Baseline Informatiebeveiliging Overheid (BIO)

Informatiebeveiliging binnen de overheid

Wat is BIO?

Sinds 1 januari 2020 is Baseline Informatiebeveiliging Overheid (hierna: BIO) officieel van kracht. BIO is een doorontwikkeling van alle oude normen voor informatiebeveiliging (BIG, BIR, BIWA, IBI) die binnen de overheid werden gebruikt. De BIO is dan ook geïntroduceerd als een helder en uniform normenkader voor informatiebeveiliging. Het normenkader heeft als doel het beschermen van de informatiesystemen van alle bestuursorganen van de overheid.

Gebaseerd op ISO systematiek

Het kader van BIO is gebaseerd op de internationaal erkende ISO systematiek. In dit geval gaat het om de implementatierichtlijnen van ISO 27002, een onderdeel van ISO 27001. ISO 27001 is de internationaal erkende standaard voor informatiebeveiliging. ISO 27002 beschrijft, als het ware als verdieping, met de beheersmaatregelen om te voldoen aan ISO 27001 normeisen.

Risicomanagement

De BIO biedt een zogenaamde BBN-toets. BBN is een afkorting van basisbeveiligingsniveaus. Deze BBN-toets heeft als doel om een inschatting van impact en kans te maken, gebaseerd op beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Met deze inschatting kunnen drie BBN’s worden bepaald, inclusief de daaraan gekoppelde beveiligingseisen. Ieder BBN bestaat uit specifieke controles die voortkomen uit de ISO 27002, verplichte overheidsmaatregelen en een methodiek voor compliance. Een belangrijk voordeel is dat er nu gericht per informatiesysteem één BBN kan worden bepaald, waarmee er focus wordt aangebracht in de relevantie van risico’s. De kracht van deze risicogestuurde aanpak is dat bewuste keuzes kunnen worden gemaakt wat echt risicovol is.

Belangrijkste verschillen

De belangrijkste verschillen tussen BIO en de BIG,BIR,BIWA,IBI op een rijtje:

  • Een uniform normenkader voor de overheid;
  • Focus op risicomanagement;
  • Door middel van een GAP-analyse bepalen van de basisbeveiligingsniveaus (BBN’s);
  • Maatregelen gericht toewijzen aan verantwoordelijken.

Voor wie is BIO relevant?

  • Rijksoverheid;
  • Provincies;
  • Gemeentes;
  • Waterschappen;
  • Zelfstandige bestuursorganen;
  • Organen en lichamen waarin het Rijk deelneemt;
  • Rechtspersonen met wettelijke taak;
  • Agentschappen;
  • Overige uitvoeringsinstanties.

Hulp nodig?

QSN kan jouw organisatie helpen bij het realiseren van compliance volgens BIO. We hebben ervaring met het opstellen van GAP-analyses en BNN toetsen inclusief actieplannen. Nieuwsgierig naar onze succesverhalen? Neem contact op, we vertellen je graag meer.

Plan adviesgesprek

Bron:
Informatiebeveiligingsdienst.nl