Baseline Informatiebeveiliging Overheid (BIO)

Overheidsbreed informatiebeveiligingsbeleid

Voor een veilige digitale overheid

Momenteel hanteert ieder bestuursorgaan van de overheid haar eigen normenkader voor informatiebeveiliging. Dit zijn:

  • Gemeenten: Baseline Informatiebeveiliging Gemeenten (BIG).
  • Rijksdienst: Baseline Informatiebeveiliging Rijksdienst (BIR)
  • Waterschappen: Baseline Informatiebeveiliging Waterschappen (BIWA)
  • Provincies: Interprovinciale Baseline Informatiebeveiliging (IBI)

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt al deze bestaande baselines voor Gemeenten, Rijk, Waterschappen en Provincies. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek.

De aanleiding voor deze nieuwe baseline komt voort uit de verandering van de ISO27001 in 2013. De huidige baselines waren immers gebaseerd op de vorige versie van de ISO27001:2005. De ISO uit 2013 kent een andere hoofdstukindeling dan de versie uit 2005 en dat maakt vergelijken lastig, vooral in de samenwerking met organisaties die al wel gebruik maken van de 2013-versie.

Wat kan Audit orde voor uw organisatie betekenen?

Om te beginnen kunnen organisaties op basis van de “introductie aanpak BIO” zelf bepalen wat er moet gebeuren, wat erbij komt kijken en welke onderwerpen het betreft. Hiervoor heeft de informatiebeveiligingsdienst IBD (onderdeel VNG) een concrete handleiding opgezet die te vinden is via onderstaande links.

Mocht uw organisatie daarna toch nog hulp of begeleiding nodig hebben, dan kan Audit orde u helpen op velerlei gebied zoals:

  • de scopebepaling van de BIO
  • het uitvoeren van de BBN toets
  • de implementatie van de BIO
  • het toetsen van de BIO
  • het toetsen bij de dienstenleverancier en het afgeven van een Statement of Compliancy.
  • advies bij de keuze van een certificerende instelling.

Audit orde heeft veel ervaring met het implementeren en toetsen van ISO27001 managementsysteem en de  ISO27002 beheersmaatregelen, waarop deze BIO is gebaseerd.

De migratieafspraken

De BIO wordt op 1 januari 2020 van kracht. In 2019 kunnen gemeenten zich voorbereiden op de overgang van de BIG naar de BIO. De informatiebeveiligingsdienst (IBD) ondersteunt gemeenten daarbij met producten en regionale bijeenkomsten. De verantwoordingssystematiek ENSIA zal ook worden bijgewerkt naar de BIO.

Audit orde biedt u de mogelijkheid om op korte termijn een transitie door te maken van de BIG, BIR, BIWA of IBI naar de IBO. Onze auditoren en implementatiebegeleiders zullen samen met u inschatten in hoeverre u zo eenvoudig mogelijk een transitie naar de nieuwe norm kunt ondergaan. De BIO norm bevat de beheersmaatregelen uit de internationale standaard ISO27001: 2013 en heeft tevens enkele extra controls die passen bij de laatste ontwikkelingen op het gebied van informatiebeveiliging binnen de overheid.

Ook wanneer u voor het eerst met de BIO in aanraking komt, kan Audit orde u goed van dienst zijn.

Uitleg en inhoud BIO 

De BIO (versie 1) bestaat uit 3 onderdelen:

  • Deel 1: Achtergrond BIO
    Dit gaat in op uitgangspunten van de overheid, de opzet van de BIO, de 3 basisbeveiligingsniveau's en het afleggen van verantwoording.
  • Deel 2: Kader BIO
    Dit is het meest omvangrijke gedeelte en omvat alle 114 ISO controls met een scala aan inhoudelijke overheidsmaatregelen. Naast de omschrijving van de maatregel, zijn ook handreikingen voor de oplossing gegeven en verantwoordelijkheden voor de desbetreffende control vastgelegd.
  • Deel 3: Addendum BIO
    Dit is een klein hoofdstuk dat aanvullende eisen noemt die specifiek en verplicht zijn voor een bepaalde overheidslaag.

De BIO verschilt op een aantal punten van de voorgaande Baselines Informatiebeveiliging. De grootste verschillen zijn:

  1. Minder maatregelen
  2. Maatregelen zijn verplicht en vergelijkbaar (nummering en tekstueel)
  3. Toewijzing van maatregelen aan eindverantwoordelijke
  4. Uitvoering van toets basisbeveiligingniveaus (BBN) voor ieder informatiesysteem, waaruit selectie van maatregelen volgt
  5. Concrete afspraken over verantwoording. Zo leggen dienstenleveranciers aan de overheid periodiek verantwoording af via een Statement of Compliancy.

Certificeerbaar

Nee, niet onder accreditatie.
Verantwoording o.a. via ENSIA (Gemeenten). Is opgenomen in de BIO zelf.

Eisen (interne) auditor

ISMS auditor