Advies en ondersteuning bij de Baseline Informatiebeveiliging Overheid (BIO)
Per 1 januari 2019 heeft de Baseline Informatiebeveiliging Overheid (BIO) zijn intrede gedaan. De BIO is gebaseerd op de actuele, internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002) en heeft risicomanagement als uitgangspunt. Met de komst van de Baseline Informatiebeveiliging Overheid ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. Bestaande baselines zoals de BIR, BIR 2017, BIG en BIWA worden door de BIO vervangen. 2019 is het zogenaamde overgangsjaar waarin overgestapt kan worden naar de BIO.
De BIO implementeren? Met oog voor praktijk en resultaat!
Voor overheden is het vanaf 1 januari 2020 verplicht om te werken volgens de BIO. CertificeringsAdvies Nederland, de partner in certificeren, begeleidt overheidsorganisaties en bedrijven naar compliancy met de BIO. In onze aanpak nemen wij niet de BIO-richtlijn, maar de organisatie als uitgangspunt. Op pragmatische wijze analyseren wij processen en optimaliseren deze conform de Baseline Informatiebeveiliging Overheid richtlijnen. Met oog voor de praktijk komen wij samen met jouw organisatie en medewerkers tot het beste resultaat voor de organisatie. Benieuwd naar de mogelijkheden? Neem gerust contact op!
Interesse in een adviestraject voor de BIO?
Vraag een vrijblijvende offerte op maat aan!
Transitie naar de Baseline Informatiebeveiliging Overheid
Sinds 2019 is de BIO van kracht. Daarmee is er één gezamenlijk normenkader voor informatiebeveiliging binnen de overheid. De BIO vervangt de bestaande baselines informatiebeveiliging voor Rijk, Gemeenten, Waterschappen en Provincies. Implementatie van de BIO kent voor elke overheidslaag een zelf opgesteld implementatiepad. Iedere overheidsinstantie dient per 1 januari 2020 aan de richtlijnen van de BIO te voldoen.
Een aantal kenmerken van de BIO t.o.v. de oude baselines:
- Gebaseerd op ISO 27001 en ISO 27002
- De BIO kent een stuk minder maatregelen
- De BIO heeft risicomanagement als uitgangspunt
- 3 BasisBeveiligingsNiveaus (BBN’s)
- Een baselinetoets (nu QIS genaamd) die rekening houdt met de 3 BBN’s
- Beheersmaatregelen zijn verplicht en worden toegewezen aan een eindverantwoordelijke
Compliance met de BIO?
Zoals bij ieder goed managementsysteem is de prestatie van de organisatie afhankelijk van de keten. Daarom wordt de BIO ook opgelegd aan dienstenleveranciers van de overheid. CertificeringsAdvies Nederland ondersteunt bedrijven bij compliance met de BIO door de specifieke eisen die daarin staan te borgen binnen de organisatie. Vanuit ISO 27001 perspectief is dat geen bezwaar. Het maakt de invoering van ISO 27001 eerder overzichtelijker dan moeilijker.
Binnen de BIO zijn drie specifieke BasisBeveiligingsNIveaus (BBN’s) gedefinieerd met daarin bepaalde ISO 27002 maatregelen die uitgevoerd dienen te worden door overheidsinstanties en organisaties die volgens overheidsrichtlijnen moeten werken. Het is voor overheidsorganisaties echter wel van belang dat ze het juiste BasisBeveiligingsNiveau kiezen. Bedrijven die leverancier zijn van overheidsinstanties zullen de BBN-eis op organisatieniveau of per informatiesysteem opgelegd krijgen. Als dit niveau hoog is (BBN3), dan zullen er doorgaans meerdere acties uitgevoerd moeten worden op organisatorisch, technisch en fysiek vlak.
Meer lezen over de BIO?
Wil je meer lezen over de Baseline Informatiebeveiliging overheid? Bekijk dan het blogartikel: De transitie naar de Baseline Informatiebeveiliging Overheid.
Hulp nodig bij de Baseline Informatiebeveiliging Overheid?
Binnen onze dienstverlening bieden wij een compleet advies- en opleidingenaanbod aan voor jouw branche. Voor BIO begeleiden we je naar certificering door advies, maar we geven ook diverse opleidingen en trainingen. Om aan te sluiten bij de wensen van onze klanten bestaat onze Baseline Informatiebeveiliging Overheid begeleiding grofweg uit twee verschillende vormen:
Adviseren en coachen:
Binnen deze begeleidingsvorm begeleiden wij op hoofdlijnen. Jouw organisatie voert zelf uitvoerende zaken door, onze adviseur heeft voornamelijk een coachende rol. Eventueel ook mogelijk in combinatie met cursussen en trainingen voor jouw personeel.
Adviseren en uitvoeren:
Binnen deze begeleidingsvorm schrijven wij het managementsysteem op maat en implementeren dat in de organisatie. Bijvoorbeeld met workshops. Jouw organisatie heeft voornamelijk een informerende rol.
Een hybride variant is uiteraard ook mogelijk. We stemmen onze begeleiding af op jouw wensen. Informeer gerust naar de mogelijkheden.
Laatste blogs
Trans-Atlantic Data Privacy Framework: gegevensuitwisseling tussen de EU en VS weer toegestaan, maar voor hoelang?
Het Trans-Atlantic Data Privacy Framework maakt data-uitwisseling tussen EU-VS weer mogelijk, maar dat lijkt een kwestie van tijd.
Webinar: De toegevoegde waarde van ISOPlanner als tool voor ISO 9001, ISO 27001 en/of NEN 7510
In dit artikel zetten we de inhoud van ons webinar over ISOPlanner voor je uiteen: wat is de toegevoegde waarde van de tool?