1. IT Audit & Assurance
  2. BIO

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van eerder gebruikte normenkaders als BIWA, BIG, BIR en IBI, die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27001.

Baseline Informatiebeveiliging Overheid (BIO)

De ISO 27001:2013, bekend als het Informatie Security Management Systeem (ISMS). De ISO 27001:2013 is één van de meest erkende internationale informatiebeveiligingsnormen. De ISO 27002 is een implementatiegids van de beheersingsmaatregelen in de ISO 27001:2013 (Annex A).

De BIO heeft als doel de informatie(-systemen) bij alle bestuurslagen en bestuursorganen van de overheid te beschermen. Alle bestuursorganen van de overheid dienen erop toe te zien dat onderling uitgewisselde gegevens beveiligd zijn, in overeenkomst met wet- en regelgeving.

Achtergrond van de BIO

Gemeenten hanteren sinds 2013 de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Ook andere overheidsorganen, zoals het rijk, provincies en waterschappen werken conform een eigen separaat normenkader (BIR, BIWA, IBI). Vanaf 1 januari 2020 hanteren alle overheidsorganen één gezamenlijk normenkader, genaamd de Baseline Informatiebeveiliging Overheid (BIO).

Verschil met de BIG/BIR/BIWA

In de BIO wordt er meer nadruk gelegd op risicomanagement. De BIO biedt daarvoor een zogenaamde BNN-toets. Op basis van kans en impact, voortkomend uit de beschikbaarheid, integriteit en vertrouwelijkheid, zijn er drie basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijhorende beveiligingseisen. Waar de BIG één beveiligingsniveau kent en 300+ maatregelen, wordt er nu per informatiesysteem één basisbeveiligingsniveau (BBN) bepaald. Ieder BBN bestaat uit een aantal controles (ISO 27002), een aantal verplichte overheidsmaatregelen en een verantwoordings- en toezichtregime.

De grootste verschillen tussen de BIO en de BIG/BIR/BIWA zijn:

  • Het aantal maatregelen (bijna 60% minder)
  • Meer nadruk op risicomanagement
  • 3 Basisbeveiligingsniveaus (BBN’s)
  • Het uitvoeren van een GAP-analyse, welke invulling geeft aan het basisbeveiligingsniveau van informatie(-systemen)
  • Toewijzing van maatregelen op eindverantwoordelijke(n)

Voor gemeenten heeft de invoer van de BIO een grote impact, gezien binnen de ENSIA verantwoording de BIG vervangen zal worden door de BIO. Wilt u meer lezen over ENSIA en onze diensten binnen dit product, raadpleeg dan onze ENSIA pagina.

De waterschappen lieten zich al eerder toetsen op de ISO 27002, waardoor de impact voor hen minder zal zijn. Voor de Ministeries zal de impact met name liggen bij alle organisaties waar zaken zijn uitbesteed. Jaarlijks moeten de Ministeries een BIR In Control Statement overleggen, waarbij alle leveranciers worden betrokken. Door de BIO zal dit een impact hebben op deze verklaringen en daarmee op de leveranciers.

Overgangsjaar 2019

Vanaf 1 januari 2019 is de BIO van kracht, het jaar 2019 dient als overgangsjaar. Krachtens de richtlijn zijn alle bestuurslagen en bestuursorganen verplicht om vanaf 1 januari 2020 volledig conform de BIO te werken. Het verantwoordingsproces ENSIA zal in 2019 worden bijgewerkt naar de BIO.

Voor welke bestuursorganen is de BIO van toepassing?

De BIO is van toepassing op de volgende bestuursorganen:

  • Decentrale overheden:
    • Provincies
    • Waterschappen
    • Gemeentes
  • Rijksoverheid
  • Zelfstandige bestuursorganen
  • Agentschappen
  • Rechtspersonen met een wettelijke taak
  • Overige uitvoeringsorganisaties
  • Gemeenschappelijke organen en openbare lichamen waar het Rijk in deelneemt

Ondersteuning bij de BIO

Avensus heeft experts in dienst die jarenlange ervaring hebben opgedaan met implementatietrajecten voor de certificering van ISO 27001. Onze consultants kunnen op een effectieve en efficiënte manier de vereisten van de BIO in de organisatie implementeren door verscheidene stappen te nemen, zoals:

  • Uitvoeren van een GAP-analyse tussen de huidige norm en de BIO. Hierbij brengen wij in kaart waar de organisatie op dit moment staat ten opzichte van de BIO en welke acties nog genomen dienen te worden om aan de BIO te voldoen.
  • Ondersteunen bij de implementatie van de BIO en een managementsysteem voor informatiebeveiliging. We kunnen de organisatie ondersteunen door capaciteit beschikbaar te stellen, om zo op effectieve en efficiënte wijze de stappen te doorlopen om te voldoen aan de BIO.
  • Ondersteunen bij de uitvoering van de BNN toets. Het vinden van passende maatregelen bij geselecteerde beheersmaatregelen vereist risico-denken waar wij de organisatie bij kunnen ondersteunen.
  • Ondersteunen in de uitvoering van risicoanalyse(s). Hierbij worden de bedreigingen voor de bedrijfsmiddelen, kwetsbaarheden en de invloed op de organisatie bepaald.

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen. ENSIA staat voor Eenduidige Normatiek Single Information Audit.

ISAE 3402

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

SOC2

Een assurance rapportage op basis van vastgestelde principes om vast te stellen in hoeverre uw organisatie in control is over de uitbestede activiteiten. Voor IT-serviceorganisaties is het, voor het vertrouwen van hun klanten, van toegevoegde waarde om een onafhankelijk oordeel over de beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy te kunnen overleggen.

ISAE 3000

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om u deskundig te ondersteunen. Avensus helpt u graag op een breed vakgebied om “in control” te blijven met betrekking tot uw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in uw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu