Baseline Informatiebeveiliging Overheid (BIO)

"Eén gezamenlijke baseline voor alle overheidsorganisaties biedt vele voordelen. Het vergroot de informatieveiligheid, zorgt voor eenduidigheid en leidt bovendien tot kostenbesparing", aldus de overheidssite over de baseline.

De Baseline Informatiebeveiliging Overheid (BIO) is een gezamenlijk product van het Rijk, provincies, gemeenten en waterschappen en is de opvolger van de normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

De ISO 27002 is onderdeel van de ISO 27001:2013, bekend als het Informatie Security Management Systeem (ISMS). De ISO 27001:2013 is één van de meest erkende internationale informatiebeveiligingsnormen. De ISO 27002 is een implementatiegids van de beheersingsmaatregelen in de ISO 27001:2013 (Annex A).

De BIO heeft als doel de informatie(-systemen) bij alle bestuurslagen en bestuursorganen van de overheid te beschermen. Alle bestuursorganen van de overheid dienen erop toe te zien dat onderling uitgewisselde gegevens beveiligd zijn, in overeenkomst met wet- en regelgeving.

De BIO bevat allerlei maatregelen om systemen te beveiligen en bijvoorbeeld malware of andere aanvallen te voorkomen. Als het gaat om bescherming tegen malware betreft het zaken als het beperken van het downloaden van bestanden, het voorlichten van gebruikers, het scannen van computers en updaten van antivirussoftware. Ook worden er handreikingen gedaan voor back-up en recovery, zoals maximale dataverlies en hersteltijd, die respectievelijk op 28 uur en 16 werkuren zijn gesteld.

Andere onderwerpen in de BIO zijn logging en monitoring, beheer van technische kwetsbaarheden, audits van informatiesystemen, netwerkbeveiliging, het veilig uitwisselen van informatie, beveiligingseisen voor systemen, omgang met leveranciers en informatiebeveiligingsincidenten, veiligheid van telewerken en het gebruik van mobiele apparatuur, screening van personeel en compliance.

Advies over de BIO?

12secure-u en zijn partners werken al jaren binnen diverse gemeenten als adviseurs of IT-Auditors op de vele vlakken van informatiebeveiliging, bijvoorbeeld in het kader van BIR, ENSIA, DigiD en Suwinet. Daarnaast ondersteunen wij jaarlijks tientallen klanten bij implementatietrajecten voor de certificering van onder andere een Informatie Security Management Systeem (ISMS) conform de ISO 27001:2013.

Verschil met de BIG/BIR/BIWA

In de BIO wordt er meer nadruk gelegd op risicomanagement. De BIO biedt daarvoor een zogenaamde BNN-toets. Op basis van kans en impact, voortkomend uit de beschikbaarheid, integriteit en vertrouwelijkheid, zijn er drie basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijhorende beveiligingseisen. Waar de BIG één beveiligingsniveau kent en 300+ maatregelen, wordt er nu per informatiesysteem één basisbeveiligingsniveau (BBN) bepaald. Ieder BBN bestaat uit een aantal controles (ISO 27002), een aantal verplichte overheidsmaatregelen en een verantwoordings- en toezichtregime.

De grootste verschillen tussen de BIO en de BIG/BIR/BIWA zijn:

  • Het aantal maatregelen (bijna 60% minder)
  • Meer nadruk op risicomanagement
  • 3 Basisbeveiligingsniveaus (BBN's)
  • Het uitvoeren van een GAP-analyse, welke invulling geeft aan het basisbeveiligingsniveau van informatie(-systemen)
  • Toewijzing van maatregelen op eindverantwoordelijke(n)

Voor gemeenten heeft de invoer van de BIO een grote impact, gezien binnen de ENSIA verantwoording de BIG vervangen zal worden door de BIO. Wilt u meer lezen over ENSIA en onze diensten binnen dit product, raadpleeg dan onze ENSIA pagina.

Ondersteuning bij de BIO

12secure-u en zijn partners hebben experts in dienst die jarenlange ervaring hebben opgedaan met implementatietrajecten voor de certificering van ISO 27001. Onze consultants kunnen op een effectieve en efficiënte manier de vereisten van de BIO in de organisatie implementeren door verscheidene stappen te nemen, zoals:

  • Uitvoeren van een GAP-analyse tussen de huidige norm en de BIO. Hierbij brengen wij in kaart waar de organisatie op dit moment staat ten opzichte van de BIO en welke acties nog genomen dienen te worden om aan de BIO te voldoen.
  • Ondersteunen bij de implementatie van de BIO en een managementsysteem voor informatiebeveiliging. We kunnen de organisatie ondersteunen door capaciteit beschikbaar te stellen, om zo op effectieve en efficiënte wijze de stappen te doorlopen om te voldoen aan de BIO.
  • Ondersteunen bij de uitvoering van de BNN toets. Het vinden van passende maatregelen bij geselecteerde beheersmaatregelen vereist risico-denken waar wij de organisatie bij kunnen ondersteunen.
  • Ondersteunen in de uitvoering van risicoanalyse(s). Hierbij worden de bedreigingen voor de bedrijfsmiddelen, kwetsbaarheden en de invloed op de organisatie bepaald. 
 
 
 
Opbellen
E-mail
Info