De BIO: een compliancy-kans voor IT

Foto van Wim Hoving

Wim Hoving

Architect ISM-methode

Met een compacte oplossing eenvoudig voldoen aan de compliancy en security-eisen die vanuit de BIO aan de IT worden gesteld

Het security en compliancy-niveau van de IT wordt veroorzaakt door de werkwijze van de IT-organisatie. Het voldoen aan de BIO kan dan ook alleen effectief en efficiënt gerealiseerd worden door compliancy te integreren in de IT-werkwijze.

De nadruk op security is, mede door het toenemend aantal ernstige incidenten, sterk vergroot waardoor het management en de gemeentelijk bestuurder wettelijk scherpere vastgestelde verplichtingen hebben. Al deze veranderingen bieden echter ook kansen. Zo vergroot de BIO harmonisatie-kansen tussen overheden onderling en derden. Met ISM, een compacte van ITIL afgeleide gestandaardiseerde methode, wordt de informatieveiligheid voor de IT-afdeling geïntegreerd in de service levels en werkwijze en is daarom de geschikte methode om in jouw overheidsorganisatie de compliancy efficiënt op orde te brengen.

 


 

De BIO: wat is het en wat verandert er?

Waar eerder gemeenten (de BIG), waterschappen (BIWA), het Rijk (de BIR) en provincies (IBI) ieder een eigen Baseline Informatieveiligheid hadden is er sinds 2020 één gezamenlijk basis-normenkader voor alle overheden voor informatiebeveiliging: de BIO. BIO staat voor Baseline Informatieveiligheid Overheid en impliceert een flink aantal veranderingen, uitdagingen en kansen voor z’n stakeholders. Zo hoeft in de BIO nog maar 60% van de oorspronkelijke maatregelen geïmplementeerd te worden ten opzichte van de BIG.

De BIO is de Nederlandse afgeleide van de ISO27001 en ISO27002. De ISO27001/2 is een algemene internationale norm voor informatiebeveiliging, de BIO stamt daar dus van af en geldt voor alle Nederlandse overheden. De BIO vervangt de ISO27001/2 echter niet! De BIO voorziet in specifieke overheidsmaatregelen en beschrijft tot in detail de implementatie en eisen voor procesinrichting.

De grootste verandering die de BIO met zich meebrengt ten opzichte van haar voorganger is dat risicomanagement in belang is toegenomen. De vraag die daar centraal bij staat is:

wordt informatie niet te zwaar of te licht beveiligd?

Informatiebeveiliging is een belangrijk kwaliteitsaspect van de informatievoorziening van de overheid en het beveiligen daarvan is geen eenmalige zaak, maar een doorlopend proces. Dit doorlopende proces is onder de verantwoordelijkheid van het lijn- en procesmanagement komen te liggen.

De eerste stap van het risicomanagement is het doen van de Baseline Toets BIO. Deze toets kan op verschillende manieren afgelegd worden en heeft als doel om inzichtelijk te maken dat een (nog op te zetten) proces, informatie en/of informatiesysteem de juiste beveiliging heeft. Dit spreekt voor zich uiteraard. Een nulmeting is een logisch vertrekpunt voordat de normen en eisen uit de BIO omgezet dienen te worden in actiepunten.

Een andere grote verandering is dat de BIO duidelijk eindverantwoordelijken aanwijst. Met betrekking tot de gehele compliancy, oftewel voldoen aan de wettelijke vereisten van de BIO, is de gemeentesecretaris eindverantwoordelijke. Echter, het lijn- en procesmanagement dient aantoonbaar te maken dat getroffen veiligheidsmaatregelen voldoen aan de informatieveiligheidseisen.

Daarbij is er sprake van proportionaliteit. Daarmee wordt bedoelt dat per risico-categorie andere vereisten nodig zijn. Bij de lichtste categorie hoeft de proces-eigenaar slechts op verzoek de CISO te informeren over informatieveiligheid. Op het zwaarste niveau dient toestemming van de gemeentesecretaris verleend te worden bij het verwerken van bijzondere informatie en/of is mandatering mogelijk naar de CISO of CIO.

