Meting volwassenheidsniveau
Voor prioritering en strategie
Renco Schoemaker is een ervaren adviseur informatiebeveiliging en privacy. Hij heeft diverse volwassenheidsmetingen uitgevoerd â wat echt iets anders is dan een GAP-analyse op maatregelen of ISMS. Hij helpt bij prioritering en strategie!
Wat verandert er met de BIO versie 2?
De Baseline Informatiebeveiliging Overheid 2 is eind 2025 vastgesteld in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). De belangrijkste wijzigingen.
Het managementsysteem voor informatiebeveiliging moet zijn conform ISO 27001
De BIO2 wordt regelgeving via de Cyberbeveiligingswet (Cbw), -besluit en -regeling.
Maatregelen zijn ingedeeld volgens NEN-EN-ISO/IEC 27002:2022 (nl).
Inhoudelijk in lijn gebracht met de NIS2-richtlijn, specifiek art. 21 over cyberbeveiliging.
Groeien met oog voor waar je staat
Veel organisaties werken van audit naar audit Ên proberen meer structuur te krijgen via een ISMS. Maar informatiebeveiliging hangt samen met veel andere (IT-)processen die niet altijd op het juiste niveau zijn. Een volwassenheidsmodel geeft inzicht in de mate van (proces)professionaliteit en integratie van informatiebeveiliging â en stimuleert zo stapsgewijze groei: van ad-hoc naar volledig geborgd en geoptimaliseerd. Het is een alternatief voor een GAP-analyse op maatregelen of een GAP-analyse op het ISMS.
Vooronderzoek en afbakening
Renco brengt eerst in kaart hoe de organisatie is gestructureerd en hoe de governance voor informatiebeveiliging op hoofdlijn is ingericht. Er wordt ook gekeken naar wat is uitbesteed aan marktpartijen, SSC's of zuster-/moederorganisaties. Er worden documenten opgevraagd â minimaal het informatiebeveiligingsbeleid. Het gewenste volwassenheidsniveau per domein wordt vastgesteld. De afbakening kan het vakgebied informatiebeveiliging als geheel beslaan of een selectie van domeinen daarbinnen.
đ Documentenanalyse + doelniveaubepalingAfnemen interviews
Renco doorloopt systematisch de gekozen informatiebeveiligingsdomeinen aan de hand van zogenaamde 'practices' â beschrijvingen van activiteiten die horen bij een bepaald volwassenheidsniveau. Vooraf bepaalt hij welke practices met welke functies worden besproken, zodat de belasting voor de opdrachtgever minimaal blijft. De meting wordt uitgevoerd op basis van algemeen geaccepteerde modellen zoals NIST-CSF, NBA-LIO/NOREA volwassenheidsmodel en C2M2.
đī¸ Gestructureerde interviews per domeinAnalyse en (prio)rapportage
Renco analyseert de uitkomsten en vraagt waar nodig aanvullende documentatie op. Het rapport bevat een visuele weergave per domein en een overzicht van de nog in te voeren practices om het gewenste niveau te bereiken. De prioritering volgt uit de delta tussen het gewenste en het actuele niveau â stap voor stap omhoog, totdat het streefniveau is behaald. Een ideaal instrument voor implementatiestrategie.
đ Visueel rapport + delta-analyse + prioriteringPresentatie aan management en bestuur
Gezien de sturende en kaderstellende rol van het (hoger) management en bestuur, ziet Renco een eindpresentatie aan hen als noodzakelijk â naast het eindrapport. Dit levert maximale opbrengst: inzicht, betrokkenheid Ên eigenaarschap, wat met de komst van de Cyberbeveiligingswet niet langer optioneel maar verplicht is. De presentatie wordt vooraf afgestemd met de CISO en vindt bij voorkeur op locatie plaats.
đ Bij voorkeur op locatieBeperkte meting en koppeling met normenkader
Renco kan ook een beperkte meting uitvoeren op basis van het Cbw (NIS2) Control Framework van de Auditdienst Rijk (ADR), het Ministerie van Binnenlandse Zaken en NOREA. Het framework wordt gezamenlijk bepaald voorafgaand aan de opdrachtverstrekking.
De volwassenheidsmeting gaat uit van practices â geen normen. Desgewenst levert Renco vanuit de practices aanvullend een geprioriteerd overzicht van beheersmaatregelen op basis van BIO2 of NEN-EN-ISO/IEC 27001/2.
Een volwassenheidsmeting laten uitvoeren?
Neem contact op met qeep IT safe voor een vrijblijvend kennismakingsgesprek.
Neem contact op â