Nieuw normenkader Suwinet biedt kansen

Met de komst van de Baseline Informatiebeveiliging Overheid (BIO) en de verplichting voor gemeenten om hier per 1 januari 2020 aan te voldoen, is ook het normenkader voor Suwinet onder de loep genomen. De BIO dient als overkoepelend normenkader voor informatiebeveiliging. Het ligt dan ook voor de hand dit normenkader voor de gehele organisatie zoveel mogelijk als uitgangspunt te nemen.

Wat is er veranderd?

Uit onze analyse van het nieuwe normenkader blijkt, dat de verschillen tussen het oude en nieuwe normenkader minimaal zijn. Het nieuwe normenkader bevat dezelfde normen, echter in een ander jasje. Er moet nog steeds aan dezelfde eisen worden voldaan: beleid, autorisatiebeheer, controle van de logging en bewustwording. Het gaat hier en daar slechts om een toevoeging of aanscherping. Zo zijn de eisen voor DKD-inlezen bijvoorbeeld scherper verwoord. Kortom, in de basis is er niets veranderd. Er zijn wel twee ‘nieuwe’ normen: 12.1.1 bedieningsprocedures en 18.1.4 privacy. Deze twee normen zijn formeel gezien nieuw, maar liggen in het verlengde van de oude normen.

VNG biedt helpende hand

Normaliter dient er vanuit de BIO voor een systeem of een proces een risicoanalyse uitgevoerd te worden. Op basis van de risicoanalyse wordt vervolgens bepaald welke beheersingsmaatregelen voor het specifieke systeem of proces nodig zijn.  De VNG heeft hier al een handje bij geholpen door een handreiking ENSIA-verantwoording voor Suwinet uit te brengen. Voor elke geselecteerde BIO-maatregel wordt aangegeven wat de aandachtspunten zijn én wat een mogelijke testaanpak is.

Download hieronder een overzicht van de geselecteerde BIO-normen, de oude Suwinet norm en de impact van de wijziging.

Grijp uw kans om de BIO te implementeren

Nu de BIO dient als uitgangspunt voor de verantwoording van Suwinet zie ik voor gemeenten twee kansen:

1. Rol generieke processen, generiek uit in de organisatie

Wat voor Suwinet en DigiD geldt, geldt natuurlijk voor veel meer applicaties, systemen en processen binnen uw organisatie. Denk daarbij aan autorisatiebeheer met de in- en uitdienstprocedure, de autorisatieprocedure en de periodieke controles op de autorisaties. Zowel in het kader van de informatiebeveiliging, als in het kader van bijvoorbeeld de jaarrekeningcontrole. Het conform de BIO implementeren en uitvoeren van deze maatregelen voor Suwinet is een mooie aanleiding om dezelfde processen voor andere systemen op een gelijke wijze uit te rollen.

2. Suwinet als proeftuin voor de BIO

Wanneer je de BIO volgens het boekje implementeert, dien je aan de voorkant een risicoanalyse uit te voeren. Op basis van de risicoanalyse bepaal je vervolgens welke beheersmaatregelen nodig zijn. Hoe ziet zo’n risicoanalyse eruit? Ik geef een voorbeeld:

Norm

5.1.1

Eis

Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.

Risico

Het risico bestaat dat het informatiebeveiligingsbeleid verouderd, onvolledig, niet goedgekeurd of gecommuniceerd is.

Beheersmaatregel

Jaarlijks (wanneer) controleert de CISO (wie) of het informatiebeveiligingsbeleid actueel, vastgesteld en beschikbaar gesteld is (wat) en legt dit zichtbaar vast.

Door het formuleren en implementeren van beheersmaatregelen waarin is geëxpliciteerd wie, wat, wanneer of met welke frequentie houd je als organisatie grip op je informatiebeveiliging. Ook maakt een dergelijk framework audits eenvoudiger.

Als vervolgens een auditor aan de voorkant beoordeelt of de beheersmaatregelen in opzet voldoende zijn om aan de BIO-eisen te volden, kan vervolgens eenvoudig de beheersmaatregel getoetst worden door middel van een controle (op een deelwaarneming) van de al uitgevoerde controles.

Weinig nieuws onder de zon

Kortom, inhoudelijk brengt het nieuwe normenkader Suwinet weinig verandering met zich mee. Het biedt vooral de mogelijkheid om informatiebeveiliging eenduidig, organisatiebreed en conform de BIO aan te pakken.