Kansen tot harmonisatie met ISM: een gestandaardiseerde ITIL-methode

De BIO geeft het management grote verantwoordelijkheid ten aanzien van informatiebeveiliging en maakt duidelijk aan welke eisen het ingewikkelde risicomanagement moet voldoen. Als handreiking biedt de BIO handvaten aan. Zo definieert de BIO op basis van algemene schades en/of dreigingen voor de overheid drie standaard veiligheidsniveaus, inclusief bijbehorende beveiligingseisen die moeten worden ingevuld. Dus, de BIO stelt aan alle overheidsinstanties dezelfde duidelijk beschreven veiligheidseisen en maakt dezelfde functies verantwoordelijk.

In de BIO staat per veiligheidsniveau/categorie beschreven aan welke ‘controls’ uit de ISO 27002 moet worden voldaan. De ISM compliancy tool vertaalt die controls in concrete actiepunten voor de basisprocessen die in iedere IT-organisatie aanwezig zijn. Deze actiepunten worden integraal onderdeel van de werkwijze van de IT-organisatie. Het voldoen aan deze actiepunten wordt daarmee onderdeel van de Service Level Agreements (SLA’s).

Ook koppelt de ISM compliancy tool de controls toe aan rollen, waardoor niet alleen het ‘wat’ is verduidelijkt, maar ook het ‘wie’. Aangezien voor alle gemeenten dus dezelfde beveiligingseisen gelden (als onderdeel van de IT-dienstverlening), die onder dezelfde verantwoordelijke functies vallen leent de implementatie van de BIO zich ook voor eenzelfde uniforme en integrale aanpak: de ISM-methode.

Vraag: ITIL is een reeks van best practices en ontwikkeld als referentiekader voor het inrichten van beheerprocessen binnen de ICT-afdeling. Maar hoe kies je de best practices voor de processen omtrent informatieveiligheid?   

Elke gemeente moet compliant zijn aan de BIO, wat is dan de best practice voor de IT-afdeling? ITIL is een referentiemodel met 34 practices, de Integrated Service Management-methode (ISM-methode) is het praktische toepassingsmodel dat ITIL terugbrengt tot de kern, namelijk: een gestandaardiseerde managementmethode die jouw IT-dienstverlening en IT-servicemanagement (en dus informatiebeveiliging) optimaal organiseert. ISM is een ITIL-toepassing die dus goed aansluit op de standaardisatie en harmonisatie die de BIO voorschrijft. Met andere woorden: probeer zelf niet het wiel uit te vinden als dat al lang voor je is gedaan.

De ISM-methode is bijzonder geschikt voor overheden die haar IT-organisatie op orde wil hebben en wellicht moeite hebben met compliancy- en veiligheidseisen. De ISM-methode zorgt immers voor een optimaal IT-servicemanagement. Security is daarvan een belangrijk onderdeel. Het is dus een methode om de servicekwaliteit van de IT-organisatie te verhogen. Dat bereik je door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISM compliancy tool is een web-based compliancy tool die eenvoudig alle normeisen van de BIO en ISO27001/2 vertaalt in concrete acties om deze vervolgens te koppelen aan de ISM werkwijzen. Dit scheelt veel tijdrovend en complex uitzoekwerk en geeft je de best practice handvaten m.b.t. informatieveiligheid.

Ook heeft ISM een gratis BIO checklist ontwikkelt. Zodoende kun je gemakkelijk inzichtelijk maken of jouw IT-organisatie voldoet aan de compliancy-eisen van de BIO. Vraag de BIO checklist direct gratis aan.

 

 

Maak Kennis met ISM: De Eenvoudige Manier om ITIL te Implementeren

Alle IT-ers kennen ITIL, maar weinigen beheersen het ook. ITIL is namelijk niet alleen een mooie handreiking, maar ook omvangrijk, complex en niet concreet. En zo is het ook bedoeld, men zegt ook zelf “adapt and apply”. Invoeringen vinden vaak onder leiding van specialisten plaats, maar worden daarna door het eigen management toegepast. En dan blijkt het in de praktijk heel moeizaam te gaan. Vaak krijgen dan de medewerkers of de tools de schuld, maar daar ligt zelden de oorzaak.

Download het ISM-procesmodel en ontdek hoe het ook kan.