Forum Standaardisatie. Expertadvies adoptie NEN-ISO 27001/27002 (informatiebeveiliging) 17 oktober 2013

Forum Standaardisatie Expertadvies adoptie NEN-ISO 27001/27002 (informatiebeveiliging) 17 oktober 2013

Colofon Projectnaam Expertadvies adoptie ISO 27001/27002 Versienummer 1.0 Locatie Organisatie Forum Standaardisatie Postbus 96810 2509 JE Den Haag forumstandaardisatie@logius.nl Auteurs Marcel Spruit Michael van Bekkum Pagina 2 van 26

Inhoud Colofon... 2 Inhoud... 3 Managementsamenvatting... 4 1 Doelstelling expertadvies... 6 1.1 Achtergrond... 6 1.2 Proces... 6 1.3 Vervolg... 7 1.4 Samenstelling expertgroep... 7 1.5 Toelichting NEN-ISO 27001/27002... 8 1.6 Relatie met andere standaarden... 8 1.7 Leeswijzer... 11 2 Stakeholderanalyse... 12 2.1 Standaardisatieorganisaties... 12 2.2 Softwareleveranciers... 13 2.3 Belanghebbenden... 13 2.4 Gebruikers... 14 2.5 Coördinerende organisaties... 15 2.6 Certificerende - en controlerende organisaties... 16 2.7 Conclusie... 16 3 Analyse van de adoptie van de standaard... 17 3.1 Bekendheid van de standaard... 17 3.2 Kennisdimensie... 18 3.3 Technische dimensie... 19 3.4 Financiële dimensie... 20 3.5 Organisatorische dimensie... 21 3.6 Maatschappelijke ontwikkelingen... 22 3.7 Internationale ontwikkelingen... 22 4 Bevindingen en maatregelen... 23 4.1 Bevindingen... 23 4.2 Maatregelen... 24 5 Referenties... 26 Pagina 3 van 26

Managementsamenvatting Waar gaat het inhoudelijk over? NEN-ISO/IEC 27001:2005 specificeert de vereisten voor een managementsysteem voor informatiebeveiliging (Information Security Management System, of ISMS), d.w.z. voor de implementatie van beveiligingsmaatregelen in (delen van) een organisatie. NEN-ISO/IEC 27002:2005 biedt richtlijnen en algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in een organisatie. NEN-ISO 27002 is een code of practice, dat wil zeggen een adviserend document voor een brede doelgroep, waar organisaties naar eigen inzicht richtlijnen uit kunnen selecteren. Hoe is het proces verlopen? Op 12 september is een expertgroep met vertegenwoordigers uit overheid en kennisinstellingen bijeen gekomen. Vooraf zijn aanwezige experts en enkele anderen die niet aanwezig konden zijn, in de gelegenheid gesteld input aan te leveren. Op basis van deze input en de discussie tijdens de bijeenkomst is dit adviesrapport opgesteld. Wat is de status van adoptie? Het is niet duidelijk in welke mate de standaarden geadopteerd zijn door de overheid. Slechts van enkele organisaties is bekend dat zij aantoonbaar voldoen aan deze standaarden (zoals RDW en eherkenning). De bekendheid van de standaarden binnen de overheid lijkt de laatste tijd gegroeid. Dit komt door de toegenomen aandacht voor informatiebeveiliging in het algemeen. Daarnaast heeft de ontwikkeling van de sectorale Baselines Informatiebeveiliging, die zijn gebaseerd op ISO27001/27002, de bekendheid vergroot. De standaarden zijn processtandaarden en hebben in de praktijk vooral organisatorische impact. Invoering van de standaarden vraagt daarbij geen specifieke technische voorzieningen. In de praktijk ligt de verantwoordelijkheid voor adoptie van de standaarden in de organisatie bij het hoger lijnmanagement, terwijl organisatieonderdelen die verantwoordelijk zijn voor informatiebeveiliging verantwoordelijk zijn voor acceptatie en inbedding. Wat zijn de belangrijkste drempels bij adoptie? - Het delen van kennis en overleg op nationaal niveau, beschikbaarheid van hulpmiddelen voor implementatie. - De ISO standaarden en de Baselines Informatiebeveiliging bespreken richtlijnen voor wat er moet gebeuren ( wat ), maar deze zijn vaak onvoldoende specifiek en niet opgezet voor ontwerp van processen of IT-voorzieningen voor informatiebeveiliging. Bij de gebruikers is er onvoldoende gemeenschappelijke overeenstemming en invulling voor de manier waarop implementatie vervolgens plaats moet vinden ( hoe ). - Niet iedere (semi-)publieke sector heeft een Baseline Informatiebeveiliging en ook zijn er niet altijd afspraken over de toepassing ervan. Pagina 4 van 26

- De bekendheid met en kennis van de Baselines is bij de leveranciers en auditors beperkt. - Inbedding en afstemming over nieuwe ontwikkeling van de standaarden (versie ISO/IEC standaarden 2013). Er is onvoldoende convergentie tussen de verschillende Baselines Informatiebeveiliging (BIR/BIG/IBI/BIWa) richting een overkoepelende Baseline Informatiebeveiliging Overheid. - Door de auteursrechtenkwestie wordt de BIR niet vrijelijk beschikbaar gemaakt: deze wordt alleen verspreid binnen het Rijk en bij aanbestedingen aan leveranciers beschikbaar gesteld. Voor de BIR is deze verplichting voor de Rijksoverheid collectief afgekocht. Voor de overige Baselines is dit nog niet gebeurd. Hierdoor zijn de Baselines nog niet vrij vindbaar/toepasbaar voor leveranciers die diensten leveren aan overheden. - Er bestaat ervaring in het buitenland en internationale (kennis)ondersteuning op het gebied van de standaarden, maar die wordt momenteel beperkt benut. Welke adviezen zijn er ten aanzien van de adoptie van de standaard? 1. Beschikbaar maken van kennis en implementatiehulpmiddelen, ook buiten de eigen overheidssector; 2. Vergroten van betrokkenheid van marktpartijen en auditors bij de ontwikkeling van de diverse Baselines; 3. Openbare online publicatie van Baselines en overleg met NEN over auteursrechtenkwestie; 4. Ervoor zorgen dat iedere (semi-)publieke sector een Baseline Informatiebeveiliging heeft en dat er afspraken zijn gemaakt over de toepassing; 5. Haalbaarheid onderzoeken van harmonisatie van de verschillende Baselines (richting BIO ) en impact van de nieuwe versies van de NEN-ISO 27001/27002 nagaan. Pagina 5 van 26

1 Doelstelling expertadvies 1.1 Achtergrond Het kabinet stelt open standaarden als norm. Dat komt terug in actieplan Nederland Open in Verbinding en is herbevestigd in de Digitale Agenda.nl en in i-nup [1, 2, 3].. Het doel is om de informatievoorziening toegankelijker te maken, onafhankelijkheid van ICT-leveranciers te vergroten en de weg vrij te maken voor innovatie. Eén van de stimuleringsmaatregelen is het opstellen van een lijst met standaarden, die vallen onder het principe "pas toe of leg uit" (comply-orexplain) [4]. Het College Standaardisatie, dat in 2006 door het kabinet is ingesteld, spreekt zich uit over de standaarden die op de lijst zullen worden opgenomen, o.a. op basis van een expertbeoordeling van de standaard [5]. Het College Standaardisatie wordt geadviseerd door het Forum Standaardisatie. Bureau Forum Standaardisatie ondersteunt beide instellingen. Dit expertadvies betreft de adoptie van de standaarden NEN-ISO/IEC 27001:2005 nl en NEN-ISO/IEC 27002:2005 nl, hierna af te korten tot NEN-ISO 27001 en NEN-ISO 27002. Deze standaarden zijn sinds medio 2008 opgenomen op de lijst met open standaarden voor pas toe of leg uit. Een tiental experts is verzameld in een expertgroep, die de adoptie van de standaard heeft geanalyseerd. De opdracht aan de expertgroep was de status van de adoptie van deze standaarden in beeld te brengen en om te adviseren over maatregelen die mogelijke adoptiedrempels kunnen wegnemen. Dit is gebeurd aan de hand van een aantal thema s. Deze thema s vooraf vastgesteld door het College Standaardisatie [6] en uitgewerkt in de vorm van concrete vragen - worden in het hier voorliggende expertadvies behandeld. 1.2 Proces Voor het opstellen van dit advies is de volgende procedure doorlopen: - Door het Forum Standaardisatie is geconstateerd dat de standaarden een goede kandidaat zijn voor het houden van een adoptie-evaluatie sessie, gezien de toegenomen aandacht voor informatiebeveiliging, gezien de prominente plaats van de standaarden in de discussie over dit onderwerp en gezien het feit dat de standaarden enige jaren op de pas toe of leg uit -lijst staan. 1. - Op basis hiervan heeft het Forum Standaardisatie besloten tot het instellen van een expertgroep en een procesbegeleider en een voorzitter aangesteld. - De expertgroep is begonnen met het individueel scoren van de standaarden NEN-ISO 27001/27002 aan de hand van een spreadsheet met vragen in het voorbereidingsdossier. Op basis van de verkregen 1 Notitie Forum Standaardisatie met kenmerk FS 44-05-04A, d.d. 18 juni 2013, https://www.forumstandaardisatie.nl/fileadmin/os/vergaderstukken/fs_44-06- 04A_Notitie_besluitpunten_open_standaarden.pdf Pagina 6 van 26

antwoorden hebben voorzitter en procesbegeleider de verschillende knelpunten geïdentificeerd. - Vervolgens is de expertgroep op 12 september 2013 bijeengekomen om de bevindingen in het algemeen en de geïdentificeerde knelpunten in het bijzonder te bespreken. Tijdens deze bijeenkomst zijn ook maatregelen ter bevordering van adoptie voorgesteld. De uitkomsten van de expertgroep zijn door de voorzitter en procesbegeleider verwerkt in dit adviesrapport. Een eerste conceptversie is aan de leden van de expertgroep gestuurd met verzoek om reactie. Na verwerking van de reacties is het rapport afgerond, nogmaals toegestuurd aan de experts en overhandigd aan het Forum Standaardisatie. 1.3 Vervolg Het Forum Standaardisatie zal op basis van het expertadvies een advies aan het College Standaardisatie opstellen. Het College Standaardisatie bepaalt uiteindelijk op basis van het advies van het Forum welke acties men selecteert ter bevordering van adoptie van de standaarden NEN-ISO 27001/27002en welke actiehouders men daarvoor wil benaderen. 1.4 Samenstelling expertgroep Voor de expertgroep zijn personen uitgenodigd die vanuit hun persoonlijke expertise of werkzaamheden bij een bepaalde organisatie direct of indirect betrokken zijn bij adoptie van de standaard. Het Forum streeft naar een zo representatief mogelijke expertgroep, met een evenwichtige mix van eindgebruikers, ICT-leveranciers, wetenschappers, adviseurs en vertegenwoordigers van de standaardisatieorganisatie. Met name experts die inzicht hebben in de functionele impact zijn uitgenodigd. Daarnaast is een onafhankelijke voorzitter aangesteld om de expertgroep te leiden en als verantwoordelijke op te treden voor het uiteindelijke expertadvies. Als voorzitter is opgetreden dhr. Marcel Spruit van PBLQ. Hij is adviseur en auditor op het gebied van informatiemanagement en -beveiliging. Daarnaast is hij lector Cyber Security & Safety aan de Haagse Hogeschool en doceert hij aan de Erasmus Universiteit Rotterdam en de Universiteit van Amsterdam. De expertgroep is in opdracht van het Forum Standaardisatie begeleid door dhr. Michael van Bekkum, adviseur standaarden en interoperabiliteit bij TNO. Aan de expertgroep hebben deelgenomen: - Jan Mendrik (Min. BZK, DGOBR) - Peter van der Enden (Logius / eherkenning) - Peter Oost (Erasmus Universiteit) - Leo Geubbels (DGOBR, Min. BZK) - Frank Ossewaarde (Min. SZW) - Olivier Tielen (Min. Fin. / Auditdienst Rijk) - Jaap van der Veen (Min. Fin. / Belastingdienst, CIO Office) - Dick Groeneveld (Min. Jus.) - Anneke Spijker (Provincie Flevoland) - Kees Hintzbergen (KING) - Tonny van der Togt (TGBI, Min. BZK) Pagina 7 van 26

Als toehoorder voor aanvullende toelichting waren aanwezig: - Dhr. Lancelot Schellevis (Bureau Forum Standaardisatie) - Jan Rietveld (NEN) Daarnaast is een aantal mensen benaderd voor een bijdrage en voor review: John van Huijgevoort (NCSC) Gert Maneschijn (RDW) Jan Breeman (BKWI) 1.5 Toelichting NEN-ISO 27001/27002 NEN-ISO/IEC 27001:2005 specificeert de vereisten voor een managementsysteem voor informatiebeveiliging (Information Security Management System, of ISMS). Hierin wordt een model geboden voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van dit managementsysteem, in het kader van de algemene bedrijfsrisico's voor de organisatie. De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. NEN-ISO/IEC 27002:2005 biedt richtlijnen en algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in een organisatie. NEN-ISO 27002 is een code of practice, dat wil zeggen een adviserend document en geen formele specificatie zoals NEN-ISO 27001. Het biedt een gestructureerde set met beveiligingsmaatregelen ( controls ) om informatiebeveiligingsrisico s aan te pakken met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening. NEN-ISO 27001 maakt gebruik van NEN-ISO 27002 om passende informatiebeveiligingsmaatregelen aan te wijzen binnen een ISMS. NEN- ISO 27001 bevat in Annex A een samenvatting van NEN-ISO 27002 waarin de controls uit NEN-ISO 27002 benoemd zijn. NEN-ISO 27001/27002 zijn een vertaling van de internationale ISO/IEC 27001/27002. Ze bieden eenzelfde model voor een ISMS in het Nederlands met bijbehorende vertaling van de gebruikte termen. 1.6 Relatie met andere standaarden Gangbare standaarden of standaarden voor pas toe of leg uit Er bestaan geen directe relaties tussen NEN-ISO 27001 en NEN-ISO 27002 enerzijds en andere standaarden op de lijst van gangbare standaarden en/of standaarden die voorkomen op de lijst voor pas toe of leg uit anderzijds. ISO standaarden NEN-ISO 27001 en NEN-ISO 27002 kennen de volgende relaties met andere ISO-standaarden: Pagina 8 van 26

