Wat is de BIO?
De Baseline informatiebeveiliging Overheid (BIO) is het verplichte basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijksdiensten, gemeenten, provincies, waterschappen en Zelfstandige Bestuursorganen). Het BIO normenkader is gebaseerd op de internationaal erkende en actuele ISO-normatiek van de ISO27002 en vanuit de BIO wordt verwezen naar de ISO27001. Bedrijven en organisaties verbonden aan de overheid worden (vaak) ook verzocht te voldoen aan de BIO eisen. Bij het niet voldoen binnen alle overheidslagen aan de BIO eisen is er feitelijk een wetsovertreding. Belangrijk is dus dat uw organisatie kan aantonen, aan relevante stakeholders, dat er wordt voldaan aan de aanvullende BIO eisen.
Verder bestaan er binnen de BIO Basis Beveiliging Niveau’s (BBN) die betrekking hebben op de controls en maatregelen. Dit zijn de 3 BBN’s:
- BBN1: Hier gaat het om wat er minimaal verwacht mag worden van de overheid voor de bescherming van informatie. We hebben hier te maken met een laag betrouwbaarheidsniveau en daarom blijven complexe eisen hier achterwege. Het gaat puur om een minimale basis eis op de beheersmaatregelen.
- BBN2: De meeste informatie binnen de overheid zal op dit niveau worden ingeschaald. Het gaat hier om goed huisvaderschap voor informatie. BBN2 is het minimale niveau waarop met persoonsgegevens gewerkt wordt. Bij BBN2 ligt voor statelijke actoren en vergelijkbare dreigers de nadruk op ‘detectie’.
- BBN3: Hier gaat het om informatie waar weerstand tegen statelijke of criminele actoren (of gelijksoortige dreigers) nodig is. De vertrouwelijkheid heeft hier een hogere score, de andere eisen kunnen nog altijd op midden zitten.
Om het juiste BBN te kiezen is er een baselinetoets beschikbaar.
Binnen de BIO kan het tijdsrovend zijn om de verbanden tussen de context, het informatiebeveiligingsbeleid, de risicoanalyse en de onderwerpen uit BIO én ISO2700x te leggen. Daarnaast zijn ook bewustzijn, het meten van (BIO-) beheersprestaties en het omgaan met incidenten belangrijke thema’s.
Isatis Cyber Security kan bij al deze onderwerpen hulp bieden en zorgen dat uw BIO compliance of voorbereiding op BIO certificering inzichtelijker en beheerbaar wordt.
Voor wie is de BIO?
- De Baseline informatiebeveiliging Overheid (BIO) is verplicht voor alle overheidslagen;
- Rijksdiensten
- Gemeenten
- Provincies
- Waterschappen
- Zelfstandige bestuursorganen (ZBO)
Ook bedrijven of organisaties die gelieerd zijn aan overheidsonderdelen kunnen veel voordeel halen wanneer ze voldoen aan de eisen van de BIO.