Van BIG naar BIO met een GAP-analyse

De BIO is per 2020 de opvolger van de BIG. Het jaar 2019 staat voor gemeenten daarom in het teken van de implementatie van de BIO. De overgang van de BIG naar de BIO is voor gemeenten geen sinecure. Een handig instrument dat je hierbij op weg kan helpen, is een GAP-analyse. Maar wat is een GAP-analyse en hoe voer je deze uit? Dat lees je in deze nieuwe blog.

Een GAP-analyse is een methode om een vergelijking te maken tussen de huidige situatie en de gewenste situatie van de baselinecriteria. Middels een GAP-analyse kan inzicht verkregen worden in hoeverre controls en maatregelen al dan niet zijn geïmplementeerd en van toepassing zijn. Hiermee kun je voor jouw gemeente verschillen tussen de huidige BIG implementatie en de BIO in kaart brengen, en daarmee nagaan in hoeverre het huidige inrichting van de informatiebeveiliging binnen de gemeente voldoet aan de BIO-criteria en wat er nog gedaan moet worden.

De GAP-analyse als tweetrapsraket

Met de komst van de BIO valt een GAP-analyse uiteen in een tweetrapsraket: de BIO kent namelijk zowel verplichte als niet-verplichte maatregelen. Afhankelijk van je BBN classificatie weet je welke maatregelen je (verplicht) moet implementeren. Daarnaast moet je registeren welke maatregelen en controls je niet kunt implementeren omdat ze niet van toepassing zijn. Dit wordt later in deze blog verder toegelicht.

De eerste stap in de GAP-analyse is het invullen van de generieke controls en maatregelen die op concern niveau zijn gespecificeerd. Dit kan worden uitgevoerd door de CISO en de eindverantwoordelijke van de gemeentelijke dienstverlening. Wanneer er geen formele eindverantwoordelijke is benoemd, wordt de gemeentesecretaris betrokken. Die zal dit naar alle waarschijnlijkheid dan weer snel delegeren door iemand anders al eindverantwoordelijke op dit gebied aan te stellen.

De tweede stap in de analyse is een aanvulling op de eerste stap en betreft de primaire processen, ofwel de specifieke controls en maatregelen. Deze analyse dient te worden uitgevoerd door de proceseigenaar (vaak een lijnmanager). De proceseigenaar kan hierbij gebruikmaken van wat er binnen de eerste stap al naar voren is gekomen.

Middels een GAP-analyse krijg je als gemeente dus inzicht in de geïmplementeerde maatregelen, de verantwoordelijke per maatregel en de nog te implementeren maatregelen. Op deze manier kan het informatiebeveiligingsplan van jouw gemeente worden aangevuld met activiteiten om zo de nog ontbrekende controls en maatregelen te implementeren.

Van BIG naar BIO in 6 stappen

Hoe maak je als gemeente een goede start met de BIO implementatie? Om gemeenten te ondersteunen bij de implementatie is vanuit de Informatiebeveiligingsdienst (IBD) en VNG Realisatie een aanpak voor de BIO en ENSIA opgesteld. In de BIOENSIA pilot kunnen de gemeenten die zich hebben aangemeld als pilotgemeente nagaan in hoeverre het huidige informatiebeveiligingsbeleid en -plan voldoet aan de BIO-criteria en welke stappen gemeenten nog moeten nemen. Hierbij is het stappenplan als volgt:

Stap 1: Koppel het bedrijfsproces aan een eindverantwoordelijke

Om te beginnen is het van belang om de verantwoordelijke voor het bedrijfsproces te zoeken en te (laten) benoemen. Daarbij is het moeilijk om de verantwoordelijkheden precies te definiëren, processen verschillen namelijk tussen gemeenten. Over het algemeen zien we dat de verantwoordelijkheden bij de afdelingsmanagers, meestal ook de proceseigenaar, liggen.
Let er hierbij op dat een bedrijfsproces gebruik kan maken van meerdere systemen, en je daarom ook moet weten dat je mogelijk binnen je bedrijfsproces moet schakelen met diverse systeemeigenaren (een proceseigenaar hoeft namelijk geen systeemeigenaar te zijn). Indien er geen eindverantwoordelijke is, is de gemeentesecretaris eindverantwoordelijk.

