BIO: heb je je informatiesystemen goed afgebakend?

Dit jaar (2020) is het eerste jaar waarover je als gemeente verantwoording over je informatiebeveiliging moet afleggen op basis van de Baseline Informatiebeveiliging Overheid (BIO). Daarbij moet je voor ieder informatiesysteem het passende beveiligingsniveau aangeven. Dat vraagt om een goede afbakening van die informatiesystemen. In deze blog lees je meer over hoe je dit aanpakt.

Datum
9 december 2020
Auteur
Klaas Bolte
Diensten
I-visie & beleid
Leestijd
4 min

BIO vervangt BIG

De BIO vervangt de Baseline Informatiebeveiliging Gemeenten (BIG). Het voordeel van de BIO is dat deze voor de hele overheid geldt. Dit betekent voortaan één zelfde basisnorm voor informatiebeveiliging binnen de hele overheid en dus minder spraakverwarring bij de informatiebeveiliging in de ketens. Daarnaast is de BIO gebaseerd op de actuele, internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002). De BIG was gebaseerd op een ISO-norm uit 2005.

De focus op risicomanagement

De focus van de BIO ligt op risicomanagement. Heel in het kort: welke bedreigingen zijn er voor een informatiesysteem? Hoe groot is de kans dat een bedreiging werkelijkheid wordt? Wat is dan de impact ervan op de dienstverlening, werkprocessen, wettelijke verantwoordelijkheden, bestuur en dergelijke? En vooral ook welke maatregelen wil en kun je nemen om de risico’s en de impact hiervan te beheersen?

Basisbeveiligingsniveaus (BBN)

Je eisen aan de beschikbaarheid, integriteit en vertrouwelijkheid van informatie bepalen het beveiligingsniveau dat voor een informatiesysteem moet gelden. De BIO gaat daarbij uit van drie Basisbeveiligingsniveaus (BBN), met bijbehorende beveiligingseisen. Door aan ieder informatiesysteem een eigen BBN toe te kennen, kun je bewust keuzes maken in je werkzaamheden en de grootste risico’s met prioriteit aanpakken. Er is een toets ontwikkeld die je helpt het juiste beveiligingsniveau voor een informatiesysteem vast te stellen.

Wat is een informatiesysteem?

Een BBN voor ieder informatiesysteem klinkt misschien duidelijk, maar in de praktijk is het niet altijd even gemakkelijk te bepalen wat bij een informatiesysteem hoort en wat niet. De Nederlandse Overheid Referentie Architectuur (NORA) houdt als definitie aan: “een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.” Maar hoe baken je zoiets af in de gemeentelijke informatiearchitectuur waar steeds meer systemen, registraties en applicaties met elkaar verbonden zijn?

Hulp bij afbakening informatiesystemen voor de BIO

Hieronder staat een aantal belangrijke aandachtspunten die je zeker moet meenemen als je informatiesystemen gaat afbakenen voor de BIO.

  1. Begin met een relatief eenvoudig systeem of applicatie, dus niet met een zaaksysteem of gegevensmagazijn met meer dan 15 koppelingen. Een taakapplicatie binnen een domein (bijvoorbeeld VTH, financieel pakket, burgerzaken) vormt vaak al een goed startpunt voor de discussie.
  2. Ga in gesprek met de inhoudelijk betrokkenen, I-adviseur en functioneel beheerder(s) zodat je gezamenlijk het informatiesysteem kunt afbakenen. Kijk hierbij kritisch naar de reikwijdte van het samenhangend geheel.
  3. Maak een architectuurplaat per informatiesysteem. Dit helpt enorm om goed in beeld te krijgen waar je samen over praat.
  4. Bespreek ieder informatiesysteem met de beoogde eigenaar. Hierdoor zet je die eigenaar goed in zijn rol en kent hij zijn (budget)verantwoordelijkheden.
  5. Presenteer in het MT het belang van informatiesystemen, licht toe waar de risico’s het hoogst zijn en wie welke verantwoordelijkheid heeft bij het verkleinen van deze risico’s.
  6. Laat het MT de informatiesystemen vaststellen.
  7. Laat het MT de eigenaren van de informatiesystemen vaststellen.
  8. Help eigenaren op weg om op tijd budget aan te vragen in de begroting voor maatregelen die in de nabije toekomst moeten worden getroffen. Dit helpt je ook direct je Informatiebeveiligingsplan voor het jaar erna kracht bij te zetten.
  9. Informeer B&W over de vastgestelde informatiesystemen en eigenaren. Zij moeten immers verantwoording afleggen aan de gemeenteraad over het thema informatiebeveiliging. Dit is bovendien een goede gelegenheid om dit thema weer bij iedereen scherp op het netvlies te krijgen.

Let op: ICT-architectuur is dynamisch

Er veranderen bijna wekelijks elementen in de gemeentelijke informatie-architectuur. Hierdoor kunnen ook informatiesystemen wijzigen. Denk dus ook goed na over een beheer- en wijzigingsproces waarmee je regelmatig toetst of het door jou op papier afgebakende informatiesysteem nog wel recht doet aan de werkelijke situatie. Maak informatieveiligheid en privacy bijvoorbeeld onderdeel van je ICT-wijzigingsproces. Dan krijg je iedere softwareverandering mee en kun je direct de invloed ervan op een informatiesysteem beoordelen.

Meer informatie?

Heb je hulp nodig bij het afbakenen van informatiesystemen, het toekennen van eigenaren of het inrichten van beheerprocessen? Neem dan contact op met Klaas. Of stel je vraag in de chat.

Consultant
Klaas Bolte
Mijn kracht ligt op het gebied van informatiebeleid, projectportfolio, projectmanagement en het initiëren van nieuwe samenwerkingsvormen. Ik weet mensen mee te krijgen in een verandering en gezamenlijke belangen te behartigen. Ook heb ik gevoel voor het samenspel tussen bedrijfsvoering en politieke belangen.
Kennisblogs
Pagina delen: