We gebruiken cookies om ons verkeer te analyseren. We delen ook informatie over jouw gebruik van onze site met onze sociale media-, advertentie- en analysepartners die deze kunnen combineren met andere informatie die je aan hen heeft verstrekt of die zij hebben verzameld op basis van jouw gebruik van hun services. Lees hoe we cookies gebruiken en hoe u ze kunt beheren door op "Voorkeuren" te klikken.

Voorkeuren Accepteer

Privacy Voorkeuren

Wanneer je onze website bezoekt, kan de website informatie via jouw browser opslaan of ophalen, meestal in de vorm van cookies. Aangezien we jouw recht op privacy respecteren, kun je ervoor kiezen om het verzamelen van gegevens van bepaalde soorten diensten niet toe te staan. Als je deze services niet toestaat, kan dit echter van invloed zijn op je ervaring.

Privacybeleid

Je hebt gelezen en bent akkoord gegaan met ons Privacybeleid

VEREIST
LinkedIn & Twitter

We gebruiken de LinkedIn en Twitter diensten om sociale netwerkinhoud op deze site mogelijk te maken.

Google Analytics

We maken gebruik van Google Analytics om het websiteverkeer te analyseren.

PrivacyBeleid
  • Home
  • Nieuws
  • Baseline Informationsecurity Overheid (BIO)
02 Feb

Stap voor stap voldoen aan de Baseline Informationsecurity Overheid (BIO)

Wat moet je doen om te voldoen aan BIO 7.2.2 of ISO27001 A.7.2.2 Bewustzijn opleiding en training ten aanzien van informatiebeveiliging? In de beschrijving van de BIO Overheid staat dat: alle medewerkers van de organisatie en voor zover relevant contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie voor zover relevant voor hun functie.

Neem het security awareness programma op in het informatiebeveiligingsplan

In de praktijk betekent er verwacht wordt dat er is een security awareness programma is opgenomen in het informatiebeveiligingsplan en dat dit organisatie breed wordt uitgevoerd. Belangrijk is dat het doel beschreven wordt en hoe je dit gaat meten. Waarschijnlijk zal je meerdere metingen hanteren om tot je hoofddoel te komen. Wanneer je dit doet en allerlei security awareness activiteiten uitvoert zoals phishing, workshops, trainingen en lezingen, dan zit je al redelijk in de buurt van een volwassenheid van niveau drie. Dat vraagt dat je security awareness programma is gedocumenteerd, op een formele manier wordt uitgevoerd en dat het aantoonbaar en effectief is.

Boven honderd medewerkers ontkom je niet aan een online e-learning programma

Voor volwassenheidsniveau vier wordt er een verbetering verwacht. Je hebt immers voor niveau drie je meting gedaan en de effectiviteit beoordeeld. En wat blijkt niet iedereen heeft meegedaan aan het programma en voor niveau vier is het nodig dat iedereen de security awareness activiteiten succesvol heeft doorlopen waarbij de kennis is getoetst. Dat dit wordt bewaakt en gerapporteerd aan senior management. In een organisatie met minder dan 100 medewerkers zou je dit kunnen doen door fysieke trainingen op de afdelingen te geven, maar boven de 100 ontkom je niet aan een online e-learning programma inclusief toetsen. Probeer wel in je programma fysieke contact momenten in te bouwen naast de onlinetrainingen, door bijvoorbeeld bij de afdelingen langs te gaan, lezingen en workshops te organiseren of de week van de security te houden.

Toon de effectiviteit aan

Het zou mooi zijn als je het effect van je security awareness programma regelmatig kunt meten en kan bijsturen. Niet alleen het effect op de kennis over security risico’s en het beleid en procedures van de organisatie, maar ook het effect op de security incidenten. De correlatie van deze incidenten en jouw programma vergt wat tijd en denkwerk, maar je zult snel zien dat je hiermee organisatie breed de effectiviteit van het programma kunt aantonen.