Baseline Informatiebeveiliging Overheid (BIO) & NEN-ISO/IEC 27001 en 27002

De Baseline Informatiebeveiliging Overheid (BIO) biedt een uniform normenkader voor de beveiliging van de informatiehuishouding van alle overheidsinstanties. Hierdoor is het mogelijk om binnen de overheid veilig samen te werken en onderling gegevens uit te wisselen.

De BIO zorgt voor één set heldere afspraken zodat binnen de overheid gegevens op het juiste beveiligingsniveau worden uitgewisseld. Denk hierbij onder andere aan vertrouwelijkheid, integriteit en beschikbaarheid. Beheerders van communicatie- en informatiesystemen leggen ook jaarlijks verantwoording af over de informatiebeveiliging van (en binnen) het systeem.

Hoe voldoe je aan de BIO?

Ten aanzien van de BIO zijn verschillende handreikingen beschikbaar. Zo ontwikkelt het ministerie van BZK de zogenaamde BIO Thema-uitwerkingen, waarin voor bepaalde onderwerpen de praktische uitwerking is opgenomen.

Een standaard BIO-implementatie kent in ieder geval de volgende stappen:

  1. Voer een quickscan uit om het Basis Beveiligingsniveau (BBN) te bepalen.
  2. Voer een fit/gap analyse uit met als uitgangspunt het eerder bepaalde BBN.
  3. Voer, indien nodig, een risicoanalyse uit. Hiermee kunnen eventuele benodigde maatregelen worden bepaald waardoor je een acceptabel restrisico bereikt.

Formele basis en verplichting

De BIO is sinds 1 januari 2019 van kracht. De BIO beschrijft voor de overheid de invulling van de actuele en internationale standaarden voor informatiebeveiliging: NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017.

Aanvullende informatie: Dienst Publiek en Communicatie (DPC)

DPC wijkt enigszins af van het Rijksbrede BIO-model. Dit is omwille van redelijkheid en proportionaliteit, en ter aansluiting bij huidige normenkaders in de maatschappij en het bedrijfsleven. Dit ziet er als volgt uit:

  • Voor niet (bedrijfs)kritische BBN1- en BBN2-systemen, vragen wij aan de ISO27001 te voldoen. Daarbij zullen de normen behorende tot de Rijks-interpretatie van ISO27002 slechts worden uitgevraagd wanneer hier specifieke redenen voor zijn;
  • Indien er clouddienstverlening wordt geleverd en/of gebruikt door leveranciers, is daar een extra set normen op van toepassing. Dit is verder uitgezet in het AZ Cloudbeleid;
  • Wanneer sprake is van verwerking van persoonsgegevens (als verwerkingsverantwoordelijke dan wel verwerker) zijn tevens aanvullende normen van toepassing.

Voor bovenstaande aanpak is een fit/gap analyse (spreadsheetbestand) beschikbaar per specifieke situatie. Dit wordt door DPC aangeleverd.

Download de DPC-aanpak van informatiebeveiliging bij aanbestedingen.