fbpx

De BIO: een compliancy-kans voor IT

Wim Hoving

Architect ISM-methode

Met een compacte oplossing eenvoudig voldoen aan de compliancy en security-eisen die vanuit de BIO aan de IT worden gesteld

Het security en compliancy-niveau van de IT wordt veroorzaakt door de werkwijze van de IT-organisatie. Het voldoen aan de BIO kan dan ook alleen effectief en efficiënt gerealiseerd worden door compliancy te integreren in de IT-werkwijze.

De nadruk op security is, mede door het toenemend aantal ernstige incidenten, sterk vergroot waardoor het management en de gemeentelijk bestuurder wettelijk scherpere vastgestelde verplichtingen hebben. Al deze veranderingen bieden echter ook kansen. Zo vergroot de BIO harmonisatie-kansen tussen overheden onderling en derden. Met ISM, een compacte van ITIL afgeleide gestandaardiseerde methode, wordt de informatieveiligheid voor de IT-afdeling geïntegreerd in de service levels en werkwijze en is daarom de geschikte methode om in jouw overheidsorganisatie de compliancy efficiënt op orde te brengen.

 


 

De BIO: wat is het en wat verandert er?

Waar eerder gemeenten (de BIG), waterschappen (BIWA), het Rijk (de BIR) en provincies (IBI) ieder een eigen Baseline Informatieveiligheid hadden is er sinds 2020 één gezamenlijk basis-normenkader voor alle overheden voor informatiebeveiliging: de BIO. BIO staat voor Baseline Informatieveiligheid Overheid en impliceert een flink aantal veranderingen, uitdagingen en kansen voor z’n stakeholders. Zo hoeft in de BIO nog maar 60% van de oorspronkelijke maatregelen geïmplementeerd te worden ten opzichte van de BIG.

De BIO is de Nederlandse afgeleide van de ISO27001 en ISO27002. De ISO27001/2 is een algemene internationale norm voor informatiebeveiliging, de BIO stamt daar dus van af en geldt voor alle Nederlandse overheden. De BIO vervangt de ISO27001/2 echter niet! De BIO voorziet in specifieke overheidsmaatregelen en beschrijft tot in detail de implementatie en eisen voor procesinrichting.

De grootste verandering die de BIO met zich meebrengt ten opzichte van haar voorganger is dat risicomanagement in belang is toegenomen. De vraag die daar centraal bij staat is:

wordt informatie niet te zwaar of te licht beveiligd?

Informatiebeveiliging is een belangrijk kwaliteitsaspect van de informatievoorziening van de overheid en het beveiligen daarvan is geen eenmalige zaak, maar een doorlopend proces. Dit doorlopende proces is onder de verantwoordelijkheid van het lijn- en procesmanagement komen te liggen.

De eerste stap van het risicomanagement is het doen van de Baseline Toets BIO. Deze toets kan op verschillende manieren afgelegd worden en heeft als doel om inzichtelijk te maken dat een (nog op te zetten) proces, informatie en/of informatiesysteem de juiste beveiliging heeft. Dit spreekt voor zich uiteraard. Een nulmeting is een logisch vertrekpunt voordat de normen en eisen uit de BIO omgezet dienen te worden in actiepunten.

Een andere grote verandering is dat de BIO duidelijk eindverantwoordelijken aanwijst. Met betrekking tot de gehele compliancy, oftewel voldoen aan de wettelijke vereisten van de BIO, is de gemeentesecretaris eindverantwoordelijke. Echter, het lijn- en procesmanagement dient aantoonbaar te maken dat getroffen veiligheidsmaatregelen voldoen aan de informatieveiligheidseisen.

Daarbij is er sprake van proportionaliteit. Daarmee wordt bedoelt dat per risico-categorie andere vereisten nodig zijn. Bij de lichtste categorie hoeft de proces-eigenaar slechts op verzoek de CISO te informeren over informatieveiligheid. Op het zwaarste niveau dient toestemming van de gemeentesecretaris verleend te worden bij het verwerken van bijzondere informatie en/of is mandatering mogelijk naar de CISO of CIO.

Kansen tot harmonisatie met ISM: een gestandaardiseerde ITIL-methode

De BIO geeft het management grote verantwoordelijkheid ten aanzien van informatiebeveiliging en maakt duidelijk aan welke eisen het ingewikkelde risicomanagement moet voldoen. Als handreiking biedt de BIO handvaten aan. Zo definieert de BIO op basis van algemene schades en/of dreigingen voor de overheid drie standaard veiligheidsniveaus, inclusief bijbehorende beveiligingseisen die moeten worden ingevuld. Dus, de BIO stelt aan alle overheidsinstanties dezelfde duidelijk beschreven veiligheidseisen en maakt dezelfde functies verantwoordelijk.

