Informatiebeveiliging bij de overheid

5 tips voor een veilige implementatie van de BIO 2020

Meer informatie Vraag demo aan

BIO 2020: de nieuwe standaard

Vanaf 1 januari 2020 hebben alle rijksdiensten, gemeenten, provincies en waterschappen te maken met de BIO 2020, inclusief de organisaties die leveren aan deze instanties. Deze nieuwe regels voor informatiebeveiliging komen bovenop de toch al lange lijst van kwaliteitseisen. Hoe zorgt u dat u ‘in control’ blijft? We geven u 5 tips!

Volgens enkele eisen uit de BIO 2020 moet iedere overheidsorganisatie:

  • Beschikken over een ISMS (Information Security Management System) waarmee aantoonbaar de gehele Plan-Do-Check-Act cyclus op gestructureerde wijze wordt afgedekt
  • Risicoanalyses uitvoeren
  • Beleid en beveiligingsmaatregelen implementeren (opzet, bestaan en werking) om de risico’s te beheersen
  • Bedrijfsmiddelen inventariseren
  • Een eigenaar toewijzen aan alle bedrijfsmiddelen
  • Logbestanden van informatiebeveiligingsgebeurtenissen maken, bewaren en regelmatig beoordelen
  • Kwetsbaarheden beoordelen inclusief actuele stand (real time) rapporteren
  • Audits plannen en uitvoeren; alle incidenten maandelijks rapporteren

Centralisatie

Tot nu toe hadden alle bestuurslagen nog een eigen ‘baseline’ voor informatiebeveiliging. De BIR voor het rijk, de BIG voor gemeenten, de IBI voor provincies en de BIWA voor waterschappen. De BIO 2020 vervangt al deze normen door één, universele manier van werken.

De overstap naar de BIO kan een forse impact hebben, maar met deze tips wordt het wel een stuk eenvoudiger!

Tip 1: Gebruik GRC tooling

Veel organisaties gebruiken losse spreadsheets voor al hun losse rapportages. Hierdoor moet u veel werk dubbel doen en raakt u snel het overzicht kwijt. Bovendien kennen spreadsheets geen check-mechanismes zoals reminders en deadlines, waardoor u iedere actie zelf moet monitoren. Door GRC tooling te gebruiken integreert u alle informatiebeveiligingsprocessen in één overzicht, waardoor u alle eisen vanuit één centrale plek kunt beheersen. Zo bespaart u veel tijd en geld èn bent u aantoonbaar in control.

Tip 2: Gebruik de ENSIA vragenlijst

Maak gebruik van de ENSIA BIO 2020 vragenlijst. Hiermee kan het verantwoordingsproces over informatiebeveiliging verder worden geprofessionaliseerd doordat het toezicht wordt gebundeld en verbinding wordt gelegd met de Planning & Control-cyclus. Dit zorgt voor meer inzicht in de stand van zaken, waardoor er beter op gestuurd kan worden.

Tip 3: Bewaak risico’s met behulp van de drie BBN’s

In de BIO 2020 ligt de nadruk meer op risicomanagement dan in zijn voorgangers. De basisbeveiligingsniveaus (BBN’s) helpen om risicomanagement hanteerbaar en efficiënt te houden. Op basis van de betrouwbaarheidseisen (beschikbaarheid, integriteit en vertrouwelijkheid) die gesteld worden aan de informatie die beveiligd moet worden en de dreigingen die er zijn, wordt bepaald welke set aan maatregelen relevant is voor een adequate beveiliging van die informatie.

Tip 4: Borg breed draagvlak in de organisatie

De rol van de bestuurder en lijnmanager is ten aanzien van risicomanagement een stuk explicieter geworden dan in de voorgangers van de BIO 2020. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ uitgegeven. Maak gebruik van deze handreiking om invulling te geven aan de diverse verantwoordelijkheden. Zorg ervoor dat deze verantwoordelijkheden bij iedereen bekend en duidelijk zijn en leg ook uit waarom ze belangrijk zijn, dat vergroot de kans op succes!

Tip 5: Zorg voor Real Time dashboarding

Naast de AVG verplicht ook de BIO 2020 om u op ieder moment te voorzien van continue data, updates en logging. Spreadsheets kunnen dit niet. Deze eis vraagt om Real Time dashboarding. Zorg ervoor dat u op ieder moment weet waar uw organisatie staat met betrekking tot compliancy aan geldende normen en wet- en regelgeving. Ook dient u te weten welke risico’s uw organisatie op dit moment en in de toekomst loopt.

Vraag uw demo aan

Get in control met GRCcontrol van CompLions!

GRCcontrol is de meest eenvoudige software voor het voldoen aan de BIO2020. Want GRCcontrol beschikt over een best-practice maatregelenset die u helpt met de overgang naar de BIO 2020 en de implementatie hiervan door dit op een centrale plek te beheersen. Ook kunt u de nieuwste ENSIA BIO 2020 vragenlijst gemakkelijk invullen doordat er direct maatregelen aan u worden voorgesteld om te implementeren middels de Plan-Do-Check-Act cyclus die geïntegreerd zit in onze software oplossing.

Verder helpt GRCcontrol u om risicomanagement hanteerbaar en efficiënt te houden waarmee u uw risicomanagement aantoonbaar als proces borgt naar uw organisatie en uw stakeholders. Daarnaast ziet u met GRCcontrol op ieder gewenst moment waar uw organisatie nu en in de toekomst staat door het compliance en risico dashboard.

Plus: AVG integratie

De BIO2020 bevat vele verbanden en overlappende eisen met de AVG. Wat is er daarom makkelijker dan uw BIO2020 en AVG processen te integreren in één systeem? Met GRCcontrol kan dat! GRCcontrol kent namelijk ook een aanvullende AVG-module, waarmee u naast de BIO2020 direct ook aan uw AVG compliancy werkt. En met de unieke ‘Map once, comply to many’ functionaliteit worden alle overlappende eisen vooraf ontdubbeld, waardoor u tot wel 70% tijd op uw compliancy processen bespaart!