fbpx

De BIO: een compliancy-kans voor IT

Wim Hoving

Architect ISM-Methode

Met een compacte ITIL-toepassing kan de IT in de overheid eenvoudig aan de compliancy en security-eisen voldoen die vanuit de BIO worden gesteld

Waar eerder gemeenten (de BIG), waterschappen (BIWA), het Rijk (de BIR) en provincies (IBI) ieder een eigen Baseline Informatieveiligheid hadden is er sinds 2020 één gezamenlijk basis-normenkader voor alle overheden voor informatiebeveiliging: de BIO. BIO staat voor Baseline Informatieveiligheid Overheid en impliceert een flink aantal veranderingen, uitdagingen en kansen voor z’n stakeholders. Zo hoeft in de BIO nog maar 60% van de oorspronkelijke maatregelen geïmplementeerd te worden ten opzichte van de BIG.

Echter, de nadruk op risicomanagement is vergroot waardoor het lijnmanagement en de gemeentelijk bestuurder wettelijk scherpere vastgestelde verplichtingen hebben. Al deze veranderingen bieden echter ook kansen. Zo vergroot de BIO harmonisatie-kansen tussen overheden onderling en derden. ISM, een gestandaardiseerde ITIL methode, integreert informatieveiligheid voor de IT-afdeling in haar aanpak en is daarom de geschikte methode om jouw overheidsinstantie z’n compliancy efficiënt op orde te laten brengen.

 


 

De BIO: wat is het en wat verandert er?

De BIO is de Nederlandse afgeleide van de ISO27001 en ISO27002. De ISO27001/2 is een algemene internationale norm voor informatiebeveiliging, de BIO stamt daar dus van af en geldt voor alle Nederlandse overheden. De BIO vervangt de ISO27001/2 echter niet! De BIO voorziet in specifieke overheidsmaatregelen en beschrijft tot in detail de implementatie en eisen voor procesinrichting.

De grootste verandering die de BIO met zich meebrengt ten opzichte van haar voorganger is dat risicomanagement in belang is toegenomen. De vraag die daar centraal bij staat is:

wordt informatie niet te zwaar of te licht beveiligd?

Informatiebeveiliging is een belangrijk kwaliteitsaspect van de informatievoorziening van de overheid en het beveiligen daarvan is geen eenmalige zaak, maar een doorlopend proces. Dit doorlopende proces is onder de verantwoordelijkheid van het lijn- en procesmanagement komen te liggen.

De eerste stap van het risicomanagement is het doen van de Baseline Toets BIO. Deze toets kan op verschillende manieren afgelegd worden en heeft als doel om inzichtelijk te maken dat een (nog op te zetten) proces, informatie en/of informatiesysteem de juiste beveiliging heeft. Dit spreekt voor zich uiteraard. Een nulmeting is een logisch vertrekpunt voordat de normen en eisen uit de BIO omgezet dienen te worden in actiepunten.

Een andere grote verandering is dat er duidelijk eindverantwoordelijken worden aangewezen door de BIO. Met betrekking tot de gehele compliancy, oftewel voldoen aan de wettelijke vereisten van de BIO, is de gemeentesecretaris eindverantwoordelijke. Echter, het lijn- en procesmanagement dient aantoonbaar te maken dat getroffen veiligheidsmaatregelen voldoen aan de informatieveiligheidseisen.

Daarbij is er sprake van proportionaliteit. Daarmee wordt bedoelt dat per risico-categorie andere vereisten nodig zijn. Bij de lichtste categorie hoeft de proces-eigenaar slechts op verzoek de CISO te informeren over informatieveiligheid. Op het zwaarste niveau dient toestemming van de gemeentesecretaris verleend te worden bij het verwerken van bijzondere informatie en/of is mandatering mogelijk naar de CISO of CIO.

Kansen tot harmonisatie met ISM: een gestandaardiseerde ITIL methode

De BIO geeft het lijnmanagement grote verantwoordelijkheid ten aanzien van informatiebeveiliging en maakt duidelijk aan welke eisen het ingewikkelde proces van risicomanagement moet voldoen. Als handreiking biedt de BIO handvaten aan. Zo definieert de BIO op basis van algemene schades en/of dreigingen voor de overheid drie standaard veiligheidsniveaus, inclusief bijbehorende beveiligingseisen die moeten worden ingevuld. Dus, de BIO stelt aan alle overheidsinstanties dezelfde duidelijk beschreven veiligheidseisen en maakt dezelfde functies verantwoordelijk.

In de BIO staat dus per veiligheidsniveau/categorie beschreven aan welke ‘controls’ uit de ISO 27002 moet worden voldaan. ISM vertaalt die controls in concrete actiepunten voor jouw organisatie/team. Deze actiepunten worden integraal onderdeel gemaakt van je IT dienstverlening. De actiepunten van de ISM-methode zou je dus ook kunnen lezen als Service Level Agreements (SLA’s).

Ook bedeelt de ISM-methode de controls toe aan rollen, waardoor niet alleen het ‘wat’ is verduidelijkt, maar ook het ‘wie’. Aangezien voor alle gemeenten dus dezelfde beveiligingseisen gelden (als onderdeel van de IT-dienstverlening), die onder dezelfde verantwoordelijke functies vallen leent de implementatie van de BIO zich ook voor eenzelfde uniforme en integrale aanpak: de ISM-methode.

Vraag: ITIL is een reeks van best practices en ontwikkeld als referentiekader voor het inrichten van beheerprocessen binnen de ICT-afdeling. Maar hoe kies je de best practices voor de processen omtrent informatieveiligheid?   

Als het te adviseren is dat elke gemeente dezelfde aanpak hanteert zodoende compliant te zijn aan de BIO, wat is dan de best practice voor de IT-afdeling? ITIL is een reeks van best practices, de Integrated Service Management-methode (ISM-methode) is het praktische toepassingsmodel wat ITIL terugbrengt tot de kern, namelijk: een gestandaardiseerde managementmethode die jouw IT-dienstverlening en IT-servicemanagement (en dus informatiebeveiliging) optimaal organiseert. ISM is een ITIL-toepassing die dus goed aansluit op de standaardisatie en harmonisatie die de BIO voorschrijft. Met andere woorden: probeer zelf niet het wiel uit te vinden als dat al lang is gedaan voor je.

De ISM-methode is bijzonder geschikt voor overheden die haar IT-organisatie op orde wil hebben en wellicht moeite hebben met compliancy- en veiligheidseisen. De ISM-methode zorgt immers voor een optimaal IT-servicemanagement. Security is daarvan een belangrijk onderdeel. Het is dus een methode om de service van de IT-afdeling te verhogen. Dat bereik je door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISM-compliancy-tool is een web-based compliancy-tool die eenvoudig alle normeisen van de BIO en ISO27001/2 vertaalt in concrete acties om deze vervolgens te koppelen aan de ISM werkwijzen. Dit scheelt veel tijdrovend en complex uitzoekwerk en geeft je de best practice handvaten m.b.t. informatieveiligheid.

Ook heeft ISM een gratis BIO checklist ontwikkelt. Zodoende kun je gemakkelijk inzichtelijk maken of jouw IT-organisatie voldoet aan de compliancy-eisen van de BIO. Vraag de BIO checklist direct gratis aan.

 

 

 

 


Benieuwd naar een integraal IT service management systeem? Download dan de gratis whitepaper!

Wil je je IT-beheer verder professionaliseren? Met het gratis ISM-procesmodel kun je de ISM-methode direct, eenvoudig en snel invoeren, toepassen en te begrijpen: 70 pagina’s direct toepasbaar! Download de whitepaper hieronder:

service management systeem ism methode servitect
Download

 

 

Wil je op de hoogte blijven van ISM?

Meld je aan:

service management systeem uitdagingen ism portal servitect

6 uitdagingen en oplossingen voor de IT-manager

Wat zijn de belangrijkste uitdagingen voor de moderne IT-manager en welke oplossingen zijn er? Een goed service management systeem is alvast onmisbaar.

ism training en games ism methode servitect

ISM training en games: zes manieren om je kennis te vergroten

Snel je kennis van ISM vergroten? We bieden diverse opleidingsmogelijkheden, van ISM training op foundation-niveau tot masterclasses en gaming.

Eenvoudig slagen voor de NEN7510, BIO en ISO 27001 audits.

Compliancy is binnen overheden en de zorgsector niet altijd een vanzelfsprekendheid. De correcte implementatie van de NEN 7510, BIO of ISO 27001 vergt vaak veel van een IT-afdeling.

ICT en AVG

IT en AVG: mooie kansen, maar wacht niet te lang!

Op 25 mei 2018 - en dat is sneller dan je denkt - treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het...
NEN7510 - informatiebeveiliging in de zorg ism methode

NEN7510, de kans voor betere patiëntenzorg én IT-diensten!

Informatiebeveiliging in de zorg wordt vaak gezien als een last. Terwijl werken met NEN 7510 juist de kwaliteit van je patiëntenzorg kan verbeteren!

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina’s direct toepasbaar

Blijf op de hoogte van ISM



Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
088 - 2034000

ISM Foundation training

Prettig en efficiënt samenwerken, zonder misverstanden en onnodige vertraging. Na de training heb je inzicht in jouw werkzaamheden en de basisprocessen van ITIL. Je ontvangt praktische tips en tricks om deze processen optimaal toe te passen in jouw werkzaamheden.

Download direct de opleidingsbrochure.

}});