Baseline Informatiebeveiliging Overheid

Offerte aanvragen


Baseline Informatiebeveiliging Overheid (BIO)

De Baseline Informatiebeveiliging Overheid (BIO) is sinds 2019 de opvolger van o.a. de BIR en de BIG. BIO is dé universele baseline voor alle Nederlandse overheden en organisaties die hieraan contractueel verbonden zijn. Inhoudelijk is de BIO vergelijkbaar met bijlage A uit ISO 27001 en de uitwerking daarvan in ISO 27002.

Waarom BIO?

De overheid heeft ISO 27002 omarmd als framework voor informatiebeveiligingsmaatregelen. BIO is de vertaling van ISO 27002 vanuit overheidsperspectief. Organisaties die ISO 27001 gecertificeerd voldoen daarmee automatisch aan de inhoud BIO. Er kan echter geen BIO-certificaat behaald worden, organisaties verklaren zelf door middel van een verklaring van toepasselijkheid welke eisen van toepassing en geïmplementeerd zijn. Hiermee is BIO een goedkoper alternatief voor ISO 27001, omdat er geen certificeringskosten hoeven te worden gemaakt. Toch kiezen veel organisaties voor een erkende ISO 27001 certificering omdat hiermee voorkomen wordt dat steeds aan opdrachtgevers moet worden uitgelegd welke beveiligingsmaatregelen worden toegepast.

Wat houdt BIO in?

De BIO bevat meer dan 100 eisen die ingedeeld zijn op de volgende onderwerpen. Een organisatie bepaalt zelf op basis van toepasselijke wetgeving, klanteneisen, risicoanalyses en beleid welke maatregelen geïmplementeerd moeten worden. De rubrieken zijn:

  • Informatiebeveiligingsbeleid
  • Organiseren van informatiebeveiliging
  • Veilig personeel
  • Beheer van bedrijfsmiddelen
  • Toegangsbeveiliging
  • Cryptografie
  • Fysieke beveiliging en beveiliging van de omgeving
  • Beveiliging bedrijfsvoering
  • Communicatiebeveiliging
  • Acquisitie, ontwikkeling en onderhoud van informatiesystemen
  • Leveranciersrelaties
  • Beheer van informatiebeveiligingsincidenten
  • Informatiebeveiligingsaspecten van bedrijfscontiniuïteitsbeheer
  • Naleving

BIO of ISO 27001?

BIO en ISO 27001 zijn qua maatregelen en procedures vrijwel identiek. Een belangrijk verschil is echter dat ISO 27001 ook eisen stelt aan het onderhouden en verbeteren van de maatregelen. Dit moet namelijk volgens de PDCA gedaan worden. Wij zien dat BIO vaak een eerste stap is naar een meer volwassen informatiebeveiligingsbeleid, die later gevolgd wordt door de uitbreiding naar een volwaardig managementsysteem. 

De verschillen tussen BIO en ISO 27001 nog even op een rijtje:

  • ISO 27001 bevat de eisen uit ISO 27002 aangevuld met eisen voor het onderhouden en verbeteren van informatiebeveiliging. Organisaties kunnen een ISO 27001 certificaat behalen dat internationaal erkend is.
  • BIO bevat alleen de eisen uit ISO 27002. BIO geldt alleen in Nederland en organisaties kunnen geen certificaat behalen.

Voor wie is BIO bedoeld?

BIO is bedoeld voor leveranciers van informatiediensten aan de overheid en overheidsorganisaties. 

Hoe kan Vos Orbedo u helpen met BIO?

Wij helpen u met een aanpak die in middelen en geld is toegespitst op uw bedrijf met als doel: een betrouwbare bedrijfsvoering en eenvoudig te onderhouden certificering. Zo heeft u voor een succesvol BIO-traject de keuze uit:

  • Projectmatige aanpak. Hiermee krijgt u optimaal maatwerk, waarbij een mix van training, software, audits en ondersteuning kan worden ingezet. 
  • Interim ondersteuning. Hiermee krijgt u de beschikking over één of meerdere professionals die u tijdelijk ondersteunen bij het implementeren van de BIO-eisen.

Bel of mail ons en kom er in een persoonlijk gesprek snel achter welke keuze het beste bij u past.