grote impact en vraagt om andere samenwerking en leiderschap!

BiSL en ISM: verschillen en overeenkomsten

Terwijl in de praktijk de term informatiemanagement vaak gelijkgesteld wordt met functioneel beheer geeft ISM informatiemanagement een bredere reikwijdte. Volgens ISM, of Integrated Service...

ISM: ontwikkelplatform voor modern IT-servicemanagement in de publieke sector

De ISM-methode is een praktisch toepassingsmodel en uitermate geschikt voor IT-afdelingen in de publieke sector. De ISM-methode verbetert samenwerking, versimpelt werkwijzen en zorgt dus voor meer efficiëntie en samenhang. Met andere woorden: ISM is een ontwikkelplatform en helpt jouw organisatie met het realiseren van modern IT-servicemanagement.

service management succesfactoren

Vijf servicemanagement succesfactoren. Saai, of simpel én succesvol?

Service Management is belangrijker dan ooit. Dit zijn de 5 factoren voor een optimale integratie van IT-dienstverlening in je organisatie.

ICT en AVG

IT en AVG: mooie kansen, maar wacht niet te lang!

Op 25 mei 2018 - en dat is sneller dan je denkt - treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het...

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
+3188 – 2034000