fbpx

De BIO: een compliancy-kans voor IT

Wim Hoving

Architect ISM-Methode

Met een compacte oplossing eenvoudig voldoen aan de compliancy en security-eisen die vanuit de BIO aan de IT worden gesteld

Het security en compliancy-niveau van de IT wordt veroorzaakt door de werkwijze van de IT-organisatie. Het voldoen aan de BIO kan dan ook alleen effectief en efficiënt gerealiseerd worden door compliancy te integreren in de IT-werkwijze.

De nadruk op security is, mede door het toenemend aantal ernstige incidenten, sterk vergroot waardoor het management en de gemeentelijk bestuurder wettelijk scherpere vastgestelde verplichtingen hebben. Al deze veranderingen bieden echter ook kansen. Zo vergroot de BIO harmonisatie-kansen tussen overheden onderling en derden. Met ISM, een compacte van ITIL afgeleide gestandaardiseerde methode, wordt de informatieveiligheid voor de IT-afdeling geïntegreerd in de service levels en werkwijze en is daarom de geschikte methode om in jouw overheidsorganisatie de compliancy efficiënt op orde te brengen.

 


 

De BIO: wat is het en wat verandert er?

Waar eerder gemeenten (de BIG), waterschappen (BIWA), het Rijk (de BIR) en provincies (IBI) ieder een eigen Baseline Informatieveiligheid hadden is er sinds 2020 één gezamenlijk basis-normenkader voor alle overheden voor informatiebeveiliging: de BIO. BIO staat voor Baseline Informatieveiligheid Overheid en impliceert een flink aantal veranderingen, uitdagingen en kansen voor z’n stakeholders. Zo hoeft in de BIO nog maar 60% van de oorspronkelijke maatregelen geïmplementeerd te worden ten opzichte van de BIG.

De BIO is de Nederlandse afgeleide van de ISO27001 en ISO27002. De ISO27001/2 is een algemene internationale norm voor informatiebeveiliging, de BIO stamt daar dus van af en geldt voor alle Nederlandse overheden. De BIO vervangt de ISO27001/2 echter niet! De BIO voorziet in specifieke overheidsmaatregelen en beschrijft tot in detail de implementatie en eisen voor procesinrichting.

De grootste verandering die de BIO met zich meebrengt ten opzichte van haar voorganger is dat risicomanagement in belang is toegenomen. De vraag die daar centraal bij staat is:

wordt informatie niet te zwaar of te licht beveiligd?

Informatiebeveiliging is een belangrijk kwaliteitsaspect van de informatievoorziening van de overheid en het beveiligen daarvan is geen eenmalige zaak, maar een doorlopend proces. Dit doorlopende proces is onder de verantwoordelijkheid van het lijn- en procesmanagement komen te liggen.

De eerste stap van het risicomanagement is het doen van de Baseline Toets BIO. Deze toets kan op verschillende manieren afgelegd worden en heeft als doel om inzichtelijk te maken dat een (nog op te zetten) proces, informatie en/of informatiesysteem de juiste beveiliging heeft. Dit spreekt voor zich uiteraard. Een nulmeting is een logisch vertrekpunt voordat de normen en eisen uit de BIO omgezet dienen te worden in actiepunten.

Een andere grote verandering is dat de BIO duidelijk eindverantwoordelijken aanwijst. Met betrekking tot de gehele compliancy, oftewel voldoen aan de wettelijke vereisten van de BIO, is de gemeentesecretaris eindverantwoordelijke. Echter, het lijn- en procesmanagement dient aantoonbaar te maken dat getroffen veiligheidsmaatregelen voldoen aan de informatieveiligheidseisen.

Daarbij is er sprake van proportionaliteit. Daarmee wordt bedoelt dat per risico-categorie andere vereisten nodig zijn. Bij de lichtste categorie hoeft de proces-eigenaar slechts op verzoek de CISO te informeren over informatieveiligheid. Op het zwaarste niveau dient toestemming van de gemeentesecretaris verleend te worden bij het verwerken van bijzondere informatie en/of is mandatering mogelijk naar de CISO of CIO.

Kansen tot harmonisatie met ISM: een gestandaardiseerde ITIL-methode

De BIO geeft het management grote verantwoordelijkheid ten aanzien van informatiebeveiliging en maakt duidelijk aan welke eisen het ingewikkelde risicomanagement moet voldoen. Als handreiking biedt de BIO handvaten aan. Zo definieert de BIO op basis van algemene schades en/of dreigingen voor de overheid drie standaard veiligheidsniveaus, inclusief bijbehorende beveiligingseisen die moeten worden ingevuld. Dus, de BIO stelt aan alle overheidsinstanties dezelfde duidelijk beschreven veiligheidseisen en maakt dezelfde functies verantwoordelijk.

In de BIO staat per veiligheidsniveau/categorie beschreven aan welke ‘controls’ uit de ISO 27002 moet worden voldaan. De ISM compliancy tool vertaalt die controls in concrete actiepunten voor de basisprocessen die in iedere IT-organisatie aanwezig zijn. Deze actiepunten worden integraal onderdeel van de werkwijze van de IT-organisatie. Het voldoen aan deze actiepunten wordt daarmee onderdeel van de Service Level Agreements (SLA’s).

