Baseline Informatiebeveiliging Overheid (BIO)

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

De ISO 27002 is onderdeel van de ISO 27001:2013, bekend als het Informatie Security Management Systeem (ISMS). De ISO 27001:2013 is één van de meest erkende internationale informatiebeveiligingsnormen. De ISO 27002 is een implementatiegids van de beheersingsmaatregelen in de ISO 27001:2013 (Annex A).

De BIO heeft als doel de informatie(-systemen) bij alle bestuurslagen en bestuursorganen van de overheid te beschermen. Alle bestuursorganen van de overheid dienen erop toe te zien dat onderling uitgewisselde gegevens beveiligd zijn, in overeenkomst met wet- en regelgeving.

Advies over de BIO?

Onze geregistreerde IT-auditors en ervaren consultants komen graag met u in contact. AuditConnect werkt al jaren binnen diverse gemeenten als adviseur of IT-Auditor op alle vlakken van informatiebeveiliging, bijvoorbeeld in het kader van BIR, ENSIA, DigiD en Suwinet. Daarnaast ondersteunen wij jaarlijks tientallen klanten bij implementatietrajecten voor de certificering van onder andere een Informatie Security Management Systeem (ISMS) conform de ISO 27001:2013. Bel 055-3010100 of mail info@auditconnect.nl voor advies en informatie.

Achtergrond van de BIO

Gemeenten hanteren sinds 2013 de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Ook andere overheidsorganen, zoals het rijk, provincies en waterschappen werken conform een eigen separaat normenkader (BIR, BIWA, IBI). Vanaf 1 januari 2020 hanteren alle overheidsorganen één gezamenlijk normenkader, genaamd de Baseline Informatiebeveiliging Overheid (BIO).

Verschil met de BIG/BIR/BIWA

In de BIO wordt er meer nadruk gelegd op risicomanagement. De BIO biedt daarvoor een zogenaamde BNN-toets. Op basis van kans en impact, voortkomend uit de beschikbaarheid, integriteit en vertrouwelijkheid, zijn er drie basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijhorende beveiligingseisen. Waar de BIG één beveiligingsniveau kent en 300+ maatregelen, wordt er nu per informatiesysteem één basisbeveiligingsniveau (BBN) bepaald. Ieder BBN bestaat uit een aantal controles (ISO 27002), een aantal verplichte overheidsmaatregelen en een verantwoordings- en toezichtregime.

De grootste verschillen tussen de BIO en de BIG/BIR/BIWA zijn:

  • Het aantal maatregelen (bijna 60% minder)
  • Meer nadruk op risicomanagement
  • 3 Basisbeveiligingsniveaus (BBN's)
  • Het uitvoeren van een GAP-analyse, welke invulling geeft aan het basisbeveiligingsniveau van informatie(-systemen)
  • Toewijzing van maatregelen op eindverantwoordelijke(n)

Voor gemeenten heeft de invoer van de BIO een grote impact, gezien binnen de ENSIA verantwoording de BIG vervangen zal worden door de BIO. Wilt u meer lezen over ENSIA en onze diensten binnen dit product, raadpleeg dan onze ENSIA pagina.

De waterschappen lieten zich al eerder toetsen op de ISO 27002, waardoor de impact voor hen minder zal zijn. Voor de Ministeries zal de impact met name liggen bij alle organisaties waar zaken zijn uitbesteed. Jaarlijks moeten de Ministeries een BIR In Control Statement overleggen, waarbij alle leveranciers worden betrokken. Door de BIO zal dit een impact hebben op deze verklaringen en daarmee op de leveranciers.

Overgangsjaar 2019

Vanaf 1 januari 2019 is de BIO van kracht, het jaar 2019 dient als overgangsjaar. Krachtens de richtlijn zijn alle bestuurslagen en bestuursorganen verplicht om vanaf 1 januari 2020 volledig conform de BIO te werken. Het verantwoordingsproces ENSIA zal in 2019 worden bijgewerkt naar de BIO.

Voor welke bestuursorganen is de BIO van toepassing?

De BIO is van toepassing op de volgende bestuursorganen:

  • Decentrale overheden:
    • Provincies
    • Waterschappen
    • Gemeentes
  • Rijksoverheid
  • Zelfstandige bestuursorganen
  • Agentschappen
  • Rechtspersonen met een wettelijke taak
  • Overige uitvoeringsorganisaties
  • Gemeenschappelijke organen en openbare lichamen waar het Rijk in deelneemt

Ondersteuning bij de BIO

AuditConnect heeft experts in dienst die jarenlange ervaring hebben opgedaan met implementatietrajecten voor de certificering van ISO 27001. Onze consultants kunnen op een effectieve en efficiënte manier de vereisten van de BIO in de organisatie implementeren door verscheidene stappen te nemen, zoals:

  • Uitvoeren van een GAP-analyse tussen de huidige norm en de BIO. Hierbij brengen wij in kaart waar de organisatie op dit moment staat ten opzichte van de BIO en welke acties nog genomen dienen te worden om aan de BIO te voldoen.
  • Ondersteunen bij de implementatie van de BIO en een managementsysteem voor informatiebeveiliging. We kunnen de organisatie ondersteunen door capaciteit beschikbaar te stellen, om zo op effectieve en efficiënte wijze de stappen te doorlopen om te voldoen aan de BIO.
  • Ondersteunen bij de uitvoering van de BNN toets. Het vinden van passende maatregelen bij geselecteerde beheersmaatregelen vereist risico-denken waar wij de organisatie bij kunnen ondersteunen.
  • Ondersteunen in de uitvoering van risicoanalyse(s). Hierbij worden de bedreigingen voor de bedrijfsmiddelen, kwetsbaarheden en de invloed op de organisatie bepaald.

Advies of een audit uit laten voeren?

Onze geregistreerde IT-auditors en ervaren consultants komen graag met u in contact. Bel 055-3010100 of mail info@auditconnect.nl voor advies en informatie.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect