Informatieveiligheid
Inleiding[bewerken]
Voor de waterschappen is sinds 1 januari 2020 de Baseline Informatiebeveiliging Overheid (BIO) van kracht.
De BIO vervangt binnen de Nederlandse overheid diverse baselines. Voor waterschappen wordt de BIWA vervangen door de BIO. En zo ontstaat één baseline welke geldt als normenkader voor alle Nederlandse overheidsorganisaties. Hiermee ontstaat een integraal en consistent normenkader dat gebaseerd is op de internationaal erkende ISO 27001-norm.
De BIO verschilt op een aantal punten van de BIWA. De grootste verschillen zijn:
- Minder maatregelen (bijna 60% minder)
- Maatregelen zijn altijd verplicht
- Meer risicomanagement
- Drie basisbeveiligingniveaus (BBN)
- Selectie van ontbrekende maatregelen vooraf
- Toewijzing van maatregelen op eindverantwoordelijke
- Een baselinetoets die rekening houdt met die drie niveaus
- Verantwoordelijkheden komen bij het lijnmanagement te liggen
Definities[bewerken]
Informatieveiligheid is het resultaat van het proces van het vaststellen van de vereiste betrouwbaarheid van informatie in termen van beschikbaarheid, integriteit en vertrouwelijkheid, alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.
Informatiebeveiliging' is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Beschrijving[bewerken]
De beveiliging van informatie richt zich daarbij op de volgende drie aspecten:
- beschikbaarheid, de informatie moet op de gewenste momenten beschikbaar zijn;
- integriteit, de informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en volledige informatie opslaan en verwerken;
- vertrouwelijkheid, de informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd is.
Grondslagen[bewerken]
Deze laag bevat alle wet- en regelgeving die van toepassing kan zijn op onze vraagstukken en projecten. Voor het thema Informatieveiligheid is dit ook verder uitgewerkt in beleidskaders en principes die daaruit zijn af te leiden. Daarnaast geven we een overzicht van de samenhang van de motivatie (waarom en waarvoor) voor informatieveiligheid.
Beleidskaders Informatieveiligheid[bewerken]
De beleidskaders voor het thema Informatieveiligheid zijn gebaseerd op bestaand overheidsbeleid (nationaal en Europees) en op de instrumenten die in het kader van dat beleid zijn ontwikkeld, zoals wetten, regels, kamerstukken en bestuursakkoorden. Hieronder zijn de relevante beleidskaders voor dit thema gevisualiseerd.
Principes Informatieveiligheid[bewerken]
De beleidskaders zijn bepalend voor de richtinggevende principes die de waterschappen hanteren om beveiligingsdoelstellingen te realiseren. Hieronder zijn de principes die van toepassing zijn voor dit thema gevisualiseerd.