BIO
Baseline Informatiebeveiliging Overheid
Wat is de BIO?
De BIO (“Baseline Informatiebeveiliging Overheid”) is de specifieke norm voor informatiebeveiliging voor overheidsinstanties (gemeenten, provincies, waterschappen, etc.). Een nieuwe norm die vanaf 1 januari 2020 van kracht is.
Oude baselines in deze nieuwe norm
Dit normenkader Is een samenvoeging en update van voorgaande baselines, zoals de BIG, BIR, IBI en BIWA, die hierdoor worden vervangen. Om de helderheid over de eisen die daarin worden gesteld zo groot mogelijk te maken is de structuur van de BIO gebaseerd op de ISO 27001 en 27002 normen.
Risico’s als vertrekpunt
Bij de BIO staat het risicomanagement centraal. Essentieel is het risicobewustzijn en de wijze waarop de organisatie omgaat met risico’s op het gebied van informatiebeveiliging. Zoals bijvoorbeeld privacy schendingen door een datalek, reputatieschade door het uitlekken van vertrouwelijke plannen of fysieke schade door storingen in systemen in de openbare ruimte.
Drie beschermingsniveaus
De BIO kent drie beschermingsniveaus, de zogenaamde Baseline Beschermingsniveaus (BBN). De zwaarte van de te nemen technische en organisatorische maatregelen moet afgestemd zijn op het risiconiveau van een proces of systeem.
Wanneer bijvoorbeeld een proces wordt vastgesteld op BBN-niveau 2 dan moeten zowel de maatregelen van BBN1 als van BBN2 ingericht worden. Vanuit het hoogste basisbeveiligingsniveau (BBN3) moet er bovendien voldaan worden aan relevante eisen uit o.a. het NAVO-verdrag voor de Beveiliging van Informatie en het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI). Welke BBN niveau nodig of gewenst is wordt bepaald aan de hand van een BBN-toets.
Waarom voldoen aan de BIO?
De BIO is gericht op het verbeteren van de informatiebeveiliging bij alle bestuurslagen van de overheid. Dit is van groot belang omdat de communicatie tussen ondernemers burgers en overheden steeds vaker digitaal plaatsvindt. Inclusief gevoelige en vertrouwelijke informatie. De BIO geldt voor de overheidsinstanties zelf maar aan ook leveranciers van de overheid wordt steeds vaker de eis gesteld om te voldoen aan de BIO.
BIO in relatie tot de ISO 27001
De opbouw van de BIO is gelijk aan het Addendum van ISO 27001. Waarbij de eisen uit het ISO 27001 addendum verder aangescherpt zijn met BIO-specifieke eisen. De eisen zijn strenger naarmate het al eerder genoemde BNN risiconiveau hoger is. De basishoofdstukken 4 tot en met 10 van de ISO 27001 norm (die eisen aan het Plan-Do-Check-Act proces van organisatie stellen) zijn geen onderdeel van de BIO.
Voordelen BIO
Eenduidig normenkader
Het biedt een eenduidig en specifiek normenkader voor informatiebeveiliging voor alle overheidsinstellingen en hun leveranciers.
Aanbesteding
Het biedt leveranciers van de overheid concurrentievoordeel omdat een BIO certificering steeds vaker als eis wordt gesteld bij aanbestedingen.
Samenwerking
Het maakt de onderlinge samenwerking tussen overheidsinstellingen en partners makkelijker doordat alle partijen dezelfde eisen voor informatiebeveiliging volgen.
Risicogebaseerd
Het denken in risico’s wordt door de norm bevorderd, almede de kennisuitwisseling tussen partijen en professionals.
De BIO samengevat
- Een specifieke norm voor overheidsinstellingen
- Ook voor organisaties die een dienst leveren aan overheidsinstanties.
- Mogelijk een wettelijke verplichting.
- Gebaseerd op de structuur van de ISO 27001 en 27002 (addendum).
- Vervangt de bestaande baselines als BIG, BIR, IBI en BIWA
- Legt de nadruk op risicomanagement.
- Bestaat uit meerdere basisbeveiligingsniveaus (BBN).
- Laat zich eenvoudig combineren met bestaande normen als ISO 27001 of NEN 7510
MEER WETEN OVER DE BIO?
Bel ons of laat uw gegevens achter dan bellen we u.