Wat de BIO van je verwacht en hoe je daaraan voldoet
door Strict op vr 11 okt 2019
Vanaf 2020 moeten alle overheidsorganisaties eraan voldoen: de BIO. Oftewel, de Baseline Informatiebeveiliging Overheid. Een normenkader voor alle overheidsorganisaties die moet leiden tot betere samenwerking en meer eenduidigheid. Maar hoe voldoe je eraan?
Waarom de BIO?
Eerst even terug; waarom is die BIO er eigenlijk gekomen? Tot voor kort hadden we verschillende baselines, afhankelijk van de overheidsorganisatie. Zo had je onder andere de BIR voor de Rijksoverheid en de BIG voor Gemeenten. De BIO is nu in de plaats van deze baselines gekomen (in onze blog over normen en wetten lees je hier meer over).
De BIO is zo generiek opgesteld dat alle overheidsinstanties ermee kunnen werken. Het voordeel hiervan is dat er in ‘één taal’ gecommuniceerd wordt en er een betere en efficiëntere samenwerking tussen de partijen mogelijk wordt. Alle partijen moeten namelijk voldoen aan dezelfde normen. Dit zorgt ook voor minder administratieve lasten en kostenbesparing.
Mooi nieuws, zou je dus denken. Dat is ook wel zo, maar er moeten nog wel grote stappen gemaakt worden vóór 2020. Men begint inmiddels dus de stress te voelen. Vooral omdat de BIO wel maatregelen aangeeft, maar de precieze invulling daarvan onduidelijk blijft. Zo staat er bijvoorbeeld in de BIO dat je mobiele apparatuur goed moet beveiligen en risico’s moet verkleinen. Maar hoe je dat precies doet? Daar geeft de BIO geen antwoord op.
Het misverstand over de BIO
Veel overheidsinstanties zijn nu druk bezig om per 2020 alles op orde te hebben. Dat houdt in dat ze proberen de verschillende maatregelen door te voeren waaraan zij moeten voldoen. Maar daar zit precies een groot misverstand. De maatregelen zijn niet de essentie van de BIO. Ze moeten volgen uit het doorlopen van de plan-do-check-act cyclus van het managementsysteem.
Het managementsysteem heeft als doel dat je in control bent en een cyclus hebt voor het doorvoeren van verbeteringen. Als jouw managementsysteem goed is ingeregeld, volgen die maatregelen vanzelf uit de periodieke beoordelingen. Doe je het andersom? Dan loop je over een tijdje vast, want dan zijn je maatregelen niet meer up to date en kan je dus opnieuw beginnen.
Hoe ga je voldoen aan de BIO?
Een managementsysteem is dus het eerste belangrijke onderdeel. Maar hoe zet je dan de eerste stappen naar het voldoen aan de BIO? Zoals de BIO zelf ook aanraadt, kan je het beste starten met een gap analyse. Wat heb je in huis? Wat doe je? Hoe goed doe je dit? En sluit dit allemaal aan op de BIO?
Vergis je niet, deze gap analyse is een grote klus. Los van de omvang van de verschillende organisaties, is het veel werk om de vergelijking te maken tussen de oude norm en de nieuwe BIO. Die normen lijken allemaal wel veel op elkaar, maar ze zijn niet hetzelfde.
Als volgende stap kan je een baseline-toets doen. Dit is een soort risicoanalyse waaruit een zogenaamd basisbeveiligingsniveau komt. De BIO maakt onderscheid tussen drie niveaus, die vervolgens bepalen welke maatregelen je moet nemen. Afhankelijk dus van het basisbeveiligingsniveau, kan je de voorgeschreven maatregelen gaan toepassen. Dit vereist echter wel eigen invulling, want de BIO is geen kookboek: het geeft je de ingrediënten (de wat), maar je moet zelf een recept verzinnen (de hoe).
Dankzij de gap analyse en de baseline-toets weet je nu waar je aan moet werken om te voldoen aan de BIO. Nu is het aan jou om het recept te verzinnen en dus de maatregelen goed in te voeren.
Kom je er nog niet uit?
Enkele experts van Strict werken mee aan een boek over de BIO. Dit boek biedt – aan de hand van best practices – handvatten om de implementatie van de BIO slim, pragmatisch en soepel te laten verlopen. Naar verwachting komt het boek begin 2020 uit. Wil je op de hoogte worden gebracht van de release? Laat dan via het formulier hieronder je gegevens achter en je krijgt als eerste bericht over de releasedatum!
- Technologie (133)
- Nieuws (70)
- 5G (66)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (15)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (2)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (5)
- augustus 2018 (6)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)