Baseline Informatiebeveiliging Rijksdienst (BIR) & NEN-ISO/IEC 27001 en 27002

De Baseline informatiebeveiliging Rijksdienst (BIR) 2012 biedt 1 normenkader voor de beveiliging van de informatiehuishouding van de Rijksoverheid. Hierdoor is het mogelijk om veilig samen te werken en onderling gegevens uit te wisselen.

Waar zorgt de BIR:2012 voor?

De BIR:2012 zorgt voor 1 heldere set afspraken. De uitwisseling van gegevens binnen de Rijksoverheid vindt zo op het juiste beveiligingsniveau plaats. Denk hierbij aan:

  • vertrouwelijkheid;
  • integriteit;
  • beschikbaarheid.

Formele basis en verplichting BIR:2012

De voor de overheid verplichte standaarden ISO27001/ISO27002 met aanvullingen zijn opgenomen in de BIR. De BIR TNK is voor de Rijksoverheid verplicht (pas toe of leg uit). De BIR:2012 TNK is tevens de rijksimplementatie van de informatiebeveiliging standaarden NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002. Deze staan op de lijsten met open standaarden van het College Standaardisatie. Daarom is de BIR:2012 TNK ook opgenomen in het Rijksregister I-standaarden.

Praktische uitvoering BIR:2012

Beheerders van communicatie- en informatiesystemen leggen jaarlijks verantwoording af over de informatiebeveiliging van en binnen het systeem. Om de BIR te kunnen uitvoeren zijn er verschillende handreikingen.

  • Sinds december 2013 is er de op het Tactisch Normenkader (TNK) afgestemde Operationele Handreiking Informatiebeveiliging. Deze handreiking bevat een operationalisering van maatregelen die in de BIR TNK worden genoemd. De handreiking is een levend document. Aanpassing en onderhoud is tegelijk met de BIR.
  • Naast de operationele handreiking zijn er ook nog een QuickScan BIR en een 'comply or explain'-procedure. De BIR Quick Scan is een instrument om te bepalen of de risico’s voor een proces met ondersteunende systemen voldoende door de BIR worden afgedekt. De BIR 'comply or explain'-procedure omvat zowel een explain-procedure voor de ministeries (specifieke voorzieningen) als een explain-procedure voor Shared Service Organisaties (generieke of gemeenschappelijke voorzieningen).

Privacy Impact Assessment (PIA)

Sinds 1 september 2013 moet binnen de Rijksdienst standaard een Privacy Impact Assessment (PIA) uitgevoerd worden. Dit is verplicht bij de ontwikkeling van nieuwe wetgeving en van nieuw beleid waarbij nieuwe ICT-systemen of grote databestanden worden gemaakt. Het instrument (vragenlijst en gebruiksinstructies) dat daarvoor is ontwikkeld is opgenomen in het Integraal Afwegingskader voor Beleid en Wetgeving en het Handboek Portfolio management. PIA is een hulpmiddel om privacyrisico’s op gestructureerde en heldere wijze in kaart te brengen.

Contact

De Dienst Publiek en Communicatie/Online Advies/Team Kwaliteit & Innovatie onderhoudt de informatie in dit onderwerp. Neem voor vragen, aanvullingen en/of verbeteringen contact op met kwaliteit@minaz.nl.

Zie ook