Yellowtail Conclusion is onderdeel van het Conclusion ecosysteem

BIO 2.0: van toegevoegde waarde of flauwekul?

Vanwege het verschijnen van een nieuwe ISO27002 versie zal ook de Baseline Informatiebeveiliging Overheid (BIO) flink wijzigen. Als Product Manager is Stef de Graaf verantwoordelijk voor het Information Security Management System (ISMS) en neemt hij ons mee in wat er gaat veranderen. Hoe zat het ook alweer met de BIO en de relatie met de ISO27002? En wat is de impact?
BIO 2.0: van toegevoegde waarde of flauwekul?

Verschillen

‘Zowel op de inhoud als ook op de structuur zijn wijzigingen aangebracht. De belangrijkste verschillen zijn simpel gezegd in te delen in de volgende drie onderwerpen: structuur, maatregelen en attributen. Voor het Rijk, gemeenten, provincies en waterschappen is op het gebied van informatiebeveiliging de Baseline Informatiebeveiliging Overheid (BIO) de minimale basis om aan te voldoen. Ondanks dat het BIO normenkader binnen enkele organisaties nog niet volledig geïmplementeerd is, mogen zij zich dus wel alvast gaan opmaken voor de BIO 2.0.’

Hoe zat het ook alweer met de BIO en ISO27002?

De BIO is een standaard voor de overheid met specifieke maatregelen met betrekking tot het verminderen van de impact en of kans van risico’s. Dit betreft specifiek risico’s op het vlak van de beveiliging van informatie. Het beveiligen van informatie is inmiddels voor vrijwel elke organisatie een top prioriteit, onder andere vanwege de digitalisering in de afgelopen decennia en de toenemende dreigingen vanuit verschillende hoeken. De BIO loopt in de huidige versie gelijk met de structuur van de ISO27002. Hieronder zet ik enkele belangrijke punten onder elkaar die van belang zijn:

  • De Internationale Organisatie voor Standaardisatie (ISO) stelt verschillende normen vast, waaronder dus ook informatiebeveiligingsnormen (ISO27002);
  • De Baseline Informatiebeveiliging Overheid (BIO) is gestructureerd volgens de ISO27002;
  • De ISO27002 is een best-pratice aan controls en een opvolgende uitwerking van de ISO27001;
  • De ISO27002 geeft organisaties een basis voor de inrichting van het Information Security Management System (ISMS);
  • Om bij te blijven met alle ontwikkelingen met betrekking tot het beveiligen van informatie wordt de ISO27002 na verloop van tijd herzien;
  • Er blijkt voldoende draagvlak binnen de overheid om de BIO te herzien als resultaat van de nieuwe ISO27002;
  • Daarmee blijft de structuur van de BIO gelijk aan de ISO27002.

Wat gaat er veranderen?

Structuur

Ten eerste zal de structuur van de nieuwe BIO 2.0 gaan veranderen. Concreet betekent dit dat een aantal hoofdstukken zal worden samengevoegd. Van maar liefst 14 hoofdstukken gaan we naar slechts vier hoofdstukken. Mensen, Fysieke Objecten, Technology en Organisatie.

Maatregelen

Ten tweede is er een verandering in het aantal maatregelen. Van 110 gaan we terug naar een totaal van 96. Helaas is dat geen reden voor een feestje! Een deel hiervan is samengevoegd, hierdoor zal het werk om aan de basis te voldoen dus niet direct afnemen. Daarnaast worden er ook nog eens 13 nieuwe maatregelen geïntroduceerd.

Attributen

Als derde en laatste, de nieuwe BIO bevat aanvullende informatie (attributen) over de maatregelen. Voor alle maatregelen zijn er specifieke kenmerken beschreven. Dit betreft bijvoorbeeld control types, met de opties zoals “preventief”, “defectief” en “correctief”.

Zijn er voordelen?

De vraagstelling verraadt een enigszins cynische blik op de nieuwe BIO. Dat komt vooral door het feit dat veel organisaties worstelen met capaciteit en budget. Dit gaat natuurlijk hand in hand. Daarnaast staat niemand te juichen als het net ingerichte BIO normenkader weer volledig op de schop kan. Toch heeft deze nieuwe BIO 2.0 ook duidelijke voordelen.

Beheersen van actuele risico’s

Allereerst is het natuurlijk goed om nieuwe en scherpere maatregelen te hebben. Door de toenemende risico’s is het afstoffen en verscherpen van de maatregelen zeker op zijn plaats. Wat organisaties in staat zal stellen om deze risico’s effectief te mitigeren tot een voor de organisatie acceptabel niveau.

Betere inzichten

Ten tweede geven de nieuwe attributen naar verwachting nieuwe mogelijkheden om gerichter inzicht te halen uit de resultaten. Door verschillende variabelen te koppelen zullen de dashboards en rapportages gebruikers in staat stellen om de PDCA (plan-do-check-act)-cyclus efficiënter en effectiever te borgen en daarmee hun informatiebeveiliging continue te verbeteren. Zodoende is er meer informatie te halen uit de resultaten op de maatregelen vanuit de business.

Heldere structuur

Ten derde ruimt het natuurlijk lekker op! Vier hoofdstukken met duidelijke thema’s zullen een positieve bijdrage leveren met betrekking het realiseren van draagvlak in de organisatie. Hetgeen voor veel organisaties (nog steeds) een belangrijke uitdaging is. Tenslotte, door de BIO2.0 blijft de structuur gelijk met de nieuwste versie van de ISO27002. Dit zorgt ervoor dat het makkelijk blijft om te benchmarken tussen overheid en commerciële partijen zoals leveranciers (die veelal gebruik maken van de ISO en niet de BIO) en afspraken te concretiseren met betrekking tot de beveiliging van informatie binnen de samenwerking (contractmanagement).

Impact

De nieuwe BIO zal in kleine of grotere mate impact hebben op uw ISMS. Maak je gebruik van een flexibele softwareoplossing voor jouw ISMS, zoals het ISMS van het Key Control Dashboard, zijn er verschillende efficiënte mogelijkheden om de BIO 2.0 probleemloos te implementeren en de negatieve impact ervan te minimaliseren. Zoals beschreven zijn er verschillende voordelen waar je maximaal profijt uit kunt halen.

Bent je al klant van ons? Dan zullen wij op enig moment in contact treden om de implementatieopties te bespreken. Nog geen klant? Plan dan snel een demo in om te horen en te zien hoe ons ISMS organisaties kan helpen om meer grip te krijgen op informatiebeveiliging en de implementatie van de BIO2.0.

Hypact Advisor, alles-in-één oplossing voor hypotheekadvies en -bemiddeling

Meer weten over onze diensten?

Neem contact met ons op en duik dieper in de mogelijkheden. Ontdek hoe onze dienstverlening en oplossingen kunnen bijdragen aan jouw organisatie.

Waar kunnen we je mee helpen