Ook koppelt de ISM compliancy tool de controls toe aan rollen, waardoor niet alleen het ‘wat’ is verduidelijkt, maar ook het ‘wie’. Aangezien voor alle gemeenten dus dezelfde beveiligingseisen gelden (als onderdeel van de IT-dienstverlening), die onder dezelfde verantwoordelijke functies vallen leent de implementatie van de BIO zich ook voor eenzelfde uniforme en integrale aanpak: de ISM-methode.

Vraag: ITIL is een reeks van best practices en ontwikkeld als referentiekader voor het inrichten van beheerprocessen binnen de ICT-afdeling. Maar hoe kies je de best practices voor de processen omtrent informatieveiligheid?   

Elke gemeente moet compliant zijn aan de BIO, wat is dan de best practice voor de IT-afdeling? ITIL is een referentiemodel met 34 practices, de Integrated Service Management-methode (ISM-methode) is het praktische toepassingsmodel dat ITIL terugbrengt tot de kern, namelijk: een gestandaardiseerde managementmethode die jouw IT-dienstverlening en IT-servicemanagement (en dus informatiebeveiliging) optimaal organiseert. ISM is een ITIL-toepassing die dus goed aansluit op de standaardisatie en harmonisatie die de BIO voorschrijft. Met andere woorden: probeer zelf niet het wiel uit te vinden als dat al lang voor je is gedaan.

De ISM-methode is bijzonder geschikt voor overheden die haar IT-organisatie op orde wil hebben en wellicht moeite hebben met compliancy- en veiligheidseisen. De ISM-methode zorgt immers voor een optimaal IT-servicemanagement. Security is daarvan een belangrijk onderdeel. Het is dus een methode om de servicekwaliteit van de IT-organisatie te verhogen. Dat bereik je door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISM compliancy tool is een web-based compliancy tool die eenvoudig alle normeisen van de BIO en ISO27001/2 vertaalt in concrete acties om deze vervolgens te koppelen aan de ISM werkwijzen. Dit scheelt veel tijdrovend en complex uitzoekwerk en geeft je de best practice handvaten m.b.t. informatieveiligheid.

Ook heeft ISM een gratis BIO checklist ontwikkelt. Zodoende kun je gemakkelijk inzichtelijk maken of jouw IT-organisatie voldoet aan de compliancy-eisen van de BIO. Vraag de BIO checklist direct gratis aan.

 

 

 

 


Benieuwd naar een integraal IT service management systeem? Download dan de gratis whitepaper!

Wil je je IT-beheer verder professionaliseren? Met het gratis ISM-procesmodel kun je de ISM-methode direct, eenvoudig en snel invoeren, toepassen en te begrijpen: 70 pagina’s direct toepasbaar! Download de whitepaper hieronder:

service management systeem ism methode servitect
Download

 

 

Wil je op de hoogte blijven van ISM?

Meld je aan:

it-team samenwerking ism methode

Verbeter de prestaties van je IT-team met een uniforme werkwijze

Goede IT-dienstverlening valt of staat met een uniforme samenwerking binnen je IT-team. In deze blog gaan we in op de 7 randvoorwaarden voor succes.

Pas modern ITSM toe en krijg regie over jouw IT-organisatie

Modern IT service management (ITSM) geeft je weer de regie over jouw organisatie en dienstverlening. Goed toegepaste ITSM helpt namelijk dergelijke situaties te voorkomen of sneller op te anticiperen. Door regie over jouw organisatie te hebben en modern ITSM toe te passen ben je namelijk veel schokbestendiger. De ISM-methode heeft een aantal concrete toepassingen waardoor jij als IT-manager weer leider wordt met regie over zijn organisatie. Tevens zorgt de ISM-methode er voor dat jouw team modern ITSM hanteert, zodat jouw team alle moderne uitdagingen het hoofd kan bieden. In dit blog lees je een aantal praktische en toepasbare ISM-tips die je alvast op weg kunnen helpen.  

itil service management ism methode

Hoe vermijd je de grootste valkuilen van ITIL service management?

Met 34 best practices is ITIL allang niet meer lean te noemen. Dus hoe vermijd je de grootste valkuilen van ITIL service management? Lees het hier!

managen of leidinggeven op de werkvloer

Managen of leidinggeven, meeting of ontmoeting

De klacht van veel medewerkers is dat het management niet weet waarover ze praat. Dit is helaas vaak terecht. Vaak omdat ze niet leidinggeven op de werkvloer en het managen beperken tot het nemen...
thuiswerken in de IT ism methode

Thuiswerken en de impact op leiderschap in de IT – 9 tips

Nederland is massaal gaan thuiswerken. Dat geldt ook voor IT-ers. Thuiswerken in de IT heeft grote impact en vraagt om andere samenwerking en leiderschap!

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina’s direct toepasbaar

Blijf op de hoogte van ISM



Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
088 - 2034000

}});