In de BIO staat per veiligheidsniveau/categorie beschreven aan welke ‘controls’ uit de ISO 27002 moet worden voldaan. De ISM compliancy tool vertaalt die controls in concrete actiepunten voor de basisprocessen die in iedere IT-organisatie aanwezig zijn. Deze actiepunten worden integraal onderdeel van de werkwijze van de IT-organisatie. Het voldoen aan deze actiepunten wordt daarmee onderdeel van de Service Level Agreements (SLA’s).

Ook koppelt de ISM compliancy tool de controls toe aan rollen, waardoor niet alleen het ‘wat’ is verduidelijkt, maar ook het ‘wie’. Aangezien voor alle gemeenten dus dezelfde beveiligingseisen gelden (als onderdeel van de IT-dienstverlening), die onder dezelfde verantwoordelijke functies vallen leent de implementatie van de BIO zich ook voor eenzelfde uniforme en integrale aanpak: de ISM-methode.

Vraag: ITIL is een reeks van best practices en ontwikkeld als referentiekader voor het inrichten van beheerprocessen binnen de ICT-afdeling. Maar hoe kies je de best practices voor de processen omtrent informatieveiligheid?   

Elke gemeente moet compliant zijn aan de BIO, wat is dan de best practice voor de IT-afdeling? ITIL is een referentiemodel met 34 practices, de Integrated Service Management-methode (ISM-methode) is het praktische toepassingsmodel dat ITIL terugbrengt tot de kern, namelijk: een gestandaardiseerde managementmethode die jouw IT-dienstverlening en IT-servicemanagement (en dus informatiebeveiliging) optimaal organiseert. ISM is een ITIL-toepassing die dus goed aansluit op de standaardisatie en harmonisatie die de BIO voorschrijft. Met andere woorden: probeer zelf niet het wiel uit te vinden als dat al lang voor je is gedaan.

De ISM-methode is bijzonder geschikt voor overheden die haar IT-organisatie op orde wil hebben en wellicht moeite hebben met compliancy- en veiligheidseisen. De ISM-methode zorgt immers voor een optimaal IT-servicemanagement. Security is daarvan een belangrijk onderdeel. Het is dus een methode om de servicekwaliteit van de IT-organisatie te verhogen. Dat bereik je door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISM compliancy tool is een web-based compliancy tool die eenvoudig alle normeisen van de BIO en ISO27001/2 vertaalt in concrete acties om deze vervolgens te koppelen aan de ISM werkwijzen. Dit scheelt veel tijdrovend en complex uitzoekwerk en geeft je de best practice handvaten m.b.t. informatieveiligheid.

Ook heeft ISM een gratis BIO checklist ontwikkelt. Zodoende kun je gemakkelijk inzichtelijk maken of jouw IT-organisatie voldoet aan de compliancy-eisen van de BIO. Vraag de BIO checklist direct gratis aan.

 

 

 

 


Benieuwd naar een integraal IT service management systeem? Download dan de gratis whitepaper!

Wil je je IT-beheer verder professionaliseren? Met het gratis ISM-procesmodel kun je de ISM-methode direct, eenvoudig en snel invoeren, toepassen en te begrijpen: 70 pagina’s direct toepasbaar! Download de whitepaper hieronder:

service management systeem ism methode servitect
Download

 

 

10 ITSM trends en tips voor 2024

Graag presenteer ik hierbij mijn IT Service Management trends en tips voor 2024! In 2023 zagen we veel IT-organisaties worstelen met de kwaliteit van hun dienstverlening. Onder grote druk hebben ze...
NEN7510 - informatiebeveiliging in de zorg ism methode

NEN7510, de kans voor betere patiëntenzorg én IT-diensten!

Informatiebeveiliging in de zorg wordt vaak gezien als een last. Terwijl werken met NEN 7510 juist de kwaliteit van je patiëntenzorg kan verbeteren!

Serious games voor IT-professionals

Transformeer Theorie naar Praktijk: De Sleutel tot Succes in IT-management In een wereld waar de dynamiek van IT-organisaties continu verandert, is het van cruciaal belang dat medewerkers niet...
ict en agile werken in de zorg

De ICT in de zorg kan niet zonder agile mindset

Digitaal innoveren is noodzakelijk om de kwaliteit van de ICT in de zorg te verbeteren en daarmee de zorg goed en betaalbaar te houden. De zorgvraag neemt in hoog tempo toe, met een groeiend tekort...
gedragsverandering service management

De verandertrechter: agile naar onbewust bekwaam

De essentie van service management is niet de werkwijze, maar het gedrag van mensen. Gedrag dat leidt tot Customer Value, oftewel klantwaarde. De operationele werkwijze is namelijk altijd het gevolg...

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
+3188 – 2034000