Baseline Informatiebeveiliging Overheid
Informatiebeveiliging binnen de overheid
De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Met de komst van de BIO op 1 januari 2020 is er nog maar één normenkader. Voorheen had elke overheidslaag zijn eigen norm voor informatiebeveiliging (BIG, BIR, BIWA, IBI). De BIO is een doorontwikkeling van deze normen en heeft als doel het beschermen van de informatiesystemen van alle bestuursorganen van de overheid.
Uitleg over de BIO
Wat is de BBN-toets?
De BIO biedt een zogenaamde BBN-toets. BBN is een afkorting van basisbeveiligingsniveaus. Deze BBN-toets heeft als doel om een inschatting van impact en kans te maken, gebaseerd op beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Met deze inschatting kunnen drie BBN’s worden bepaald, inclusief de daaraan gekoppelde beveiligingseisen. Ieder BBN bestaat uit specifieke controles die voortkomen uit de ISO 27002, verplichte overheidsmaatregelen en een methodiek voor compliance. Een belangrijk voordeel is dat er nu gericht per informatiesysteem één BBN kan worden bepaald, waarmee er focus wordt aangebracht in de relevantie van risico’s. De kracht van deze risico gestuurde aanpak is dat bewuste keuzes kunnen worden gemaakt wat echt risicovol is.
Wat is de link met ISO 27001?
Het kader van BIO is gebaseerd op de internationaal erkende ISO systematiek, namelijk op de implementatierichtlijnen van ISO 27002. Dit maakt het goed te integreren in een bestaand managementsysteem. ISO 27002 is een toelichting op ISO 27001, de internationale norm voor informatiebeveiliging. ISO 27002 specificeert beheersmaatregelen voor informatiebeveiliging risico’s en -bedreigingen. De BIO bevat een aanvullende toelichting op deze beheersmaatregelen, inclusief voorbeelddocumentatie.
Hoe kunnen wij helpen?
Cuccibu kan jouw organisatie helpen bij het realiseren van compliance volgens BIO. We hebben ervaring met het opstellen van GAP-analyses en het ontwikkelen van een managementsysteem dat voldoet aan de eisen van de BIO.
Meest gestelde vragen
We zetten de meest gestelde vragen over BIO voor je op een rijtje.
De BIO heeft de BIG, BIR, BIWA en IBI vervangen. Dit zijn de oude normen voor informatiebeveiliging die binnen de overheid werden gebruikt. Dit heeft de volgende wijzigingen opgeleverd:
- Een uniform normenkader voor de overheid;
- Focus op risicomanagement;
- Door middel van een GAP-analyse de basisbeveiligingsniveaus (BBN’s) bepalen;
- Maatregelen gericht toewijzen aan verantwoordelijken.
Het gebruik van één normenkader voor alle overheidslagen biedt een aantal praktische voordelen, namelijk:
- Versterkte informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting bij overheid en bedrijven door uniforme beveiligingsnormen bij de overheid;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
De BIO onderscheidt drie basisbeveiligingsniveaus (BBN’s). BBN1 is het niveau waaraan alle overheidssystemen minimaal dienen te voldoen. Het gaat over openbare en niet-gevoelige informatie. Bij BBN2 ligt de focus op bewuste bescherming van veelgebruikte informatie. Er wordt op dit niveau vertrouwelijke informatie verwerkt. Incidenten kunnen leiden tot ophef. BBN3 is van kracht wanneer het lekken van de data gevolgen heeft voor de nationale veiligheid.
De BIO is interessant voor onder andere de volgende organisaties:
- Rijksoverheid
- Provincies
- Gemeentes
- Waterschappen
- Zelfstandige bestuursorganen
- Organen en lichamen waarin het Rijk deelneemt
- Rechtspersonen met wettelijke taak
- Agentschappen
- Overige uitvoeringsinstanties
In 2022 is een nieuwe versie van ISO 27002 gepubliceerd. De norm kent in totaal nog 93 beheersmaatregelen, de hoofdstukindeling is gewijzigd en er zijn 11 nieuwe beheersmaatregelen toegevoegd. De BIO is gebaseerd op ISO 27002 en dus hebben de wijzigingen impact op de baseline. In opdracht van BZK is onderzoek uitgevoerd naar de impact van de ISO 27002 op de huidige BIO. Op basis daarvan is besloten dat de BIO de nieuwe ISO 27002 blijft volgen. De BIO wordt aangepakt. Tot op heden is er nog geen herziene versie van de BIO gepubliceerd.
