Wie verder kan kijken dan de aanprijzing: ‘Dit boek is verplichte kost voor het BIO-examen’, zal ontdekken dat Baseline Informatiebeveiliging Overheid (BIO) gebaseerd op de ISO 27002:2022 eigenlijk een erg handig hulpmiddel is. Het staat vol met praktische informatie, bevat veel korte bondige toelichtingen op veel relevante begrippen en er wordt goed gebruik gemaakt van schematische weergaven van processen. Het is niet alleen waardevol als bron met (basis-)informatie, maar het slaat ook een brug tussen de security afdeling en de rest van de organisatie. Het ‘waarom’ van informatiebeveiliging krijgt de nodige aandacht en daar wordt iedere Information Security professional blij van.
Verleden en heden
In het boek wordt gelukkig een (korte) toelichting gedaan over hoe de huidige situatie tot stand is gekomen. Derksen en Kaag lichten ook de context van waar dit boek past in het huidige (cyber-)securitylandschap toe. Dit helpt om bepaalde keuzes beter te begrijpen, voordat je begint aan de ‘nieuwe manier van werken’. Daarnaast wordt helder wat de ISO 27001 en ISO 27002 zijn, en hoe ze van elkaar verschillen.
De auteurs besteden aandacht aan risicogebaseerd werken, iets waar veel organisaties nog te weinig mee bezig zijn. Door hier in meerdere hoofdstukken op in te zoomen en ook uit te leggen waarom dit zo belangrijk is, beseft de lezer (hopelijk…) dat informatiebeveiliging nooit een kwestie is van een checklist afvinken.
Beheersmaatregelen
Er is een wijze keuze gemaakt door niet alle beheersmaatregelen uit ISO 27002:2022 op te sommen, want daar is de standaard zelf natuurlijk voor. In plaats daarvan lees je de opzet van die standaard en een duidelijke uitleg over de nieuwe beheersmaatregelen. Immers: het doel is niet om alles uit je hoofd te kennen, maar hoe je de standaard moet gebruiken. Omdat de BIO (logischerwijs) geen exacte kopie is van ISO 27002, lichten Derksen en Kaag ook toe welke aanvullende regels, richtlijnen en methodes bij de BIO van belang zijn en hoe deze in verhouding staan tot de ISO standaarden. Denk hierbij aan zaken als BasisBeveiligingsNiveaus(BBN).
Toekomst
Derksen en Kaag staan uitgebreid stil bij overwegingen voor de komende decennia. Hoe ziet het informatiebeveiligingslandschap er over 10, 20, 30 jaar uit? Ze kijken zo’n 100 jaar in de toekomst als het gaat over onderwerpen als cloud, privacy en de rollen van informatiebeveiligers. Hier uit is te concluderen dat informatiebeveiliging een steeds prominentere plek in gaat nemen in alle organisaties.
Gids
Een boek zoals dit op waarde schatten doe ik door de bruikbaarheid ervan te beoordelen. Hoewel het taalgebruik af en toe wat wollig kan aandoen, is Baseline Informatiebeveiliging Overheid (BIO) gebaseerd op de ISO 27002:2022 een erg mooie bron van basisinformatie over de BIO en gerelateerde onderwerpen. Daarnaast is het – ook nadat je bent geslaagd voor het BIO-examen! – waardevol als zowel een gids als een hulpmiddel om informatiebeveiligingszaken in context van je organisatie te plaatsen.
Over Stijn de Wilde
Privacy Officer bij Fontys Hogeschool | Governance, (Human) Risk & Compliance specialist |