- NEN-ISO 27001 en NEN-ISO 27002 zijn onderdeel van de Management System Standards van ISO 2. De standaarden uit deze groep kunnen worden toegepast binnen elke organisatie, ongeacht het product of de dienst die de organisatie voortbrengt. Voorbeelden van andere standaarden in deze groep zijn de ISO9000 en de ISO14000 families van standaarden. - De NEN-ISO 27001/27002:2005 kennen dezelfde inhoud als de internationale versies ISO/IEC 27001/27002:2005, maar zijn Nederlandse vertalingen van beide laatste standaarden. Ze bevatten geen aanvullingen op de internationale versies en bieden geen invulling van keuzemogelijkheden. Er zijn twee versies van de standaarden NEN-ISO 27001/27002 die in de context van dit rapport vermeldenswaard zijn: - De 2005 versies: NEN-ISO 27001/27002: 2005 zijn de huidige versies die op lijst voor pas toe of leg uit zijn opgenomen. Deze versies zijn gebaseerd op ISO/IEC 27001/27002:2005 en zijn onderwerp van dit rapport. Waar de verkorte notatie NEN-ISO 2700x wordt gebruikt, wordt deze versie bedoeld. - De 2013 versies: De internationale versies ISO/IEC 27001/27002:2013 zijn momenteel in de publicatiefase en worden naar verwachting in oktober gepubliceerd 3. De Nederlandse NEN-ISO 27001/27002:2013 versies zullen daarop volgen. De publicatie van deze standaarden heeft nog geen gevolg voor de huidige procedure. Tezijnertijd zullen relevante stakeholders in samenspraak met het Forum wel na moeten gaan of en wanneer deze nieuwe versie in procedure moet worden genomen voor opname op de lijst voor pas toe of leg uit. Dit zal onder meer afhangen van de acceptatie en adoptie van deze versie in beleid voor informatiebeveiliging. Beide versies kunnen niet door elkaar gebruikt worden, i.v.m. gewijzigde indeling/opzet/structuur (o.a. nummering van uitgangspunten/ maatregelen). Een schematisch overzicht van de relaties tussen beide versies van ISO/IEC 27001 is hieronder weergegeven en is ook te vinden op deze website 4. 2 http://www.iso.org/iso/home/standards/management-standards.htm 3 http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm? csnumber=54534 4 http://www.bsigroup.com/documents/iso-27001/resources/bsi-iso27001- mapping-guide-uk-en.pdf#! Pagina 9 van 26

Figuur 1 Relatie ISO/IEC 27001:2005 en ISO/IEC 27001:2013 5 Baselines Informatiebeveiliging overheden Er zijn relaties tussen de beide standaarden en de baselines voor informatiebeveiliging van diverse overheden: - Baseline Informatiebeveiliging Rijksdienst (BIR): de BIR is geheel gestructureerd volgens NEN-ISO 27001:2005, bijlage A en NEN-ISO 27002:2005. De BIR beschrijft de invulling van NEN-ISO 27001/27002 voor de rijksoverheid aan de hand van specifieke rijksnormen. De BIR:2012 bestaat uit een tactisch normenkader (TNK) en een operationele baseline (OB). Het tactische normenkader is verplicht (comply or explain). - Interprovinciale Baseline Informatiebeveiliging (IBI): de inhoud van de IBI is gebaseerd op NEN-ISO/IEC 27001/27002 en is aangepast voor gebruik door de provincies. - De integrale Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) bestaat uit twee delen, een strategische baseline en een tactische baseline 6. De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van dezelfde indeling als de internationale beveiligingsnorm NEN-ISO 27002:2005, de controls/maatregelen die als baseline gelden voor de gemeenten. - Baseline Informatiebeveiliging Waterschappen (BIWa): Deze baseline is op haar beurt vervaardigd op basis van de BIG en de BIR. De Baselines Informatiebeveiliging zijn gebaseerd op de beveiligingsmaatregelen ( controls ) van NEN-ISO 27002, c.q. Appendix A van NEN-ISO 27001, en kennen een verwijzing naar het proceskader in NEN-ISO 27001. De aanvullingen op de NEN-ISO standaarden in de 5 http://www.gammassl.co.uk/27001/revision.php 6 https://new.kinggemeenten.nl/sites/default/files/document/gr_1891/tactische- Baseline-Informatiebeveiliging-Nederlandse-Gemeenten-mei-2013-versie1.0- IBD.pdf Pagina 10 van 26

Baselines betreffen sectorspecifieke eisen, d.w.z. eisen voor het overheidsonderdeel waar de Baseline betrekking op heeft. Bij het opstellen van de verschillende baselines is het uitgangspunt geweest dat door het voldoen aan de baseline ook wordt voldaan aan de onderliggende standaarden ISO27001/2. 1.7 Leeswijzer In hoofdstuk 2 wordt een stakeholderanalyse uitgevoerd voor de standaarden en wordt nagegaan welke organisaties betrokken zijn bij gebruik en adoptie van de standaarden en hoe ze betrokken zijn. Om relevante adoptiemaatregelen vast te kunnen stellen, wordt de status van de adoptie voor de standaarden vastgesteld aan de hand van een aantal thema s. In hoofdstuk 3 staat het resultaat van deze analyse. Hoofdstuk 4 bevat een overzicht van de belangrijkste drempels voor adoptie zoals door de expertgroep vastgesteld op basis van de analyse worden maatregelen geadviseerd om deze drempels te verminderen of weg te nemen. Hoofdstuk 5 bevat het advies van de expertgroep aan het Forum Standaardisatie. Pagina 11 van 26

2 Stakeholderanalyse De stakeholders die betrokken zijn bij de open standaard kunnen worden opgedeeld in zes groepen: - Standaardisatieorganisaties - Softwareleveranciers - Belanghebbenden - Gebruikers - Coördinerende organisaties - Certificerende - en controlerende organisaties De zes gebruikte stakeholdersgroepen dienen om de belangrijkste stakeholders in kaart te brengen en hun relevantie of belang bij de standaarden te identificeren. 2.1 Standaardisatieorganisaties Onder de standaardisatieorganisaties vallen niet alleen de standaardisatieorganisaties zelf maar ook alle partijen die actief betrokken zijn bij het beheer, de promotie, of betrokken zijn in de community rondom de open standaard. Voor de standaarden NEN-ISO 27001/27002 geldt de NEN als standaardisatieorganisatie in Nederland. Meer specifiek wordt de norm onderhouden en ontwikkeld door de normcommissie ITbeveiligingstechnieken 7. In internationaal verband worden de standaarden ISO/IEC 27001/27002 onderhouden door standaardisatieorganisatie ISO in ISO/IEC JTC 1/SC 27 IT Security techniques 8. Voor elk van de Baselines Informatiebeveiliging is een specifieke koepelorganisatie verantwoordelijk voor ontwikkeling, onderhoud en beheer van de richtlijnen: - BIR: het eigenaarschap van de Baseline is belegd bij Directoraat Generaal Organisatie en Bedrijfsvoering Rijk (DGOBR, onderdeel van min. BZK) 9 ), directie DIR. - BIG: voor de BIG is dit de Informatiebeveiligingsdienst voor gemeenten (IBD), een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) 10. KING heeft een community opgezet, waar ervaringen en kennis worden gedeeld op het gebied van informatiebeveiliging in het algemeen en de Baseline in het bijzonder. - IBI: voor de IBI is dit het Interprovinciaal Overleg (IPO), binnen het programma e-overheid 11. - BIWa: voor de BIWa is dit de Unie van Waterschappen (UvW). 7 http://www.nen.nl/normontwikkeling/normcommissie/ ITbeveiligingstechnieken.htm 8 http://www.iso.org/iso/iso_technical_committee?commid=45306 9 http://www.rijksoverheid.nl/ministeries/bzk/organisatie/organogram/directoraatgeneraal-organisatie-en-bedrijfsvoering-rijk 10 https://new.kinggemeenten.nl/informatiebeveiliging 11 http://ipo.nl/kwaliteit-openbaar-bestuur/e-dienstverlening Pagina 12 van 26

Deze partijen gelden voor de desbetreffende overheden ook als aanjager voor inzet en gebruik van de richtlijnen. Voor de uitvoeringsorganisaties geldt dat er nog geen gemeenschappelijke Baseline/richtlijn is opgesteld. Deze organisaties zijn vertegenwoordigd in o.a. de Manifestgroep. Binnen de Manifestgroep is er nog geen orgaan opgezet dat de standaardisatie coördineert. 2.2 Softwareleveranciers De beide standaarden zijn proces- en organisatiestandaarden: dat wil zeggen dat de standaarden geen onderdeel zijn van een geleverd (software)product of dienst, maar toegepast kunnen zijn in de leveranciersorganisatie. Het gebruik van de standaarden in de leveranciersorganisaties kan dus veranderen, zonder dat dit in aanpassing van product of dienst hoeft terug te komen. Leveranciers kunnen in de praktijk in twee groepen worden ingedeeld: - Leveranciers die bij vraag door een klant de standaarden toepassen, dus tot adoptie overgaan ten behoeve van een externe vraag. Dit is het geval bij diensten-/productlevering ten behoeve van eherkenning. Adoptie vindt plaats bij o.a. aanbieders voor eherkenning, omdat dit vanuit de opdrachtgever (programma eherkenning) wordt geëist. Aanbieders gebruiken deze standaard op basis van vraagstelling vanuit het programma eherkenning. Een deel van de markt is daarbij niet gecertificeerd, een deel wel. De expertgroep constateert dat de NEN-ISO 27001/27002 niet bij alle leveranciers in dezelfde mate geadopteerd zijn. - Leveranciers die tot adoptie overgaan, zonder specifieke vraag vanuit een opdrachtgever. Voor de NEN-ISO 27001/27002 standaarden blijkt dit naar ervaring van experts nauwelijks voor te komen. Diverse softwareleveranciers zijn actief in de beheerorganisatie van de NEN-ISO standaarden. Er zijn geen softwareleveranciers actief in koepelorganisaties voor de Baselines. 2.3 Belanghebbenden Belanghebbenden zijn de actoren die baat hebben bij de adoptie van een open standaard: burgers en bedrijven die communiceren met de overheid. Deze burgers en bedrijven kunnen individueel benoemd worden maar zijn over het algemeen verenigd in belangenorganisaties. Belanghebbende burgers en bedrijven hebben baat bij adoptie van de standaarden, omdat deze de informatie uitwisseling met de overheid veiliger en betrouwbaarder maken. De standaarden zijn echter standaarden voor de overheid (middels het pas toe of leg uit regime) en dienen de informatiebeveiliging en procesinrichting binnen de diverse overheidsorganisaties. De standaarden worden wel, in een aantal gevallen, gevraagd aan belanghebbende bedrijven die op overheidsbestedingen aanleveren (via audits/certificaten). Voor burgers en/of bedrijven is doorgaans echter niet Pagina 13 van 26

zichtbaar dat overheden deze standaarden toepassen en zijn ze dientenvolge niet in staat om op adoptie te sturen. 2.4 Gebruikers Gebruikers zijn de partijen die de open standaard geïmplementeerd hebben of geïmplementeerd zouden moeten hebben. Dat zijn alle partijen in het organisatorisch werkgebied. Gebruikers kunnen onderverdeeld worden in gebruikers uit het Rijk, de provincie, de gemeenten, de uitvoeringsorganisaties en de waterschappen. Koepelorganisaties waar groepen gebruikers in vertegenwoordigt zijn, zijn ook relevant voor deze stakeholdersgroep. Vanuit het pas toe of leg uit principe zijn de overheden conform het organisatorisch werkingsgebied de beoogde gebruikers. Voor elk van de Baselines Informatiebeveiliging zijn de desbetreffende groep overheden de beoogde gebruikers. De respectievelijke sectorcoördinatoren, die beheer en ontwikkeling van de Baselines verzorgen, gelden als belangrijkste vertegenwoordigers van de gebruikers. Ze zijn ook het overlegorgaan waar afstemming over mate van gebruik plaatsvindt. Adoptie van de standaarden heeft hier al wel plaatsgevonden. Uit inventarisatie blijkt dat adoptie bij de beoogde gebruikspartijen divers is: - De Interdepartementale Commissie van CIO s (ICCIO) is in september 2010 akkoord gegaan met de BIR. De BIR bestaat uit een tactisch normenkader (TNK) en een operationele baseline (OB). Het tactische normenkader is verplicht (comply or explain). De operationele baseline is niet verplicht, het is een best practice. De patronen uit de OB voldoen aan het TNK maar het toepassen van een patroon uit de operationele baseline ontslaat de organisatie niet van de verplichting om aan te tonen dat zij voldoet aan het gehele TNK. Partijen op Rijksniveau passen de BIR dan ook in meer of minder gevorderde mate toe of maken gebruik van de bovenliggende NEN-ISO standaarden. - In PETRA wordt gesteld dat provincies zich dienen te conformeren aan gebruik van de Code voor Informatiebeveiliging (IBI) 12. Voor de provincies geldt ten aanzien van de IBI in de praktijk echter een grotere mate van vrijheid in gebruik, zonder specifiek voorschrift. Voor de gemeenten is er over de BIG afstemming en aansporing vanuit de VNG/KING. Op uitvoeringsniveau zitten gemeenten nog in het proces om de BIG te implementeren. Tijdens de buitengewone algemene leden vergadering van VNG zal aan de leden een resolutie worden voorgelegd, waarbij: 1. de baseline als standaard voor alle gemeenten gaat gelden en 2. Er een mechanisme in gang wordt gezet waarmee de governance op de baseline gecontroleerd gaat worden middels onder andere controle momenten en bestuurlijke verantwoording (control statement en rapportage in het jaarverslag). Bij instemming zullen alle gemeenten de BIG gaan implementeren. - Voor de waterschappen geldt met betrekking tot de BIWa een gebruiksafspraak middels een herenakkoord. Verdere aanwijzing en afstemming over gebruik zitten nog in proces van beslissing. 12 http://www.wikixl.nl/wiki/petra/index.php/conformering_aan_code_voor_infor matiebeveiliging Pagina 14 van 26

- Voor de uitvoeringsorganisaties vindt op dit moment nog verdere afstemming over gemeenschappelijk gebruik en inzet van de inhoud van de BIR plaats binnen de Manifestgroep, met name in relatie tot het beveiligingskatern van de NORA 13. Bij uitvoeringsorganisaties is dan ook sprake van toepassing op individuele basis. In 2010 is het ICT-bedrijf van RDW al wel gecertificeerd conform ISO 27001. Deze certificering is in 2012 uitgebreid tot alle afdelingen van de RDW. De universiteiten baseren hun beveiligingsbeleid eveneens op de ISO standaarden. Het informatiebeveiligingsbeleid bij de universiteiten is gebaseerd op het Model Informatiebeveiligingsbeleid van het Hoger Onderwijs, een gezamenlijk product van CIO Beraad en SURFibo 14. Sectoren die eveneens onder het PtoLU beleid vallen, zoals zorg en onderwijs, kennen een eigen invulling voor gebruik van de standaarden. De zorgsector baseert zich daarbij op de standaarden NEN 7510, die gebaseerd is op NEN-ISO 27001/27002. Het besef over de noodzaak voor toepassing en inrichting van informatiebeveiliging is bij de meeste overheidsorganisaties aanwezig. Met name rond persoonsgegevens en (bedrijfs)gevoelige informatie is er verhoogde awareness. De standaarden bieden daarbij volgens de expertgroep een probaat hulpmiddel en bieden een structurele aanpak tegenover ad hoc oplossingen voor informatiebeveiliging. 2.5 Coördinerende organisaties Coördinerende organisaties verzorgen afstemming en bevorderen samenwerking tussen gebruikersgroepen en/of andere belanghebbenden. Op 13 februari 2013 is de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) ingesteld. De Taskforce is ingericht voor een periode van twee jaar. De Taskforce is met name gericht op bestuurders en het topmanagement van de individuele overheidslagen; waterschappen, provincies, gemeenten, zelfstandige bestuursorganen en rijksoverheid en op de samenwerking daartussen. De Taskforce bouwt voort op de huidige initiatieven op informatieveiligheidsvlak van elk van de overheidslagen vanuit een intensieve samenwerking met de koepelorganisaties. Betrokken (koepel)organisaties zijn de Unie van Waterschappen, het IPO, de VNG, de Manifestgroep, en de Interdepartementale Commissie Chief Information Officers. Bovendien wordt nauw samengewerkt met betrokken organisaties op informatieveiligheidsvlak, zoals het Nationaal Cyber Security Centrum (NCSC), het Centrum Informatiebeveiliging en Privacybescherming (CIP), de Informatiebeveiligingsdienst voor gemeenten (IBD), het Waterschapshuis en Logius, het Agentschap van het Ministerie van BZK. Het Nationaal Cyber Security Centrum (NCSC) draagt met de expertise bij aan de invulling van de Baselines bij de diverse overheden. 13 http://www.noraonline.nl/wiki/katern_beveiliging 14 http://www.surf.nl/nl/publicaties/documents/model%20informatiebeveiligingsbel eid%20final%20(2).pdf Pagina 15 van 26

2.6 Certificerende - en controlerende organisaties Certificerende - en controlerende organisatiesactoren zijn actoren die vaststellen dat de gebruiker aan de richtlijn voldoet. De Auditdienst Rijk (ADR 15 ) is de interne auditdienst van de Rijksoverheid. De ADR maakt onderdeel uit van het ministerie van Financiën. De ADR kan op verzoek van een ministerie audits uitvoeren, waaronder audits naar beleidsvorming en -uitvoering, beheer- of bedrijfsvoering op het gebied van informatiebeveiliging. Deze audits zijn doorgaans gericht op betrouwbaarheid, doeltreffendheid en doelmatigheid van de departementale processen en technische infrastructuren. 2.7 Conclusie De respectievelijke sectorcoördinatoren, die beheer en ontwikkeling van de Baselines verzorgen, gelden als de belangrijkste stakeholders voor implementatie van de ISO standaarden in de diverse overheidslagen. Daarnaast spelen de coördinerende organisaties als Taskforce BID en NCSC een belangrijke rol om tussen overheidssectoren onderling afstemming te bewerkstelligen. 15 http://www.rijksoverheid.nl/onderwerpen/rijksoverheid/bedrijfsvoering-van-hetrijk/auditbeleid/auditdiensten Pagina 16 van 26

3 Analyse van de adoptie van de standaard In dit deel zal dieper worden ingegaan op de adoptie van de open standaard zelf. Dit zal aan de hand van vragen op vijf dimensies 16 beoordeeld worden. Daarnaast zullen er ook nog vragen gesteld worden die betrekking hebben op maatschappelijke en internationale ontwikkelingen die van invloed zouden kunnen zijn op de adoptie van deze open standaard. Deze zullen in paragraaf 3.8 en 3.9 aan bod komen. Aan de hand van de uitkomsten van al deze vragen kunnen de drempels en kansen geïdentificeerd worden. De volgende vijf dimensies worden gehanteerd: 1) Bekendheid van de standaard - de mate waarin de standaard bekendheid geniet 2) Kennisdimensie de aanwezigheid van kennis van de standaard 3) Technische dimensie - de technische implicaties bij adoptie van de open standaard 4) Financiële dimensie - financiële voorzieningen die adoptie belemmeren of bevorderen 5) Organisatorische dimensie - organisatorische/bedrijfsprocesmatige veranderingen 3.1 Bekendheid van de standaard De bekendheid van de standaarden is naar mening van de expertgroep aanzienlijk. Deze bekendheid betreft soms de ISO standaard zelf, in andere gevallen zijn stakeholders van de standaard meer bekend met de diverse Baselines Informatiebeveiliging, die op de standaarden zijn gebaseerd. Op bestuurlijk niveau worden zowel de ISO standaarden zelf als de Baselines in allerlei overlegorganen besproken als instrumenten in het informatiebeveiligingsbeleid. Er is wel een verschil aan te wijzen tussen bekendheid met het bestaan van de standaarden en bekendheid met de precieze inhoud van de standaarden. Naar mening van de expertgroep is de laatste een stuk lager. Er is ook een aantal coördinerende organisaties die de bekendheid van de standaarden bevorderen. De Taskforce BID werkt intensief samen met de koepelorganisaties binnen de verschillende overheidslagen en bouwt voort op bestaande initiatieven en gremia, o.a. bij het werken aan de Baselines voor informatiebeveiliging 17. Het Nationaal Cyber Security Centrum (NCSC) draagt met de expertise bij aan de invulling van de Baselines bij de diverse overheden. Verschillende beveiligingsincidenten hebben de aandacht en noodzaak voor informatiebeveiliging doen toenemen en het gebruik en de inzet van 16 Deze vijf dimensies zijn deels afgeleid van het onderzoek van Mathieu Paapst, te weten Barrieres & Doorwerking (http://dissertations.ub.rug.nl/faculties/jur/2013/m.h.paapst/) waarin hij onderzoek doet naar het open standaardenbeleid in Nederland en het rapport Een keuze-instrument voor adoptiemiddelen (http://www.novay.nl/okb/publications/een-keuze-instrument-vooradoptiemiddelen/543145) 17 http://www.taskforcebid.nl/faq/activiteiten-van-de-taskforce-bid/ Pagina 17 van 26

hulpmiddelen aangejaagd, waaronder de ISO standaarden. De opname van de ISO-standaarden op de lijst voor pas toe of leg uit heeft de bekendheid ook doen toenemen. De standaarden worden aangeboden via de NEN. De internationale versies van de standaarden worden aangeboden door ISO. De van de standaarden afgeleide Baselines worden beschikbaar gesteld aan de organisaties in de betreffende sector en tevens meegestuurd met aanvragen en aanbestedingen vanuit de diverse overheden. In geval dat de aanvraag uitgaat van de ISO standaarden (de nederlandstalige NEN- ISO of de engelstalige ISO/IEC), wordt verwezen naar de websites van de standaardisatie organisaties NEN en ISO. 3.2 Kennisdimensie Kennisdisseminatie over de standaard vindt met name plaats via de coördinatoren voor de diverse Baselines. De gebruikers die deelnemen in deze overleggremia, verkrijgen via deze weg kennis over de standaarden. Dienstverleners in de markt zijn volgens de expertgroep doorgaans redelijk bekend met de ISO 27001/27002 standaarden. De bekendheid met en kennis van de Baselines is bij deze partijen veel minder. De beperkte beschikbaarheid en beperkte betrokkenheid bij het opstellen van de Baselines in sommige overheidssectoren spelen hierbij een rol. De expertgroep geeft aan dat de standaarden in de fase van vroege adoptie zitten: ze zijn veelal bekend bij de overheden als opdrachtgevers, maar er zijn nog weinig dienstverleners die inzet van de standaarden als eis hebben meegekregen en ze ook daadwerkelijk hebben ingevoerd. De impact van de standaarden op organisatiemanagementniveau is dat de relevantie van de standaarden duidelijk moet zijn. De verantwoordelijke voor informatiebeveiliging moet dan ook kennis hebben van de inhoud van de standaarden. In de uitvoering binnen de organisatie door specialisten moeten de standaarden aanknopingspunten bieden voor selectie van tools om invulling aan de richtlijnen te geven. Deze specialisten moeten dan eveneens kennis over de standaarden bezitten. De expertgroep merkt op dat cursussen dan ook nodig zijn. Diverse marktpartijen bieden dergelijke cursussen aan ter voorbereiding op certificering voor de standaarden. Er zijn geen overheidspartijen die trainingen en/of cursussen aanbieden. Op moment van schrijven zijn de overlegorganen voor de Baselines verder bezig met het inrichten van tooling, met name gericht op self-assessment middels enquêtes. Verder worden voor elke Baseline afzonderlijk best practices en protocollen verspreid voor gebruik van de Baselines. Deze uitwisseling van best practices en tools voor gebruikers moeten ook inzicht en handvatten voor uitvoering in de praktijk bieden. Momenteel is de brede beschikbaarheid van ondersteunende middelen nog beperkt, omdat diverse overheidssectoren deze niet buiten de eigen sector of publiekelijk delen. De huidige Baselines Informatiebeveiliging van de verschillende overheidslagen zijn gebaseerd op de huidige NEN-ISO 27001/27002 Pagina 18 van 26

standaarden (2005 versie). Het opstellen en invoeren van deze Baselines vergde en vergt de nodige afstemming en inspanning. Naar verwachting zal het nog een tijd duren voordat de Baselines afgestemd zullen worden op de nieuwe ISO/IEC 27001/27002 (2013 versie). Sommige organisaties zullen de nieuwe ISO/IEC standaarden al invoeren terwijl andere organisaties nog werken met Baselines gebaseerd op de oude standaarden. De oude en nieuwe standaarden verschillen daarbij niet zozeer qua inhoud als wel qua lay-out. De verschillende nummeringen kunnen dan ook tot verwarring leiden 3.3 Technische dimensie Wat zijn de technische implicaties bij adoptie van de open standaard? De standaarden zijn processtandaarden en hebben vooral organisatorische impact. Invoering van de standaarden vraagt dan ook geen specifieke technische voorzieningen. Invoering en gebruik van de standaard levert ook niet a priori problemen op met bestaande software. Problemen die kunnen voorkomen bij implementatie hebben veeleer te maken met gebrek aan ondersteunende hulpmiddelen en beperkt inzicht en ervaring. Onvoldoende uitwisseling van deze inzichten tussen gebruikersgroepen, kan ervoor zorgen dat verantwoordelijken voor adoptie in de organisatie te weinig inzicht/handvatten hebben om de standaarden goed in te bedden. De expertgroep constateert verder dat de manier waarop richtlijnen ingevuld dienen te worden ('hoe') niet in de standaarden gespecificeerd is en de standaarden dus implementatievrijheid toestaan, waardoor beveiligingsverschillen kunnen ontstaan. Dit geldt zowel voor de eisen in de NEN-ISO standaarden als de Baselines. Dit is geen tekortkoming van de standaard zelf, maar kan wel leiden tot afstemmingproblematiek en gebrek aan harmonisatie tussen de verschillende partijen die zich op dezelfde standaard of baseline baseren. Beheer van de standaard De internationale ISO/IEC 27001/27002 worden onderhouden door ISO. In internationaal verband worden de standaarden ISO/IEC 27001/27002 onderhouden en ontwikkeld door standaardisatieorganisatie ISO in ISO/IEC JTC 1/SC 27 IT Security techniques conform de reguliere procedures van het ISO. Deze procedures garanderen een open besluitvormingsprocedure die voor iedereen toegankelijk is. Het beheer van de NEN-ISO standaarden is formeel belegd bij NEN. Terugkoppeling en beheer en onderhoud vindt plaats in de normcommissie IT-beveiligingstechnieken. De besluitvorming en governance voor de Baselines voor het Rijk is minder toegankelijk. Dit beheer wordt uitgevoerd door aangewezen organen, waarbij de kennisterugstroom naar de gebruikers en inzichtelijkheid in besluitvorming alleen in eigen kring (binnen rijk, binnen gemeentes) voor gebruikers inzichtelijk is. Tijdens de ontwikkeling van de BIG is er gebruik gemaakt van een expertgroep van gemeenten die als reviewer input gegeven hebben aan de ontwikkeling baseline. Voor Pagina 19 van 26