Stap 2: Voer de baselinetoets uit

Vervolgens voer je voor elk proces een baselinetoets uit. De ENSIA pilotgroep maakt uitsluitend gebruik van het BBN 2 wat vergelijkbaar is met de oude BIG. Daarnaast bestaan ook BBN1 en (straks) BBN3. Voer indien nodig een risicoanalyse uit bij afwijkende betrouwbaarheidseisen van informatiebeveiliging, zoals beschikbaarheid en integriteit, zoals het geval is bij SCADA-systemen. Aanvullend kan er een Data Protection Impact Assessment (DPIA) uitgevoerd worden als dit verplicht is en nog niet gedaan is.

Stap 3: Bepaal welke controls of maatregelen van toepassing zijn (en welke niet)

Zoek in de BIO de controls en verplichte maatregelen bij het geselecteerde BBN om de gevonden risico’s adequaat te beheersen. Noteer en motiveer de controls die niet van toepassing zijn en neem die op in de ‘Niet Van Toepassing Verklaring’ (NVTV) of in ISO termen de ‘Verklaring van Toepasselijkheid’ genoemd.
In tegenstelling tot de BIG zijn alle maatregelen zoals beschreven in de BIO verplicht (het is het minimale niveau waar je aan moet voldoen). Indien een bepaalde maatregel niet van toepassing is in relatie tot het beoordeelde proces, dient de proceseigenaar dit te motiveren in de NVTV. Voordeel hiervan is dat je vooraf gedwongen wordt er goed over na te denken, waardoor discussies achteraf, over waarom iets niet is gedaan, worden voorkomen.

Stap 4: Formuleer (indien nodig) aanvullende maatregelen

Selecteer en formuleer passende maatregelen bij de controls uit de BIO waar geen verplichte maatregelen bij staan. De control vergt immers wel maatregelen voor implementatie. Bij sommige controls zijn hier alleen geen verplichte maatregelen aan gekoppeld, maar heb je zelf de vrijheid om dit in te richten zolang je maar wel aan de control voldoet. Vanuit de IBD komt een lijst met mogelijke maatregelen, om invulling te geven aan deze controls, ter beschikking. Deze maatregelen zijn gebaseerd op de BIG maatregelen. Daarnaast kun je ook andere bronnen raadplegen, zoals de implementatie handreiking voor ISO27002. Als gemeente mag je uiteraard ook zelf invulling geven aan de maatregelen, maar let op: dit is lastiger dan je denkt.

Stap 5: Cluster controls en te treffen maatregelen

Cluster de controls en de verschillende invullingen van de te treffen maatregelen uit de analyse naar soort en beleg deze bij de juiste personen. Hiermee krijg je inzicht in wie wat doet. Verdeel indien nodig de verantwoordelijkheid en taken onder andere uitvoerders (actiehouders) binnen je gemeente. Zorg dat je deze clustering en toewijzingen vastlegt. Het clusteren kan je bijvoorbeeld doen langs de PIOFACH. Op deze manier cluster je maatregelen logisch naar Personeel, Informatievoorziening, Organisatie, Financiën, Automatisering, Communicatie en Huisvesting.

Stap 6: Monitoring

Tot slot, kun je aansluiting zoeken bij het organisatorische ISMS dat wordt gebruikt en daar de controls,maatregelen en uitvoerder in opnemen zodat je dit kunt monitoren. Dit monitoren moet uiteraard aansluiten bij de werkwijze van de gemeente. Vanzelfsprekend rapporteer je afwijken die je constateert bij het monitoren.

Kortom, de resultaten van een GAP-analyse geven je snel en effectief inzicht in de actuele status van de nieuwe BIO-criteria in relatie tot je huidige informatiebeveiliging. Via bovenstaande 6 stappen weet je wat er nog te doen is en in welke volgorde qua prioriteit (op basis van je risicoanalyse). Ik hoop je met deze blog meer inzicht te hebben gegeven in hoe je een GAP-analyse uitvoert en een start kunt maken met de BIO implementatie.

Meer informatie?

Een uitgebreide beschrijving van deze stappen vind je in het document ‘Introductie aanpak BIO’ van de IBD. Deze blog is gebaseerd op de Webinar ENSIA BIO academy 1. Wil je advies of ondersteuning bij het uitvoeren van een GAP-analyse of de implementatie van de BIO, neem dan gerust contact met ons op. Wij helpen je graag verder.

Digitaal forensisch onderzoek; hoe bereid ik me als CISO voor?
SIVA – Inhoud & auditelementen (2)

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap