MinBZK / Baseline-Informatiebeveiliging-Overheid

Samen werken aan de nieuwe Baseline Informatiebeveiliging Overheid: BIO2
https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/
Other
34 stars 6 forks source link

BIO2 Inleiding - Transparantie en verantwoording #30

Open PSSkyu opened 5 months ago

PSSkyu commented 5 months ago

Beschrijf de bug Het publiceren van de reikwijdte van het ISMS en de bijbehorende Verklaring van Toepasselijkheid draagt bij aan transparantie over de inrichting van informatiebeveiliging door de organisatie. Het publiceren van deze documenten wordt daarom aangeraden. https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/inleiding/#transparantie-en-verantwoording

Voorgestelde wijziging Het publiceren van de reikwijdte van het ISMS en de bijbehorende Verklaring van Toepasselijkheid draagt bij aan transparantie over de inrichting van informatiebeveiliging door de organisatie. Het publiceren van deze documenten is daarom verplicht.

Impact van de wijziging Door het verplichten van publicatie dragen we bij aan transparantie. Eventueel kan hier nog tijdslijn aan gekoppeld worden om organisaties hier aan te laten werken.

Aanvullende informatie Het is zelfs maar de vraag of deze documenten niet opgevraagd kunnen worden vanuit de WOO. Zo ja, dan is het niet afdwingen van publicatie een pure last verlegging naar de burger e.a. afnemers om tijd te winnen. Van leveranciers met een ISO27001 certificering wordt ook constant de VvT opgevraagd ter beoordeling. Waarom zou dit hier anders zijn.

Vergelijk ook met verwerkingenregister van AVG en Algoritmeregister vanuit WDO/AI act.

dvebzk commented 5 months ago

@PSSkyu: weer dank voor het concrete voorstel. We komen hier op terug.

dvebzk commented 4 months ago

Toevoeging feedback uit ander issue #127 ivm dubbeling.

Actuele tekst: “Een voorbeeld van een Verklaring van Toepasselijkheid is opgenomen in de BIO2 [moet ontwikkeld worden].”

BIOv1 heeft het over een In Control Verklaring (paragraaf 4.4). Gaat het hier om een andere naam, maar vergelijkbare doel/invulling? Een in-/externe dienstenleverancier geeft middels een rapportage inzicht in welke controls/maatregelen die hanteert, en idealiter ook inzicht in de mate van implementatie. Anders gezegd: alleen dat hij iets doet; of ook (de vindplaats van) hoe. En is dat iets waar we middels de BIO naartoe willen, intern compliancy aan kunnen tonen?