Wat is de BIG? Alles over informatiebeveiliging voor gemeenten

Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) het Voorschrift Informatiebeveiliging rijksoverheid (VIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt.

Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging.

Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau.

Baseline INformatiebeveiliging gemeenten

Strategische BIG

De Strategische BIG kan gezien worden als de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen kunnen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente.

De Strategische BIG geldt voor Nederlandse gemeenten waartoe gerekend worden alle gemeenten met de daaronder vallende diensten, bedrijven en instellingen, zoals werkpleinen. De Strategische BIG omvat de bedrijfsvoeringsprocessen, onderliggende informatiesystemen en informatie van de gemeente in de meest brede zin van het woord. De Strategische BIG is van toepassing op alle ruimten van een gemeentehuis en aanverwante gebouwen, alsmede op de apparatuur die door de ambtenaren binnen een gemeente gebruikt wordt bij de uitoefening van hun taak op diverse locaties. De Strategische BIG heeft bovendien betrekking op alle informatie die daarbinnen verwerkt wordt. Als informatiesystemen niet fysiek binnen de gemeente draaien, is deze Strategische BIG overigens ook van toepassing.

De Strategische BIG is ontwikkeld voor alle werknemers binnen de gemeente, maar met name; College burgemeester en wethouders en gemeentesecretarissen.

Tactische BIG

De Tactische BIG is het normenkader dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze Tactische BIG is een richtlijn die een totaalpakket aan informatiebeveiligingscontrols en -maatregelen omvat die voor iedere gemeente noodzakelijk is om te implementeren. Deze Tactische BIG is opgezet rondom bestaande normen; de NEN/ISO 27002:2007 en de BIR. Deze ISO-standaard vastgesteld voor de Nederlandse Overheid door het forum standaardisatie en algemeen aanvaard als de norm voor informatiebeveiliging. Voor specifieke maatregelen is in de Tactische BIG ook gebruik gemaakt van de Wet bescherming persoonsgegevens (WBP), Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), Gemeentelijke Basisadministratie (GBA en de opvolger BRP), Basisregistratie Adressen en Gebouwen (BAG) en de Wet Paspoortuitvoeringsregeling (PUN).

De Tactische BIG is ontwikkeld voor alle werknemers binnen de gemeente, maar met name; IB functionarissen, lijnmanagers, beleidsmakers, personeelszaken, fysieke beveiliging, ICT-diensten en –infrastructuren, applicatie- en systeemeigenaren, informatiebeveiligingsadviseurs en ICT-auditors en externe leveranciers.