Information Security
BIO normenkader
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor de gehele overheid. Hiermee ontstaat één gezamenlijk normenkader (BIO normenkader) voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO normen. Door de hantering van het BIO normenkader wordt voldaan aan de behoefte om een eenduidige, veilige en herkenbare basis neer te zetten voor de gehele digitale informatiebeveiliging van de overheid.
Voorheen had iedere overheidslaag een eigen baseline; voor Gemeenten was dat BIG, voor het Rijk BIR, voor de Waterschappen BIWA en de Provincies IBI. De oude baselines waren echter voor een groot deel gebaseerd op de ISO normering uit 2005 en liepen achter op de actuele ISO uit 2013 (NEN-ISO 27002). De nieuwe BIO is gebaseerd op de actuele internationale standaarden voor informatiebeveiliging, de ISO 27001 en 27002 en is eenduidig. Alle lagen van de overheid dienen per 2020 te voldoen aan het nieuwe BIO normenkader.
Voordelen één BIO normenkader
Het gebruik van één normenkader voor de gehele overheid biedt een aantal voordelen:
- Aansluiting bij internationale regelgeving en standaarden zoals; NEN 7510 en ISO 27001
- Het versterken van de informatieveiligheid door betere afstemming binnen overheden en andere partijen
- Vermindering van onderhoudskosten
- Administratieve lastenverlichting bij overheid en bedrijven (zowel voor leveranciers als afnemers) door uniforme beveiligingsnormen bij de overheid
Verschillen BIO
Het grote verschil met de oude baselines:
- De BIO is gebaseerd op de nieuwste versies van de ISO 27001 en 27002
- Daarnaast is er een focus op risicomanagement. De basis beveiliging niveaus (BBN) zijn daar het bewijs van. Voor elk bedrijfsproces wordt de BBN-toets uitgevoerd. Op basis van de BBN-score wordt bepaald welke maatregelen relevant zijn om te toetsen voor een bepaald organisatieonderdeel. Door hier effectief mee om te gaan kan het totaal te toetsen maatregelen omlaag gebracht worden.
De rol van de bestuurder en lijnmanager is daarbij ook explicieter. De ‘10 bestuurlijke principes voor informatiebeveiliging’ geven hier invulling aan. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.
- Verder zijn er meerdere controls (beheersmaatregelen) en overheidsmaatregelen. Zoals voor het informatiebeveiligingsbeleid, veilig personeel, beheer van bedrijfsmiddelen, toegangsbeveiliging, cryptografie, fysieke beveiliging (van de omgeving), beveiliging bedrijfsvoering, communicatie(netwerk) beveiliging, acquisitie onderhoud en ontwikkeling van informatiesystemen, leveranciersrelaties, beheer van informatiebeveiligingsincidenten en naleving.