BIO compliance

Bij de implementatie van de informatie beveiligingsnorm BIO (Baseline informatiebeveiliging Overheid) is het heel goed mogelijk dat u vastloopt. Het in kaart brengen van risico’s, middelen en processen is niet altijd even eenvoudig en de norm lijkt maar al te vaak op verschillende manieren uitlegbaar. Informatiebeveiliging lijkt een soort labyrint waarin het mogelijk is dat u bij elke stap verder verdwaalt. De overheid heeft haar handreikingen en hulpdocumenten maar daarmee alleen is de informatiebeveiliging en privacy niet zomaar geregeld. Hier beschrijven wij onze bewezen succesvolle aanpak om in een vijftal stappen BIO compliance te waarborgen en eventueel, indien gewenst, daarna succesvol te certificeren.

Neem vrijblijvend contact op

Wettelijke relevantie Baseline Informatiebeveiliging Overheden

Welke verplichtingen heb ik als aanbieder óf verwerker in de overheid in het kader van het omgaan en uitwisselen van (bijzondere) persoonsgegevens? Hieronder een kleine opsomming:

De Ministerraad heeft op 14 december 2018 besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen (bevestigd in de circulaire van 9 januari 2020 waarmee de BIO versie 1.04 van toepassing wordt verklaard).

Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt gewerkt aan wettelijke verankering van de BIO.

Onderzoeksrapport Haga ziekenhuis 2019: Toetsing maatregelen en Controls aan de NEN7510 én Besluit elektronische gegevensverwerking voor Zorgaanbieders. Niet voldoen aan NEN7510 heeft geleid tot boete 400K door de AP.

Los van de specifieke afspraken die een departement met haar ZBO’s maakt, is elke overheidspartij in het digitale verkeer met het Rijk verplicht de BIO te hanteren.

Compliant in 5- en gecertificeerd in 6 stappen

De gehanteerde aanpak is verdeeld over 6 stappen en gaat uit van een integrale aanpak van ‘opzet’, ‘bestaan’ en ‘werking’. De effectieve werking wordt direct geïntegreerd. Door het inrichten van een ISMS en het uitvoeren van verplichte activiteiten kan aantoonbaar gemaakt worden dat voldoende aandacht wordt besteed aan informatiebeveiliging. Dit wordt verder ondersteunt door een serie aan standaard content zoals templates, vragenlijsten, dreigingen lijsten, risico assesments en beleidsdocumenten etc.

Meer over onze werkwijze

Binnen 5 minuten gratis weten wat uw risicoprofiel is?

Toegevoegde waarde van BIO compliance of BIO certificering

Waarom zou u zoveel moeite moeten doen om de BIO te implementeren? Allereerst moet uw organisatie natuurlijk voldoen aan wet- en regelgeving als u een overheidsinstelling of direct gerelateerd aan de overheid bent. En u wilt natuurlijk onnodige boetes en reputatieschade voorkomen. Maar dat zijn niet de belangrijkste argumenten. In het proces van compliance en certificering wordt de volwassenheid van informatiebeveiliging rondom de belangrijkste processen sterk vergroot. Bovendien worden de beveiligingsmaatregelen beter ingericht, wat het risico op gijzeling van data sterk verkleint. Verder is het ook belangrijk om aan uw partners en klanten te kunnen aantonen dat informatiebeveiliging en privacy goed belegd zijn binnen uw organisatie. Wanneer u voldoet aan de eisen van de BIO zorgt u voor een betere continuïteit en volwassenheid van de verschillende processen.

Stel uw vraag vrijblijvend

Wat is de BIO?

De Baseline informatiebeveiliging Overheid (BIO) is het verplichte basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijksdiensten, gemeenten, provincies, waterschappen en Zelfstandige Bestuursorganen). Het BIO normenkader is gebaseerd op de internationaal erkende en actuele ISO-normatiek van de ISO27002 en vanuit de BIO wordt verwezen naar de ISO27001. Bedrijven en organisaties verbonden aan de overheid worden (vaak) ook verzocht te voldoen aan de BIO eisen.Bij het niet voldoen binnen alle overheidslagen aan de BIO eisen is er feitelijk een wetsovertreding. Belangrijk is dus dat uw organisatie kan aantonen, aan relevante stakeholders, dat er wordt voldaan aan de aanvullende BIO eisen.

Verder bestaan er binnen de BIO Basis Beveiliging Niveau’s (BBN) die betrekking hebben op de controls en maatregelen. Dit zijn de 3 BBN’s:

  • BBN1: Hier gaat het om wat er minimaal verwacht mag worden van de overheid voor de bescherming van informatie. We hebben hier te maken met een laag betrouwbaarheidsniveau en daarom blijven complexe eisen hier achterwege. Het gaat puur om een minimale basis eis op de beheersmaatregelen.
  • BBN2: De meeste informatie binnen de overheid zal op dit niveau worden ingeschaald. Het gaat hier om goed huisvaderschap voor informatie. BBN2 is het minimale niveau waarop met persoonsgegevens gewerkt wordt. Bij BBN2 ligt voor statelijke actoren en vergelijkbare dreigers de nadruk op ‘detectie’.
  • BBN3: Hier gaat het om informatie waar weerstand tegen statelijke of criminele actoren (of gelijksoortige dreigers) nodig is. De vertrouwelijkheid heeft hier een hogere score, de andere eisen kunnen nog altijd op midden zitten.

