Baseline Informatiebeveiliging Overheid (BIO) & NEN-ISO/IEC 27001 en 27002

De BIO biedt een uniform normenkader voor de beveiliging van de informatiehuishouding van alle overheidsorganisaties. Hierdoor kan binnen de overheid veilig worden samengewerkt en gegevens worden uitgewisseld.

In de BIO staat hoe de overheid omgaat met de internationale standaarden voor informatiebeveiliging van nu. Deze standaarden zijn: NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017.


Beheerders van communicatie- en informatiesystemen leggen ook jaarlijks verantwoording af over de informatiebeveiliging van (en binnen) het systeem.

Hoe voldoe je aan de BIO?

Een standaard BIO-implementatie kent de volgende stappen:

  1. Je voert een QuickScan uit om het Basis Beveiligingsniveau (BBN) te bepalen;
  2. Daarna voer je een Fit/Gap-analyse uit met als uitgangspunt het eerder vastgestelde BBN;
  3. Als het nodig is, voer je daarnaast een risicoanalyse uit. Hiermee bepaal je mogelijke maatregelen waardoor je een acceptabel restrisico bereikt.

Er zijn ook verschillende handreikingen. Het ministerie van BZK ontwikkelt bijvoorbeeld BIO Thema-uitwerkingen. Hierin wordt uitgelegd hoe je enkele onderwerpen praktisch uitwerkt. Hiervoor zijn ook verschillende voorbeelden beschikbaar.

Is dit verplicht?

Iedere overheidsorganisatie moet de BIO invoeren. De BIO geldt sinds 1 januari 2019.

Meer informatie

DPC heeft een eigen aanpak van informatiebeveiliging voor aanbestedingen ontwikkeld.
Hierbij houdt DPC rekening met redelijkheid en proportionaliteit. Ook is aansluiting gezocht bij de normenkaders van nu in de samenleving en het bedrijfsleven.

Zie voor meer informatie: DPC-aanpak van informatiebeveiliging bij aanbestedingen.