waterschappen en provincies geldt dat besluitvorming via een meer open overlegstructuur plaatsvindt. Tenslotte constateert de expertgroep dat de verschillende Baselines Informatiebeveiliging (BIR/BIG/IBI/BIWa) deels gescheiden ontwikkeltrajecten kennen. Coördinerende organisaties als de Taskforce BID verbinden, maar er is slechts in beperkte mate afstemming tussen de verschillende sectorcoördinatoren: er is nog geen convergentie van de Baselines richting een overkoepelende Baseline Informatiebeveiliging Overheid. Dit kan op den duur leiden tot divergentie in aanpak van de Baselines en/of verschillende ontwikkelsnelheden. Conformiteit van de standaard Voor het testen van conformiteit aan de standaard zijn binnen de diverse overheidslagen best practices en assessment tests beschikbaar binnen een deel van de gebruikersgroepen. Er is geen tooling beschikbaar voor vaststellen van formele conformiteit. Voor certificering zijn vele commerciële marktpartijen beschikbaar, die advies en diensten leveren om conformiteit aan de ISO standaarden te realiseren. 3.4 Financiële dimensie Zijn er financiële voorzieningen die adoptie belemmeren of bevorderen? De aanschaf van de NEN-ISO standaarden brengt eenmalig kosten met zich mee (respectievelijk 173 en 186 euro voor NEN-ISOI 27001 en NEN- ISO 27002). De NEN-ISO standaarden zijn auteursrechtelijk beschermd, waardoor afgeleiden van de standaarden afdracht verplichting hebben. Voor de BIR is deze verplichting voor de Rijksoverheid collectief afgekocht. Voor de overige Baselines is dit nog niet gebeurd. De BIR wordt wel meegeleverd met aanbestedingen, maar is i.v.m. deze auteursrechtelijke bescherming buiten de Rijksoverheid niet vrij beschikbaar voor leveranciers die diensten leveren aan overheden. De afgeleide Baselines Informatiebeveiliging brengen voor de gebruiker nu dus geen kosten met zich mee bij gebruik of aanschaf, maar afgezien van de BIR constateert de expertroep dat er nog enige financiële onzekerheid is. De expertgroep denkt dat er mogelijk een negatieve prikkel van de standaarden uit kan gaan met betrekking tot adoptie door deze afkoop niet te regelen. De kosten voor invoering van de standaarden in de organisatie hangt sterk af van de mate waarin de organisatie inspeelt of al heeft ingespeeld op de achterliggende vraagstukken rondom informatiebeveiliging en deze zaken al op orde heeft. Er zijn geen directe kosten te benoemen voor inzet van software. De kosten voor opleiding zijn ook beperkt. Naast de kosten voor invoering van de standaard zijn er echter ook kosten voor instandhouding/onderhoud/beheer van de standaarden. Hier valt te denken aan instandhouding van het ISMS, het documenteren van conformiteit aan de standaarden en medewerking verlenen aan audits. Pagina 20 van 26

Daarnaast is de expertgroep van mening dat standaardisatie en het gebruik van gedeelde afspraken, in het algemeen en dus ook in het geval van de beide standaarden, geld oplevert. Met name op lange termijn zorgen de standaarden ervoor dat de beveiliging beter op orde is ( huis op orde ), dat gebruik in de praktijk het aantal incidenten kan beperken en dus de kosten die met incidenten zijn gemoeid. 3.5 Organisatorische dimensie Wat zijn de organisatorische/bedrijfsprocesmatige veranderingen? De verantwoordelijkheid voor adoptie van de standaarden in de organisatie ligt bij het hoger lijnmanagement, dat wil zeggen over de hele organisatie heen. De organisatieonderdelen die verantwoordelijk zijn voor informatiebeveiliging zijn verantwoordelijk voor acceptatie en inbedding. Deze tweedeling brengt met zich mee, dat niet altijd helder is waar verantwoordelijkheden voor implementatie precies liggen. De veranderingen die adoptie van de standaarden met zich meebrengt, zijn net als de eerder vermelde kosten, sterk afhankelijk van de mate waarin de organisatie inspeelt of al heeft ingespeeld op de achterliggende vraagstukken rondom informatiebeveiliging en deze zaken al op orde heeft. De implementatie kan door organisaties i.s.m. anderen gedaan worden, door de standaarden als middel in de keten op te pakken om integrale informatiebeveiliging te verzorgen. Community-vorming en delen van ervaringen vergemakkelijkt daarbij implementatie. Het delen van best practices en tooling biedt de mogelijkheid om gemeenschappelijke oplossingen in te zetten en te realiseren. De NEN-ISO 27001/27002 of daarvan afgeleide standaarden worden toegepast op organisatieniveau, dat wil zeggen dat de adoptie primair moet plaatsvinden bij het management van de organisatie. Het draagvlak bij deskundigen in de organisatie die te maken krijgen met de invoering van de standaarden in de praktijk, is vervolgens gewenst om adoptie te bespoedigen. Vanuit auditing perspectief is er een probleem met de formulering/ verwoording van de eisen in de standaarden: deze is in vele gevallen niet SMART genoeg om toetsing/auditing goed mogelijk te maken. Daarbij gaat het er niet zozeer om of er geaudit kan worden, maar of er na succesvolle audits zekerheid is over harmonisatie met betrekking tot de beveiliging van de verschillende geaudite partijen. De expertgroep constateert dat dit laatste niet het geval is, omdat de standaarden eerdergenoemde implementatievrijheid toestaan. De aanvullingen in de Baselines maken de richtlijnen wel concreter, maar lossen dit probleem niet helemaal op. De opzet van de richtlijnen en de Baselines sluit ook minder goed aan bij een inzet ten behoeve van het ontwerp van processen of IT-voorzieningen voor informatiebeveiliging. Organisaties moeten daarom veelal een vertaalslag maken om ze bruikbaar te maken. Een voorbeeld daarvan is de uitwerking in beveiligingsfuncties voor (overheids)organisaties in het beveiligingskatern van de NORA. Pagina 21 van 26

3.6 Maatschappelijke ontwikkelingen Zijn er maatschappelijke ontwikkelingen die van invloed zijn op de open standaard? De expertgroep constateert dat er voldoende positieve signalen uitgaan van de huidige aanpak en aandacht voor de standaarden en de afgeleide Baselines in overlegorganen binnen de overheidslagen. De aandacht die vanuit het kabinetsbeleid wordt gegeven aan het onderwerp informatiebeveiliging versterkt dit positieve beeld. Ook de aandacht in de media voor beveiligingsincidenten (o.a. DigiNotar, Stuxnet, Lektober) zorgt voor een verhoogde sense of urgency en draagt bij aan adoptie van de standaarden. Burgers eisen daarnaast steeds meer openheid/transparantie van de overheid, waardoor de rijksoverheid zich ook dient te verantwoorden op het gebied van informatiebeveiliging. 3.7 Internationale ontwikkelingen Zijn er internationale ontwikkelingen die van invloed zijn op de open standaard? De NEN-ISO 27001/27002 standaarden zijn een vertaling van de internationale ISO/IEC standaarden. Deze standaarden krijgen over de hele wereld aandacht, door de aandacht en brede belangstelling die er voor het onderwerp informatiebeveiliging bestaat. Met name in Azië is er van oudsher veel aandacht voor de standaarden uit de ISO Management System Standards. Zowel in Engeland 18 als in Duitsland 19 bestaan invullingen of profielen, die sterk lijken op de Baseline-aanpak in Nederland. In Duitsland wordt een aanpak geschetst aan de hand van o.m. ISO 27001/27002 voor de hele overheid (zowel nationaal als regionaal). De aanpak in Engeland richt zich op alle centrale overheden. Door de koepelorganisaties vindt momenteel verkenning plaats naar de ontwikkelingen in het buitenland, maar de kennis en ervaring die daar bestaat wordt momenteel door zowel koepelorganisaties als gebruikers slechts in beperkte mate benut. 18 http://evolveconsultants.com/what-we-do/information-security/iso-27001-andgovernment-requirements 19 https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzstandards/ ITGrundschutzStandards_node.html Pagina 22 van 26

4 Bevindingen en maatregelen 4.1 Bevindingen Aan de hand van de analyse met de thema s uit hoofdstuk 3, heeft de expertgroep gezamenlijk de volgende drempels voor adoptie geïdentificeerd. Bekendheid - De ontwikkeling van de verschillende Baselines Informatiebeveiliging (BIR/BIG/IBI/BIWa) lijkt een positief effect te hebben op de bekendheid van NEN-ISO 27001/27002. Hoewel de adoptie van de standaarden hoger op de agenda staat, is er in veel mindere mate bekendheid met de inhoud van de standaarden. Dat geldt zeker voor het bestuurlijke niveau, dat bepalend is voor de adoptie. - Voor uitvoeringsorganisaties is er geen Baseline. Het is niet geheel duidelijk hoe voor deze organisaties de adoptie wordt bevorderd. Kennis - Het delen van kennis en overleg op nationaal niveau, bijvoorbeeld tussen overheden onderling en tussen overheidslagen biedt ruimte voor verbetering. Momenteel zijn er slechts in beperkte mate communities voor uitwisselen van kennis en ervaringen en zijn er te weinig hulpmiddelen voor implementatie beschikbaar. - Een nieuwe versie van de standaarden (versie ISO/IEC 27001/27002:2013), die aanzienlijk verschilt van de huidige versie, is binnenkort beschikbaar. Het roept de vraag op hoe overheid dient om te gaan met deze nieuwe versie. Het verwerken van de NEN-ISO standaarden in de Baselines is een uitdaging. - De bekendheid met en kennis van de Baselines bij leveranciers en auditors is beperkt. De beperkte beschikbaarheid buiten de eigen sector en beperkte betrokkenheid bij het opstellen van de Baselines in sommige overheidssectoren spelen hierbij een rol. Technisch - De verschillende Baselines kennen deels gescheiden ontwikkeltrajecten. Er is nog geen harmonisatie van de Baselines richting een overkoepelende Baseline Informatiebeveiliging Overheid. - De ISO-standaarden en de Baselines bespreken de controls die als richtlijnen fungeren voor wat er moet gebeuren ( wat ), maar deze zijn vaak onvoldoende specifiek voor implementatie. Bij de gebruikers is onvoldoende gemeenschappelijke invulling voor de manier waarop implementatie plaats moet vinden ( hoe ). Dit kan leiden tot afstemmingproblematiek en onvoldoende harmonisatie tussen de verschillende partijen die zich op dezelfde standaard of Baseline baseren. Financieel - De implementatie van de normen vergt (eenmalige) investeringen in aanschaf van de standaarden. Deze kosten kunnen een drempel opwerpen voor adoptie. - Vanwege auteursrechten wordt de BIR niet vrijelijk beschikbaar gemaakt. Deze wordt alleen verspreid binnen het Rijk en bij aanbestedingen aan leveranciers beschikbaar gesteld. Het is wenselijk Pagina 23 van 26

dat deze Baseline ook voor andere partijen (o.a. marktpartijen die diensten leveren aan de overheid, ZBO s die niet direct onder verantwoordelijkheid van het Rijk vallen) beschikbaar komt voor het delen van kennis en inzichten over de te volgen weg bij adoptie en implementatie van de NEN-ISO-standaarden. Voor andere Baselines geldt gelijksoortige problematiek, maar hier is ook nog geen afspraak over eenmalige afkoop gerealiseerd. - De kosten voor instandhouding/onderhoud/beheer van de standaarden kunnen een drempel vormen. Het gaat om instandhouding ISMS, documentatie met betrekking tot conformiteit, het ondergaan en uitvoeren van audits. De expertgroep constateert tegelijkertijd dat de adoptie van de standaarden ook kosten kan wegnemen en dus financieel voordeel oplevert. Organisatorisch - Vanuit auditing perspectief is er een probleem met de algemene formulering/verwoording van de eisen in de standaarden: deze is in vele gevallen niet SMART genoeg om toetsing/auditing goed mogelijk te maken. Daarbij gaat het erom of op uniforme wijze kan worden geaudit en wat de betekenis is van de audit. Er is qua implementatie nu te veel variatie mogelijk in de praktijk en in voorkomende gevallen kan de invulling zelfs onvolledig blijven. - De opzet van de richtlijnen en de Baselines sluit minder goed aan bij een inzet ten behoeve van het ontwerp van processen of ITvoorzieningen voor informatiebeveiliging. Organisaties moeten daarom veelal een vertaalslag maken om ze bruikbaar te maken. - Er is enige discrepantie naar de markt toe, doordat Baselines de NEN- ISO standaarden voor de diversie overheden moeten vervangen, maar tegelijkertijd worden in enkele gevallen (bijv. eherkenning) NEN-ISO 27001/27002 gebruikt bij aanbestedingen naar onderaannemers. Internationale ontwikkelingen - Er bestaat ervaring in het buitenland en internationale (kennis)ondersteuning op het gebied van de standaarden, maar die wordt momenteel door de overheid in beperkte mate benut. 4.2 Maatregelen De expertgroep heeft op basis van de bevindingen in gezamenlijkheid een aantal maatregelen geïdentificeerd, die adoptie verder kunnen bevorderen en een aantal drempels kan verkleinen of wegnemen. 1. Deel kennis en tools Er dient meer uitwisseling van kennis en tools plaats te vinden, binnen de overheidslagen, tussen de overheidslagen en internationaal. Bij tools gaat het om bijvoorbeeld implementatierichtlijnen (die het hoe? adresseren) en goede voorbeelden van risicoanalyses en informatieclassificaties. Iedere baselinebeheerder (BZK/DG-OBR, IPO, KING/IBD, UvW) dient, voor zover dat niet al het geval is, per overheidslaag een community op te zetten. De Taskforce BID dient overleg tussen de overheidslagen te coördineren en te stimuleren dat kennis en ontwikkelde tools ook breed worden gedeeld. Taskforce BID is ook de aangewezen partij om de internationale aansluiting te waarborgen. De openstelling van de tooling die momenteel door KING/IBD wordt ontwikkeld is een belangrijke eerste stap. Pagina 24 van 26