1 Juli 2019

AuditConnect innoveert: nieuw product voor BIO-implementatie bij overheidsinstanties

Overheidsinstanties moeten in 2020 voldoen aan de nieuwe Baseline Informatiebeveiliging Overheid (BIO). De nieuwe normenkader is de opvolger van de BIG, BIWA, BIR en IBI. Er blijkt voor veel instanties nog veel werk aan de winkel. AuditConnect innoveert met een nieuw product om hen hierbij te ondersteunen.

Overheidsinstanties en de partners waarmee zij samenwerken moeten hun informatie(-systemen) goed beveiligen. Bovendien dragen zij verantwoordelijkheid voor de beveiliging van onderling uitgewisselde gegevens en moet alle relevante data voor burgers goed beschikbaar zijn.

Daar bestond voorheen de BIG voor. “Dat was een norm op basis van de NEN/ISO 27002:2007, waaraan een aantal overheidsnormen werden toegevoegd,” vertelt Auditor Luuk van Empel van AuditConnect. “In de praktijk ontstonden er lijsten met 300 tot 400 te nemen maatregelen.

Hij wijst erop dat de BIG vaak niet volledig is geïmplementeerd. “Overheidsinstanties werken met tal van applicaties en systemen. Het is mede daardoor vaak onduidelijk voor hen welke maatregelen waar geïmplementeerd moeten worden. Veel instanties missen het overzicht om het behapbaar te houden.”

BIO: de nieuwe norm

De nieuwe BIO-norm bevat 60 procent minder maatregelen dan de BIG. “In principe gaat het om de NEN/ISO 27002:2013-norm waaraan voor de BIO-norm een paar specifieke overheidsmaatregelen zijn toegevoegd. Het is een lijst van te nemen maatregelen die risico gebaseerd geïmplementeerd dienen te worden. De BIO is zo ingericht om maatregelen op het juiste niveau te implementeren en risico gebaseerd te denken,” licht Van Empel toe.

De implementatie van de BIO bestaat op hoofdlijnen uit een aantal belangrijke stappen:

  1. GAP-analyse

  2. Baseline-toetsen

  3. Risicoanalyses

  4. Data Protection Impact Assessments (DPIA)

  5. Opstellen van een informatiebeveiligingsplan

“De GAP-analyse is een belangrijke eerste stap, deze wordt uitgevoerd op alle generieke maatregelen die organisatie breed zijn ingericht. Het helpt de basis te bepalen van waaruit duidelijk wordt waar de instantie aan moet werken.”

AuditConnect helpt met nieuw product

AuditConnect maakt de verschillende stappen van de implementatie van de BIO inzichtelijk met bouwblokken. Deze bouwblokken zijn onderdelen die overheidsinstanties ondersteunen om voor 2020 een informatiebeveiligingsplan op te stellen waarmee ze aan de nieuwe norm gaan voldoen. Dit plan bevat een beschrijving van de manier waarop de instantie nog ontbrekende controls en maatregelen zal implementeren.

“Veel overheidsinstanties hebben nog hierin behoorlijke stappen te maken,” vertelt Van Empel. “Het systeem voor informatiebeveiliging heeft de afgelopen jaren veelal onvoldoende gewerkt, waardoor op sommige plekken grote achterstanden zijn ontstaan. Het zal daarom niet meevallen voor deze organisaties om die in één jaar weg te werken. Daarnaast is het nu nog vaak onduidelijk wat de (kritieke) processen binnen de instantie zijn en welke onderliggende informatiesystemen en datastromen daarbij een rol spelen. Die organisaties moeten voor het eind van het jaar in iedere geval een plan hebben liggen om de nu nog ontbrekende maatregelen te gaan implementeren.”

AuditConnect merkt ook in de eigen klantenkring dat overheidsinstanties vaak zoekende zijn t.a.v. hoe ze tot zo’n informatiebeveiligingsplan die voldoet aan de BIO moeten komen. “Wij innoveren daarom met een nieuw product, de BIO Thermometer. We voeren in circa drie dagen tijd een QuickScan uit, waarmee we inzichtelijk maken voor de klant welke concrete stappen de instantie zou moeten nemen om het plan op te stellen.”

De BIO Thermometer bestaat uit meerdere onderdelen:

  • Een GAP-analyse voor generieke controls en maatregelen

  • Een Managementrapport met daarin de belangrijkste bevindingen

  • Een roadmap waarmee de organisatie zelf de voortgang kan bewaken van de nog te ondernemen stappen

  • Een presentatie op locatie door norm-specialisten

“Met de BIO Thermometer helpen we instanties met input waarmee ze voor 1 januari 2020 het belangrijke plan kunnen gaan opstellen. Aan de hand van de GAP-analyse leggen we uit wat binnen hun organisatie de positieve en verbeterpunten zijn op het gebied van informatiebeveiliging. Bovendien adviseren we t.a.v. concrete stappen hoe de verantwoordelijken vervolgens het plan kunnen opstellen.”

De consultants en auditors van AuditConnect ondersteunen overheidsinstanties en andere organisaties op het gebied van security, privacy en Assurance. Belangrijke thema’s daarbij zijn de ISO 27001-normering en de implementatie daarvan, net als jaarlijkse audits en ondersteuning voor ENSIA- en DigiD-normeringen voor gemeenten, waterschappen en provincies.

Benieuwd hoe onze aanpak voor u kan werken of wilt u een voorbeeldrapportage zien? We komen graag bij u langs om uit te leggen hoe u gebruik kunt maken van de BIO Thermometer of andere vragen te beantwoorden. Bel ons op telefoonnummer 055-301 01 00 of stuur ons een e-mail naar info@auditconnect.nl. We horen graag van u.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect