BIO: een grote stap voorwaarts in informatieveiligheid

Door: Kristiaan Benes, senior adviseur informatiemanagement

Publicatiedatum: 11 september 2019 09:48
Sinds 2011 (‘De hack bij DigiNotar’) is informatieveiligheid en privacy steeds belangrijker geworden in onze samenleving. Wetgeving zoals de AVG raakt ons allemaal en we hebben hier dagelijks direct of indirect mee te maken. Om up to date te blijven worden telkens regelingen en wetten vernieuwd en verbeterd. Zo moeten op dit moment alle (overheids)organisaties over van de Baseline Informatiebeveiliging Gemeenten (BIG) naar de Baseline Informatiebeveiliging Overheid (BIO).

Van BIG naar BIO

Wat is er nu precies gaande? En waar moet nog het één en ander gebeuren? De BIG en de BIO zijn beide baselines. Een baseline is een totaalpakket aan informatiebeveiligingscontroles en -maatregelen die voor iedere gemeente noodzakelijk is om te implementeren. Door het vaststellen van maatregelen en controles krijgt een organisatie grip op informatieveiligheid. Toch is er een fors verschil tussen de BIG en de BIO. De BIG is een set die is vastgesteld vanuit de gemeenten. Zo hebben provincies, waterschappen en ministeries hebben allemaal hun eigen baseline. De BIO staat voor Baseline Informatieveiligheid Overheid en is een gestandaardiseerde set voor álle overheidsorganisaties. 

Meer dan alleen een naamswijziging

Toch is de verandering veel groter dan de samenvoeging van de verschillende baselines en naamswijziging alleen. De BIO is veel meer gebaseerd op risicomanagement en heeft de verantwoordelijkheid verschoven. In de BIG wordt vaak de CISO eindverantwoordelijk gehouden voor informatieveiligheid. Bij de BIO is het management expliciet verantwoordelijk geworden voor informatieveiligheid. Een simpel voorbeeld: onder de BIO is bij een verandering van werkwijze de inhoudelijke manager verantwoordelijk voor het goed regelen van de informatieveiligheid. Als dit niet gebeurt en ontstaat een datalek dan is de manager daar ook zelf verantwoordelijk voor. De verwachting is dan ook dat informatieveiligheid al veel meer in de basis wordt meegenomen en actueel blijft door risicomanagement.

Geen tijd te verliezen

Alle overheidsorganisaties moeten op 1 januari 2020 aan de BIO voldoen. De controle hierop vindt overigens pas in mei 2021 plaats. Omdat dan de ENSIA audit van 2020 op basis de nieuwe BIO moet worden ingeleverd. In mei 2020 moet de ENSIA audit nog worden getoetst op basis van de BIG omdat die in 2019 verplicht was. Dit zorgt voor verwarring en er zijn gemeenten die dit gegeven onterecht aangrijpen als reden tot uitstel. Maar het is toch écht zo dat elke (overheids)organisatie dit jaar nog klaar moet zijn om volgens de BIO te gaan werken…









Kristiaan Benes



Contact

Telefoon: 088-8883000

E-mail: info@thorbecke.nl




Volg ons via




Terug naar

Missie van Thorbecke

Door daadkracht én in samenwerking

publieke organisaties verder brengen



Thorbecke Nieuwsbrief


Contact

088-8883000
info@thorbecke.nl