De Quickscan Informatiebeveiliging (QS-IB) is een handreiking die kan worden gebruikt als toets voor het bepalen van het [[Basis Beveiligings Niveau (BBN)]] (BBN-toets) zoals beschreven in de [[Baseline Informatiebeveiliging Overheid (BIO)]]. Daarmee levert de ingevulde QS-IB de vereisten om één of meer informatiesystemen te beschermen, gegeven het belang van de ondersteunde processen dat de proceseigenaar daaraan toekent.

De QS-IB start met een inventarisatie van de scope en context van de te beschermen processen / informatiesystemen en de vastgestelde rubricering van de daarin te verwerken informatie (stap 1). 

Vervolgens wordt het belang van de processen en ondersteunende informatiesystemen geclassificeerd en wordt bepaald of daar externe eisen van bijvoorbeeld de EU, de NAVO, ketenpartners of andere organisaties op van toepassing zijn (stap 2). 

De verwachte bedreigingen ten aanzien van het informatiesysteem en de (soort) actoren die deze veroorzaken worden vastgelegd in een dreigingsprofiel (stap 3). 

Op basis van een inschatting van de maximale schade die kan ontstaan, wordt voor het proces het niveau van “Beschikbaarheid”, “Integriteit” en “Vertrouwelijkheid” gekozen (stap 4).

• Beschikbaarheid:
• Integriteit:
• Vertrouwelijkheid: betreft het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. Mate van vertrouwelijkheid is afhankelijk van de rubricering van de informatie. Voor het bepalen van de rubricering van informatie, zie hiervoor de [[Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI)]] en de handleiding Rubricering.

Ten slotte wordt op basis van de eerder gedane keuzes in stappen 2, 3 en 4 het BBN gekozen op basis van een indicatieve referentietabel (stap 5). 

In stap 6 verklaart de proceseigenaar aan het eens te zijn met de bepaling van de controls en maatregelen in de risicoafweging. Voorafgaand aan deze stap wordt in stap 5 tevens gekeken naar toegepaste maatregelen, additionele (cloud)risico’s en vastgesteld of er een (rest)risico aanwezig is. Dit (rest)risico wordt vervolgens -waar mogelijk- afgezet tegen de risicobereidheid van de organisatie die verantwoordelijk is voor het onderhavige proces en de ondersteunende systemen. Het geheel wordt helder beargumenteerd. Het eindresultaat van de QS-IB bestaat uit de standaard BBN set van te implementeren maatregelen, een beoordeling van de toegepaste maatregelen, evt. bijzonderheden en het (rest)risico dat wordt vastgesteld door de proceseigenaar.