Onze diensten

Baseline Informatiebeveiliging Overheid

Informatiebeveiliging binnen de overheid

Wat is BIO?

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Met de komst van de BIO op 1 januari 2020 is er nog maar één normenkader. Voorheen had elke overheidslaag zijn eigen norm voor informatiebeveiliging (BIG, BIR, BIWA, IBI). De BIO is een doorontwikkeling van deze normen en heeft als doel het beschermen van de informatiesystemen van alle bestuursorganen van de overheid.  

Gebaseerd op ISO systematiek

Het kader van BIO is gebaseerd op de internationaal erkende ISO systematiek, namelijk op de implementatierichtlijnen van ISO 27002. Dit maakt het goed te integreren in een bestaand managementsysteem. ISO 27002 is een toelichting op ISO 27001, de internationale norm voor informatiebeveiliging. ISO 27002 specificeert beheersmaatregelen voor informatiebeveiliging risico’s en -bedreigingen. De BIO bevat een aanvullende toelichting op deze beheersmaatregelen, inclusief voorbeelddocumentatie.  

Risico gestuurde aanpak

De BIO biedt een zogenaamde BBN-toets. BBN is een afkorting van basisbeveiligingsniveaus. Deze BBN-toets heeft als doel om een inschatting van impact en kans te maken, gebaseerd op beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Met deze inschatting kunnen drie BBN’s worden bepaald, inclusief de daaraan gekoppelde beveiligingseisen. Ieder BBN bestaat uit specifieke controles die voortkomen uit de ISO 27002, verplichte overheidsmaatregelen en een methodiek voor compliance. Een belangrijk voordeel is dat er nu gericht per informatiesysteem één BBN kan worden bepaald, waarmee er focus wordt aangebracht in de relevantie van risico’s. De kracht van deze risico gestuurde aanpak is dat bewuste keuzes kunnen worden gemaakt wat echt risicovol is.

Hulp nodig?

QSN kan jouw organisatie helpen bij het realiseren van compliance volgens BIO. We hebben ervaring met het opstellen van GAP-analyses en het ontwikkelen van managementsystemen die voldoen aan de BIO. Nieuwsgierig naar onze succesverhalen? Neem contact op, we vertellen je graag meer.

Adviesbureau
Voor welke organisaties is BIO interessant?
  • Rijksoverheid
  • Provincies
  • Gemeentes
  • Waterschappen
  • Zelfstandige bestuursorganen
  • Organen en lichamen waarin het Rijk deelneemt
  • Rechtspersonen met wettelijke taak
  • Agentschappen
  • Overige uitvoeringsinstanties

Whitepaper

Baseline Informatiebeveiliging Overheid (BIO)

Whitepaper BIO
  • Wat is de BIO?
  • Drie basisbeveiligingsniveaus
  • Indeling BIO, rollen en verantwoordelijkheden

Veelgestelde vragen

Wat is er gewijzigd met de komst van de BIO?

De BIO heeft de  BIG, BIR, BIWA en IBI vervangen. Dit zijn de oude normen voor informatiebeveiliging die binnen de overheid werden gebruikt. Dit heeft de volgende wijzigingen opgeleverd:  

  • Een uniform normenkader voor de overheid;
  • Focus op risicomanagement;
  • Door middel van een GAP-analyse de basisbeveiligingsniveaus (BBN’s) bepalen;
  • Maatregelen gericht toewijzen aan verantwoordelijken.

Wat zijn de voordelen van één normenkader?

Het gebruik van één normenkader voor alle overheidslagen biedt een aantal praktische voordelen, namelijk:

  • Versterkte informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
  • Administratieve lastenverlichting bij overheid en bedrijven door uniforme beveiligingsnormen bij de overheid;
  • Aansluiting bij internationale regelgeving en standaarden;
  • Vermindering van onderhoudskosten.

Wat is het verschil tussen de drie BBN's?

De BIO onderscheidt drie basisbeveiligingsniveaus (BBN’s). BBN1 is het niveau waaraan alle overheidssystemen minimaal dienen te voldoen. Het gaat over openbare en niet-gevoelige informatie. Bij BBN2 ligt de focus op bewuste bescherming van veelgebruikte informatie. Er wordt op dit niveau vertrouwelijke informatie verwerkt. Incidenten kunnen leiden tot ophef. BBN3 is van kracht wanneer het lekken van de data gevolgen heeft voor de nationale veiligheid.  

Meer weten over de BBN’s? Download de whitepaper over BIO.   

Wat is de impact van de vernieuwde ISO 27002 op de BIO?

In 2022 is een nieuwe versie van ISO 27002 gepubliceerd. De norm kent in totaal nog 93 beheersmaatregelen, de hoofdstukindeling is gewijzigd en er zijn 11 nieuwe beheersmaatregelen toegevoegd. De BIO is gebaseerd op ISO 27002 en dus hebben de wijzigingen impact op de baseline. In opdracht van BZK is onderzoek uitgevoerd naar de impact van de ISO 27002 op de huidige BIO. Op basis daarvan is besloten dat de BIO de nieuwe ISO 27002 blijft volgen. De BIO wordt aangepakt. Tot op heden is er nog geen herziene versie van de BIO gepubliceerd.