De BIO. BIO-logisch? | Audittrail, uw partner in compliancevraagstukken
Home
Oplossingen
Informatiebeveiliging
Privacy
Awareness
PRISM
Cyber Resilience Games
Microsoft
Trainingen
Maatwerk
Inspiratie
Blog
Video's
Whitepapers
Klantcases
Events & Webinars
Over ons
Over Audittrail
Werken bij Audittrail
Partners
Inschrijven nieuwsbrief
FAQ
PRISM inlog
ENG
Contact
Home
Oplossingen
Informatiebeveiliging
Privacy
Awareness
PRISM
Cyber Resilience Games
Microsoft
Trainingen
Maatwerk
Inspiratie
Blog
Video's
Whitepapers
Klantcases
Events & Webinars
Over ons
Over Audittrail
Werken bij Audittrail
Partners
Inschrijven nieuwsbrief
FAQ
PRISM inlog
ENG
Contact
In dit artikel
Inhoudsopgave
De BIO. BIO-logisch?
Jorrit van de Walle
15 juni 2020 
in Informatiebeveiliging

De BIO. BIO-logisch?

De BIO heeft niets te maken met groente of fruit, maar meer met informatiebeveiliging. De BIO staat namelijk voor Baseline Informatiebeveiliging Overheid en is in werking sinds 1 januari 2020. Maar wat houdt de BIO eigenlijk in? Wat zijn de voordelen en de verplichtingen met het werken met de BIO?

De basis van de BIO (en alle andere baselines)

In Nederland, of eigenlijk in West-Europa zijn alle raamwerken in informatiebeveiliging gebaseerd op de NEN-ISO/IEC27000-serie. Daarvan zijn de ISO27001 en ISO27002 de bekendste. De ISO27001 is het managementraamwerk. De PDCA en wat je moet doen om te zorgen dat ‘doen aan security’ niet blijft hangen in de vorm van een project. En dus niet volwassener wordt. De ISO27002 is een heldere en uitgebreide lijst met normen, maatregelen en implementatierichtlijnen, georganiseerd in overzichtelijke domeinen. De ISO wordt, zoals gebruikelijk periodiek geüpdatet. De laatste update was van 2013, die daarvoor van 2005. Je wilt natuurlijk wel met je tijd meegaan! volgende overheidsinstanties dienen te voldoen aan de BIO:

  • Rijksoverheid
  • Provinciale overheid
  • Gemeenten
  • Waterschappen

Meerdere normenkaders in het Nederlandse informatiebeveiligingslandschap.

Bij de Nederlandse overheden en in verschillende sectoren werden en worden raamwerken gebruikt die afgeleid zijn van de hierboven genoemde ISO. In de zorg de NEN7510, bij woningcorporaties de BIC. En bij de overheid had iedere bestuurslaag haar eigen baseline: gemeenten de BIG, waterschappen de BIWA, Provincies de IBI en de Rijksoverheid de BIR. De BIR was gebaseerd op de ISO-update van 2013, maar de andere baselines waren nog gebaseerd op de versie uit 2005. Dit zorgde voor verwarring en werkte buitengewoon onhandig. Plus dat de wereld er nu natuurlijk heel anders uit ziet! Ook bleek er een grote behoefte om één baseline voor de gehele overheid te hebben: het stimuleert herkenbaarheid en eenduidigheid.

Evolutie

Daarom werd het tijd voor een update. De BIO vervangt zowel de BIR, de BIWA, de IBI als de BIG. Wel is de BIO gebaseerd op de BIG; het is een evolutie. Maar wat wil men bereiken met de BIO? Met het invoeren van de BIO beoogt men de beveiliging van informatiesystemen bij alle overheidsonderdelen te verbeteren. Alle overheidsinstanties kunnen hiermee aantonen dat de informatie die wordt verstuurd of ontvangen, voldoen aan passende wet- en regelgeving en daarmee goed beveiligd zijn. De BIG was meer ingestoken vanuit het treffen van maatregelen; de BIO legt meer nadruk op risicomanagement. Wat ons betreft een goede ontwikkeling. In onze dagelijkse praktijk zien wij gelukkig meer en meer aandacht voor de aansluiting tussen informatiebeveiliging en risicomanagement. En daarmee wordt impliciet ook erkend dat security een business risk is.

De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:
  • Meer risicomanagement;
  • Minder maatregelen (bijna 60% minder);
  • Maatregelen zijn altijd verplicht;
  • 3 Basis Beveiliging Niveaus (BBN1 t/m BBN3);
  • Een baselinetoets die rekening houdt met die 3 niveaus;
  • Selectie van ontbrekende maatregelen vooraf;
  • Toewijzing van maatregelen op eindverantwoordelijke.

De keuze om 3 BBN’s te faciliteren is een goed idee. Dat zorgt ervoor dat de BIO bruikbaar is in verschillende types organisaties met verschillende risicoprofielen. Al met al een aantal flinke wijzigingen. Ook de aanpak van de BIO is nadrukkelijk anders dan met de BIG. Daarnaast is de verplichte herinrichting van de ENSIA een aanzienlijke wijziging. De omschakeling naar de BIO is behoorlijk wat werk, maar goed te doen. En de omschakeling geeft ook kansen om de gehele aanpak van informatiebeveiliging nog eens goed tegen het licht te houden.

Implementatie van de BIO

Voor een juiste implementatie van de BIO dient men de ISO27002 met alle controls toe te passen (of uit te leggen). Dit heet ook wel “comply or explain” (“pas toe of leg uit”). Het normenkader van de ISO27001 en 2 bestaat uit 114 maatregelen welke eenvoudig en overzichtelijk in te richten zijn binnen de organisatie. Veel van deze maatregelen zullen ook al geïmplementeerd zijn binnen de bestaande processen. Echter is het nodig om te komen tot het inzicht dat en waar deze maatregelen worden uitgevoerd. 

Ook biedt de invoering van de BIO de kans om alle “lessons learned” ein-de-lijk eens op te pakken en te verwerken in een nieuwe aanpak. En dan het liefst meteen in goede software, die zowel de Security Officer als de Privacy Officer ondersteunt. 

Even sparren? Bel gerust. 

Jorrit van de Walle

Over de schrijver
Jorrit van de Walle
Website
Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.
Anderen bekeken ook
Een complexe wereld?
Een complexe wereld?
09 februari 2022
Hoe meet je compliance?
Hoe meet je compliance?
19 november 2020
De rol van software in het consulting vak
De rol van software in het consulting vak
29 oktober 2020
De uitdaging voor 2019: van BIG naar BIO
De uitdaging voor 2019: van BIG naar BIO
10 juli 2019
Reactie plaatsen
Edit article Dashboard Settings Website Design Article cached on Wed. 24 Apr 14:27
Renew cache