Wordt BIO, ISO? Bij de provincies wel!

Alle provincies willen eind 2023 het ISO 27001-certificaat gehaald hebben. Daarmee tonen ze aan dat ze hun informatiebeveiliging goed op orde en onder controle hebben.

Op 12 juni stond de ISO 27001-certificering op de agenda. ‘Informatiebeveiliging krijgt steeds meer prioriteit’, licht David van der Meer toe. ‘Het kabinet legt meer druk op overheidsinstanties om dit overal op dezelfde manier te regelen. Ook de AVG die in mei van kracht ging, laat zien hoe actueel het onderwerp is. Daarom hebben provincies eind 2017 met elkaar afgesproken dat ze over 5 jaar ISO-27001 gecertifieerd willen zijn.

Informatiebeveiligingsnormenvrij beschikbaar in NEN 

De overheid heeft in overleg met de NEN de volgende twee informatiebeveiligingsnormen exclusief vrij beschikbaar gesteld voor gemeenten, waterschappen en provincies in NEN Connect. https://www.nen.nl/NEN-Connect/Vrij-beschikbaar informatiebeveiligingsnormen.htm Deze normen zijn nodig bij een goede implementatie van de BIG / BIR / BIW en specifiek ook voor de nieuwe BIO (Baseline Informatiebeveiliging Overheid). 

  • NEN-EN-ISO/IEC 27001:2017 nl 
  • NEN-EN-ISO/IEC 27002:2017 nl

Nu kunnen we weleens klagen over de overheid maar het vrijgeven van deze ISO/NEN normen kunnen we toejuichen. Bravo!

Maar wat ik niet begrijp waarom bedrijven en dus ook de overheid telkens een eigen " handboek soldaat moeten ontwikkelen? Waarom niet gelijk met drie zinnen zeggen dat het bedrijfsleven of overheden aan de internationale normen moeten voldoen?

Op het gebied over dezelfde overheid is er een Baseline Informatiebeveiliging Overheid (BIO) ontwikkeld. Deze is ontwikkeld op de ISO norm ISO27001/27002. Voor de volledigheid zet ik enkele uitgangspunten van de BIO op een rij:

  • De BIO wordt geschreven op basis van de ISO 27001:2017, waarbij de basis afkomstig is van de baseline van het Rijk, de BIR2017. Dit houdt in dat het risicomanagementproces en het ISMS meer de nadruk krijgen en dat de controls vanaf hoofdstuk 5 meer gebruikt worden zoals bedoeld in de annex A van de ISO 27002.
  • De BIO kent 3 niveaus van beveiligingen. ISO27001 kent ook 3 niveaus namelijk opzet, bestaan en effectieve werking (doen we wat we hebben opgeschreven?)
  • Het basisbeginsel is risicomanagement en niet maatregelmanagement. ISO gaat ook vanuit risicomanagement. Denk aan context SWOT analyse om de bedreigingen, risico’s en ‘ kroonjuwelen’ te bepalen op het gebied van informatiebeveiliging en privacy;
  • hierop wordt de verklaring van toepasselijkheid bepaald en de risicomaatregelen gekoppeld aan de mitigerende maatregelen uit de ISO27002 norm. = Essentieel en vaak de 1e valkuil bij het inrichten van de ISMS en de Plan, Do, Check en Act (PDCA cirkel) cyclus naar continue verbeteren;
  • De BIO kent minder maatregelen, daar waar een control geen maatregelen kent, moet de implementatie tekst uit de ISO 27002 gebruikt worden. Des te meer redenen om direct te kiezen voor ISO;
  • De BIO kent ook een SOA of verklaring van toepasselijkheid, maar alleen voor controls die geen maatregeltekst bevatten en alleen voor de afwijkingen. Met ISO heb je de volledige SOA met een causaal verband tussen SWOT, bedreigingen, risico’s en ‘ kroon juwelen’;
  • De scope van de BIO is de bedrijfsvoering. Idem voor ISO.

Een paar voordelen voor ISO 27001 (certificering)

  • Klanten, werknemers, handelspartners en belanghebbenden worden gesteund in de overtuiging dat in uw organisatie zorgvuldig met zowel de informatie als de informatiesystemen wordt omgegaan;
  • Het certificaat ondersteunt uw geloofwaardigheid als professionele organisatie;
  • Stelt vast dat uw organisatie de relevante wet- en regelgeving naleeft;
  • Toont aan informatiebeveiliging op alle niveaus binnen uw organisatie belangrijk wordt gevonden;
  • Een goed ingericht en uitvoerend proces voor gegevensbeveiliging leidt tot minder risico’s en daarmee minder incidenten.
  • Informatiebeveiliging staat binnen uw bedrijf in de bedrijfsvoering voorop!
  • Als een organisatie zich voorbereid op een ISO 27001 certificering zal het management vooruitlopend hierop een aantal zaken intern aanscherpen. De algemene en de specifiek voor de certificering ertoe doende interne processen, worden nogmaals geïdentificeerd en geoptimaliseerd. Dit resulteert in een nog efficiëntere aansturing en management.
  • Ook worden in het voorbereidingsproces de processen en structuren voor de gehele organisatie duidelijk, waaronder communicatiestructuren, taken en verantwoordelijkheden. Dit leidt tot grotere betrokkenheid van de medewerkers en heeft positieve invloed op de ziekteverzuim, werkdruk en werksfeer.
  • Bijna volledige integratie met de meest essentiële (65 van de 100) wetsartikelen uit de AVG. Hiermee krijgt het huidige AVG niveau een stevige en volwassener basis. Vanuit de AVG art 24 lid 2 en art 32 moet je aantonen dat informatiebeveiliging ook goed verzorgd is.

Kortom, informatiebeveiliging en privacy gaan hand in hand en kunnen niet los van elkaar gezien worden. Ik pleit dan ook om door te pakken en te kiezen voor een ISO certificatie. Het echte onafhankelijke kwaliteitsbewijs met certificering. BIO is niet certificeerbaar.

 

Bron: Blog John Roos