Om het juiste BBN te kiezen is er een baselinetoets beschikbaar.

Binnen de BIO kan het tijdsrovend zijn om de verbanden tussen de context, het informatiebeveiligingsbeleid, de risicoanalyse en de onderwerpen uit BIO én ISO2700x te leggen. Daarnaast zijn ook bewustzijn, het meten van (BIO-) beheersprestaties en het omgaan met incidenten belangrijke thema’s.
Isatis Cyber Security kan bij al deze onderwerpen hulp bieden en zorgen dat uw BIO compliance of voorbereiding op BIO certificering inzichtelijker en beheerbaar wordt.

Voor wie is de BIO?

  • De Baseline informatiebeveiliging Overheid (BIO) is verplicht voor alle overheidslagen;
  • Rijksdiensten
  • Gemeenten
  • Provincies
  • Waterschappen
  • Zelfstandige bestuursorganen (ZBO)

Ook bedrijven of organisaties die gelieerd zijn aan overheidsonderdelen kunnen veel voordeel halen wanneer ze voldoen aan de eisen van de BIO.

Wat is een ISMS?

ISMS staat voor information security management system en wordt bijvoorbeeld gebruikt als methodologie voor de ISO27001 of in dit geval, voor de BIO.

Een ISMS is de manier waarop je de informatiebeveiliging kunt inrichten en besturen. Dat kan op basis van eigen organisatie specifieke kenmerken en doelen. Er zijn een aantal ISMS activiteiten die verplicht zijn. Denk daarbij aan bijvoorbeeld een verklaring van toepasselijkheid, het uitvoeren van een jaarlijkse interne audit of het uitvoeren van risico analyses. Belangrijk is verder de aantoonbaarheid (bewijs aanleveren) van alle onderdelen van het ISMS tijdens een audit. Het ISMS is dus feitelijk een manier van werken die aantoonbaar te maken is.

Het ISMS gaat uit van de PDCA cyclus, wat betekent dat je constant moet blijven verbeteren. Deze verbeteringen dienen ook aantoonbaar vastgelegd te zijn.

Het is belangrijk dat het ISMS geïntegreerd is met de procedures, de algehele managementstructuur van de organisatie en dat bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen rekening wordt gehouden met informatiebeveiliging.
Het doel van het ISMS is om continu te beoordelen of beveiligingsmaatregelen passend en effectief zijn en of deze moeten worden aangepast vanwege veranderende omstandigheden of nieuwe wet- en regelgeving.
Isatis Cyber Security biedt praktische richtlijnen voor overheidsinstanties en samenwerkingsverbanden om aan geldende regelgeving te voldoen.

Waar moet u aan voldoen voor BIO compliance?

Om u een beeld te geven hebben we een aantal vragen met toelichting inzake BIO compliance op een rijtje gezet:

 

  • In hoeverre heeft u de context van de organisatie bepaald? Hierbij moet rekening worden gehouden met de eisen en verwachtingen van interne en externe stakeholders, regelgeving, ontwikkelingen van buitenaf en concrete kwesties die intern een rol spelen in de organisatie.
  • Wat is het toepassingsgebied (scope) van het ISMS? Dit moet duidelijk zijn vastgesteld.
  • In welke mate is de Directie betrokken bij het informatiebeveiligingsbeleid? Om te voldoen aan de BIO moeten duidelijke regels, rollen en verantwoordelijkheden zijn opgesteld en middelen beschikbaar zijn gesteld die gekoppeld zijn aan eigenaren.
  • Zijn de risico’s en kansen voor uw organisatie vastgesteld door middel van een risico analyse? Hiervoor is het verplicht procedures vast te leggen zodat de risico analyse in de toekomst gerepliceerd kan worden en dus gelijkwaardige uitkomsten opleverd.
  • Alle vastgestelde beheersdoelen moeten worden beoordeeld op relevantie, toepasselijk worden verklaard, en indien vereist, schriftelijk worden vastgelegd en geïmplementeerd. In hoeverre is dit duidelijk?
  • In hoeverre worden er interne audits uitgevoerd? Volgens de BIO moeten onderstaande zaken periodiek worden gemeten en gemonitord:
    • Informatiebeveiligingsdoelen
    • Incidenten
    • Gegevensbeveiligingsprocessen
  • Vinden er evaluaties plaats over de effectiviteit van de genomen maatregelen met betrekking tot gegevensbeveiliging? Denk hierbij aan een periodieke directiebeoordeling.
  • In hoevere is de organisatie in staat om te leren van fouten, klachten en afwijkingen en neemt de organisatie corrigerende maatregelen om hiermee om te gaan?

De complete lijst met eisen van de BIO vindt u terug in de officiële BIO norm.

Extra stap in het geval van BIO Certificering

Dit is de 6e stap van het Isatis Cyber Security certificeringsproces. De BIO kan gecertificerrd worden tegen de ISO27001 Annex A. Hiermee is het compliant zijn ook daadwerkelijk aantoonbaar richting andere overheden, ketenpartners en klanten en/of burgers.

Hier onder een aantal opdrachtgevers van Isatis Cyber Security:

Heeft u een vraag of wilt u aanvullende informatie over uw proces tot volledige BIO compliance?

Neem contact op via het onderstaande formulier en we komen er binnen 24 uur op terug