3. Verschillen BIG & BIO
• Minder maatregelen (bijna 60% minder)
• Meer mogelijkheden voor risicomanagement
• 3 Basis beveiligingsniveaus (BBN)
• Baseline toets (BBN toets) & GAP
• Maatregelen zijn altijd verplicht
• Uitwerken van ontbrekende maatregelen vooraf
• Toewijzing van maatregelen op eindverantwoordelijke
4. Norm & aanpak
BIO
Addenda
Baseline toets
GAP analyse
Zelfevaluatie
Horizontale verantwoording
BAG/BGT
DigiD
Suwinet
BRP/PNIK/PUN
Assurance
op
verklaring
college
Toezicht op proces
totstandkoming
Verantwoorden ENSIA
5 min voorstel rondje:
Vraag wie je buurman is en welke vraag deze heeft over de BIO. Stop de vraag in de hoge hoed.
Hands-up voor wie de BIO al gelezen/gezien heeft.
20 minuten deze slide met basis principes van de BIO.
15 minuten volgende 3 slides
15 minuten voor de vragen uit de hoge hoed.
Opbouw van de BIO – 112 controls op BBN2 & 137 maatregelen
Hoe verhouden zich processen ten opzichte van maatregelen? Toezicht houden op basis van processen (geen maatregelen). Gaat om PDCA cyclus.
Relatie BIO t.o.v. ISO 270001 en 270002/2017
Hoe zwaarder de BBN hoe minder ruimte voor risicomanagement
BBN1 heeft 71 maatregelen verplicht.
Uitgangspunten uit de BIO:
Er moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls. Deze verantwoording is onderdeel van de bestuurlijke verantwoording over de beveiliging van informatiesystemen. De wijze en mate van detail van de verantwoording hangt af van het BBN. Des te hoger het BBN, des te meer detail nodig is in verband met de hogere potentiële impact.
Quickscan of QIS = PDF BZK bij de BIR 2017 = een BBN toets = Quickscan Information Security
RM = RM en goede maatregelen
BIO iso controls en maatregelen met een BBN om te implementeren.
Controls die geen maatregelen hebben moet je maatregelen bij verzinnen (vooraf). Ca 30 van de 118. Kees levert deze op.
De vroegere baseline had controls (doelstelling)en > 300 maatregelen en gemeenten deden daarmee aan maatregelen mgt.
Je neemt maatregelen om in control te komen.
Je moet nu vooraf maatregelen opstellen, anders kun je niet in control komen.
Dia staat op ‘verbergen’. Kan evt. getoond worden voor de beeldvorming.
BBN toets: processen bij proceseigenaren. Lijnmanager moet de Baseline toets analyses uitvoeren. Toets uitgevoerd op een proces – dan kun je daar gebruik van maken.
Opties:
Generieke baselinetoets = alles is BBN 2
ENSIA voor brp/pnik (inclusief digid diensten aanvragen paspoort en andere digitale producten)/suwi
DigiD is geen proces op zich.
Indien wel uitgevoerd.
Was/Wordt lijst BIG/BIO = soort van GAP op systeemniveau.
Geen baseline toetst maar een GAP analyse. ENSIA is BBN2.
Gemeenten lopen een duaal traject. Er is ook sprake van implementatie in het overgangsjaar. Starten met uitvoering van de Baseline toets: BBN 1 dan mag je zelf maatregelen opstellen. Als je BBN 2 hebt dat moet je zowel BBN 1 en BBN 2 aan maatregelen uitvoeren.
Plan – Do – Check – Act
Vaststellen wat je voor de BIO al gedaan hebt. Waar sta je. Verschillen tov de BIG/BIO
BBN toets wordt op component niveau uitgevoerd. Er zijn BIV niveaus/classificaties bepaald binnen de Gemma online BIV. Hoogste niveau van BIV wordt het BBN.
IBD heeft het plan om spreadsheet op de site te plaatsen voor hergebruik BBN toets.