Nederlandse overheidsinstellingen hebben sinds 2020 een verplicht uniform normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). Dezelfde beveiligingsnorm voor alle overheden vergroot de informatieveiligheid en het vertrouwen in hoe de overheid met beveiliging omgaat. Deze BIO is gebaseerd op de ISO 27001-norm, de wereldwijde standaard in informatiebeveiliging. Wat is ISO 27001 en wat is het verschil met BIO?
ISO 27001 werd in mei 2015 door het College voor Standaardisatie verplicht gesteld voor Nederlandse Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector. Deze norm legt vast wat een (overheids-) organisatie moet doen om een Information Security Management System (ISMS) op te zetten en te onderhouden. Het ISMS is geen technisch systeem, maar een verzameling doelen, beleid, regels en procedures waar alle mensen in de organisatie zich aan moeten houden. Het doel van het ISMS is de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de organisatie zeker te stellen.
De norm bevat de eisen waaraan het ISMS van organisaties moet voldoen op zeven gebieden:
- De context van de organisatie
- Betrokkenheid van de leiding
- Doelen en beleidsplannen
- Ondersteuning, middelen en communicatie
- Operationele aspecten
- Meten van prestaties
- Continu verbetering
Geen IT-kwestie
De opsomming maakt duidelijk dat informatiebeveiliging geen IT-kwestie is; de hele organisatie moet er van doordrongen zijn en ernaar handelen. Een belangrijk uitgangspunt van de ISO-norm is risicomanagement: elke beveiligingsmaatregel moet gekoppeld zijn aan een concreet en benoemd risico. Alle risico’s moeten in kaart worden gebracht om de juiste maatregelen te kunnen nemen. Het tweede uitgangspunt is plan-do-check-act (PDCA), een methode voor continue verbetering, afkomstig uit de maakindustrie.
Als een organisatie voldoet aan ISO 27001 dan betekent dit dat het managementsysteem werkt. De ISO-standaard gaat alleen over doelen en het proces van informatiebeveiliging. De concrete invulling ligt bij de organisatie zelf. De organisatie zelf weet welke gegevens beschermd moeten worden en wat de risico’s zijn. Afhankelijk hiervan moet worden besloten welke maatregelen nodig zijn. Over concrete maatregelen zegt ISO 27001 niets.
Verschil BIO en ISO 27001
Dat is meteen het belangrijkste verschil met de BIO, de Baseline Informatiebeveiliging Overheid [interne link Blog: BIO voor een veilige digitale overheid], die op de ISO 27001-norm is gebaseerd. De naam zegt het al: het is een baseline, een gedefinieerd basisniveau voor informatiebeveiliging, een ondergrens. Heeft een organisatie een van de maatregelen van de BIO niet op orde, dan is dat onder de maat. Het bestuur en management van een overheidsinstelling bepalen samen met de CISO op basis van een risicoanalyse hoe de doelstellingen worden ingevuld en welke maatregelen worden getroffen.
Een uitspraak in de trant van: ‘Ik moet van ISO 27001 elke maand mijn wachtwoord wijzigen’, is strikt genomen onjuist. ISO 27001 gaat niet over maatregelen, die komen voort uit de BIO. Sinds 2007 is er een tweede standaard ISO 27002, die een uitgebreide verzameling maatregelen, best practices en aanbevelingen bevat voor het opzetten, implementeren en onderhouden van een ISMS. Deze standaard is gebaseerd op een IT-beveiligingsstandaard van Shell uit de vroege jaren 1990 en is daarna verder ontwikkeld. Deze standaard is alleen ter referentie: het is niet de bedoeling dat alle maatregelen uit deze standaard worden ingevoerd.
Compliance en certificering
Voldoen aan een hoog aangeschreven officiële internationale beveiligingsstandaard zegt over een organisatie dat de informatiebeveiliging op orde is. Dit wekt vertrouwen en geeft erkenning. Om aan te kunnen tonen dat een organisatie aan de standaard voldoet, kan een certificering worden behaald. Dat is een tijdrovend proces waaraan ook een stevig prijskaartje hangt. Elke organisatie die aan alle eisen voldoet, mag zeggen dat ze ISO 27001-compliant is. Wie compliant is, en dat ook wil aantonen, kan een officieel geaccrediteerd bedrijf een audit laten uitvoeren. Als uit de audit blijkt dat aan alle eisen is voldaan, krijgt de organisatie een ISO 27001-certificaat. Dit certificaat is drie jaar geldig.
De young professionals van Breinstein kunnen helpen bij de implementatie en naleving van ISO 27001, door het vergroten van het bewustzijn voor het belang van informatiebeveiliging. Zijn zijn opgegroeid met digitaal en blinken uit in soft skills. Ook kunnen ze een veilige en open cultuur bevorderen, waarin medewerkers zich vrij voelen om potentiële risico’s proactief te melden, zodat adequaat kan worden gereageerd op dreigende risico’s. Daarnaast kunnen zij worden ingezet bij het borgen van risicomanagement, het bevorderen van ketensamenwerkingen en het controleren en evalueren van het informatiebeveiligingsbeleid.