BIO (Baseline Informatiebeveiliging Overheid) Assessment

BIO staat voor Baseline Informatiebeveiliging Overheid zal en vanaf 2020 de huidige normenkaders gaan vervangen.

Wat is de BIO en hoe voldoet uw organisatie hieraan?

De BIO (Baseline Informatiebeveiliging Overheid) is het nieuwe normenkader voor informatiebeveiliging. Momenteel heeft elke overheidsorganisatie een eigen normenkader (BIG, BIWA, IBI en BIR). Per 2020 zullen deze normenkaders vervangen worden door één normenkader: de BIO.  

Tot dit moment hebben alle bestuurslagen nog een eigen baseline, de BIR (Rijk), BIG (gemeenten), IBI (provincies) en BIWA (waterschappen). Deze baselines zijn (met uitzondering van de BIR2017) voor een groot deel nog gebaseerd op de ISO-normering uit 2005 en lopen achter op de actuele ISO uit 2013 (NEN-ISO 27002). Om de informatiebeveiliging optimaal te professionaliseren is er behoefte aan een eenduidige en herkenbare stevige basis voor de gehele overheid. Voor een veilige digitale overheid.

Baseline Informatiebeveiliging Overheid BIO

De BIO staat voor Baseline Informatiebeveiliging Overheid

Hoeveel verschilt de BIO van de BIG/BIWA/BIR/IBI?

De huidige normenkaders die op het gebied van informatiebeveiliging worden gebruikt, lijken in de basis op elkaar: ze zijn immers allemaal afgeleid van de ISO27001 norm. Maar de één vereist meer of andere zaken dan de ander. Zo is de BIG sterk gericht op gemeenten en de gemeentelijke processen en wordt er voornamelijk uitgegaan van taken en rollen. Door de komst van de BIO is er straks nog maar één normenkader. Daarbij wordt verwacht dat alle overheidsorganisaties een op risico gebaseerde aanpak gaan hanteren, bezig gaan met basisbeveiligingsniveau ’s en quickscans gaan uitvoeren.

Verschil tussen BIG en BIO

De grootste verschillen die de BIO verschilt op de BIG zijn hieronder opgesomd:

  1. Minder maatregelen (bijna 60% minder)
  2. Maatregelen zijn altijd verplicht
  3. Meer risicomanagement (het begint met een QuickScan, de QIS)
  4. 3 Basisbeveiligingniveaus (BBN)
  5. Selectie van ontbrekende maatregelen vooraf
  6. Toewijzing van maatregelen op eindverantwoordelijke
  7. Een baselinetoets die nu QIS heet en die rekening houdt met die 3 niveaus

Wanneer wordt de BIO van kracht?

Zoals op de website van de VNG te lezen valt: “Het is de verwachting van alle overheidslagen dat de BIO op 1 januari 2020 van kracht wordt. In 2019 kunnen gemeenten zich voorbereiden op de overgang van de BIG naar de BIO. De informatiebeveiligingsdienst (IBD) ondersteunt gemeenten daarbij met producten en regionale bijeenkomsten. De verantwoordingssystematiek ENSIA zal ook worden bijgewerkt naar de BIO.”

Heeft u al een idee in hoeverre u de BIO heeft geïmplementeerd?

U zou kunnen besluiten om zelf een inventarisatie te doen van de BIO. Wat u wellicht belemmert is dat u niet goed weet hoe u zo’n dergelijke inventarisatie moet doen. Tijd speelt daarnaast ook een belangrijke rol: gesprekken voeren om te inventariseren wat er al is gedaan en dit verwerken in een rapport kost al snel een aantal dagen.

Laat u ontzorgen

Wij kunnen ons goed voorstellen dat u genoeg andere zaken aan uw hoofd heeft. Dat dit normenkader u nu niet zo goed uitkomt of dat u daar best wat hulp bij kunt gebruiken. Wij kunnen u hierbij helpen. Met onze kennis en tijd kunnen wij voor u de inventarisatie doen. Wij halen alle benodigde informatie op en schetsen u vervolgens in een rapport een compleet beeld van de status van uw organisatie met betrekking tot de BIO. Kortom, terwijl wij voor u met de BIO aan de slag gaan, kunt u verder met uw eigen werkzaamheden.

Waarom zou ik de dienst bij Sincerus afnemen?

Wij zijn in 2018 al bij meerdere gemeentes met de BIO Assessment aan de slag gegaan. We hebben daar een eerste beeld kunnen geven van waar de organisatie staat. Wij hebben dit gedaan aan de hand van een door ons ontwikkelde methode, waardoor u direct inzicht krijgt hoe u scoort op de verschillende hoofdstukken van de BIO. Deze methode kunnen wij inzetten bij alle overheidsorganisaties. Lees hier meer over onze aanpak.

“Door de uitvoering van het BIO Assessment van Sincerus, weten we precies waar we staan met de BIO” – Anoniem

Wat mag ik verwachten van Sincerus?

  • Een consultant die kennis heeft van en ervaring heeft met de BIO
  • Een uitgebreid adviesrapport zodat u precies weet wat u nog moet doen
  • Kwaliteit, zorgvuldigheid en persoonlijk contact
  • Ontzorgen en vertrouwen: zorgeloos uw eigen prioriteiten oppakken
  • De mogelijkheid om met een consultant dit advies om te zetten tot concrete stappen, zoals een risicoanalyse.

Toelichting op het product 

Het resultaat van het BIO Assessment is een adviesrapport, dat inzicht geeft in wat de organisatie nog moet doen op het gebied van de BIO. Het adviesrapport bestaat uit de maatregelen waarvan uit een GAP-analyse blijkt dat er nog niet of niet voldoende aandacht aan is besteed. De maatregelen die nog geïmplementeerd moeten worden zijn geprioriteerd. Het adviesrapport kan gebruikt worden om aandacht te vragen voor informatiebeveiliging of het kan direct door de organisatie gebruikt worden als actieplan. U weet na het uitvoeren van de GAP-analyse in ieder geval exact wat er nog gedaan moet worden op het gebied van de BIO.

Voorbeeld spindiagram bij GAP-analyse voor implementatie BIO
Voorbeeld spindiagram bij GAP-analyse voor implementatie BIO

Wilt u meer lezen over het nieuwe normenkader van de overheid? Lees dan hier het artikel over de BIO.

MEER WETEN?

Wij helpen u snel verder!

x
LISAN VAN BOLHUIS

Security Consultant

Met mijn collega’s help ik u snel verder.

Bel: 06-10279956
of stuur een e-mail:
lisan.van.bolhuis@sincerus.nl

Ja, ik ben geïnteresseerd in een BIO Assessment

Graag kijken we samen met u, geheel vrijblijvend, naar de mogelijkheden rondom het BIO Assessment. Vul uw gegevens in en wij nemen snel contact met u op. 

Maak kennis met de professionals van Sincerus

Voor vrijblijvend advies of bijvoorbeeld
een gratis securityscan!
Menu