Informatiebeveiliging bij de overheid

BIO staat voor Baseline Informatiebeveiliging Overheid. Het is de informatie-beveiligingsstandaard voor Rijk, Gemeenten, Waterschappen en Provincies. De beveiligingsmaatregelen (controls) zijn gebaseerd op ISO 27001. Deze controls zijn in de basis identiek, maar hebben in de BIO veelal een aantal toevoegingen. Zaken die in ISO 27001 enigszins naar eigen inzicht (maar passend bij de organisatie) ingevuld kunnen worden, zijn hier expliciet gemaakt.

​

Baseline

Het grootste verschil tussen ISO 27100 en BIO is dat ISO 27001 een managementsysteem is en BIO een baseline. Bij ISO 27001 is het uitgangspunt om controls te selecteren en implementeren op basis van een context- en risicoanalyse. De risicobereidheid van de organisatie bepaalt in welke vorm en omvang een control geïmplementeerd wordt. Daar heeft de organisatie enige bewegingsvrijheid in.

 

De baseline van BIO schrijft echter heel concreet de invulling van de controls voor. De selectie en implementatie van controls is daarmee niet gebaseerd op de belangrijkste informatiebeveiligingsrisico's van de organisatie. Daarentegen is het met behulp van BIO wel ondubbelzinnig vastgelegd op welke wijze controls geïmplementeerd moeten worden. Met behulp van een zogenaamde basisbeveiligingsniveau (BNN)-toets wordt tevens vastgesteld hoe strikt de control geïmplementeerd moet worden. Dit is een beknopte risicoafweging op het niveau van individuele informatiesystemen.

​

Compliance Agency ondersteunt overheidsorganisaties met het uitvoeren van de BNN-toets en de implementatie van de juiste controls.