BIO audits en ‘in-control’ verklaringen
Wilt u aantoonbaar voldoen aan de BIO eisen of heeft u een ‘in-control’ verklaring nodig? Het aantoonbaar voldoen aan de BIO is een belangrijke eis voor leveranciers, maar ook voor de overheid zelf. Neem contact met ons op om de mogelijkheden te bespreken. DigiTrust heeft ervaring in verschillende sectoren.
- Je audit start wanneer dit past voor jouw organisatie
- Persoonlijke begeleiding gedurende het certificeringstraject.
- Scherpe prijzen
Al meer dan 300 organisaties gingen u voor.
De normering uitgelegd
Aantoonbaar voldoen aan de BIO?
Alle overheden en organisaties vebonden aan de overheid moeten sinds 2020 voldoen aan de BIO eisen. De Baseline informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, nu is er één BIO voor de gehele overheid.
De BIO heeft aanvullende eisen op de ISO27001 – bijlage A maatregelen vastgesteld. Veelal wordt dit ook uitgelegd dat de BIO aanvullende is op de ISO27002. dit is niet helemaal juist omdat de ISO27002 implementatie richtlijnen geeft voor de in Bijlage A vermelde beheersmaatregelen.
Feitelijk geeft de BIO aanvullende eisen op de bijlage A beheersmaatregelen uit de ISO27001.
De organisatie moet, bij wet voldoen aan de BIO. bij het niet voldoen is er feitelijk een wetsovertreding. Belangrijk dus dat de organisatie kan aantonen aan relevante stakeholders dat er ook daadwerkelijk wordt voldaan aan de aanvullende BIO eisen. Binnen de BIO bestaan er 3 Basis Beveiliging Niveau’s (BBN).
BIO In-Control verklaring
DigiTrust kan uw leveranciers beoordelen en een ‘in-control’ verklaring afgeven (indien ze voldoen aan de BIO controls). Conform de BIO eisen, is deze verklaring 1 jaar geldig. Neem contact met ons op voor de verschillende mogelijkheden. DigiTrust maakt daarbij ook gebruik van de CIP – BIO self assessment.
BBN 1
Bij BBN1 gaat het om wat er minimaal verwacht mag worden van de overheid voor de bescherming van informatie. We hebben hier te maken met een laag betrouwbaarheidsniveau en daarom blijven complexe eisen hier achterwege. Het gaat puur om een minimale basis eis op de beheersmaatregelen.
BBN 2
De meeste informatie binnen de overheid zal op dit niveau worden ingeschaald. Het gaat hier om goed huisvaderschap voor informatie. BBN2 is het minimale niveau waarop met persoonsgegevens gewerkt wordt. BBN2 ligt qua zwaarte op hetzelfde niveau als de oude baselines. Bij BBN2 ligt voor statelijke actoren en vergelijkbare dreigers de nadruk op ‘detectie’.
BBN 3
Bij BBN3 gaat het om informatie waar weerstand tegen statelijke of criminele actoren (of gelijksoortige dreigers) nodig is. De vertrouwelijkheid heeft hier een hogere score, de andere eisen kunnen nog altijd op midden zitten. Binnen de BIO zijn er nog geen eisen vastgesteld op BBN3 niveau voor specifieke beheersmaatregelen.
Met trots gecertificeerd door DigiTrust
of bel met een van onze specialisten
De stappen uitgelegd
Bepaal het juiste BBN niveau
Om het juiste niveau te kiezen is er een baselinetoets beschikbaar. Op basis van een aantal vragen, wordt hiermee duidelijk welk BBN niveau van toepassing is. De proceseigenaar bepaalt op basis van de toets welk BBN gevolgd dient te worden.
BIO compliance verklaring of combineren met een ISO27001 certificering?
Bij DigiTrust hebben we inmiddels ruime ervaring met BIO audits en hoe je dit kunt combineren met een ISO27001 certificering. Bij verschillende overheidsinstanties hebben we dit inmiddels succesvol toegepast.
Tijdens de Pre-audit kijken wij of u klaar bent voor de certificering. Wat is de status van het managementsysteem? Zijn er mogelijk nog zaken niet op orde? DigiTrust kan samen met u bepalen welke onderwerpen aan de orde moeten komen tijdens deze pre-audit. Ook de tijdsduur bepalen we samen. Veelal ligt dit rond tussen 2 à 4 dagen voor een goed beeld van het managementsysteem en alle beheersmaatregelen. Na iedere pre-audit levert DigiTrust u een helder auditrapport op, waarin op detailniveau wordt beschreven waar u mogelijk dus nog niet conform de eisen werkt.
Tip; dit is een veel gekozen optie. U gaat hierdoor écht met het traject beginnen en krijgt direct een goed beeld waar u als organisatie staat.
Initiële certificering
DigiTrust toetst of het systeem werkt en functioneert volgens de eisen vanuit de ISO 27001. Deze beoordeling omvat ook de beoordeling van alle werkzaamheden op uw kantoor als op de uitvoeringslocatie. De initiële certificering bestaat uit 2 delen. De fase 1 en fase 2 audit.
Tijdens de fase 1 audit kijken we in hoofdlijnen naar uw management systeem (ISMS) en of u wel echt klaar bent voor de fase 2 audit. Ook gaan we samen het auditplan maken voor de fase 2. Wie hebben we wanneer nodig.
Tijdens de fase 2 audit toetsen we het ISMS en alle beheersmaatregelen.
Fase 1
Tijdens de fase 1 audit kijken we in hoofdlijnen naar uw management systeem (ISMS) en of u wel echt klaar bent voor de fase 2 audit. Ook gaan we samen het auditplan maken voor de fase 2. Wie hebben we wanneer nodig.
Uitgifte certificaat
Bij een positieve beoordeling zal de auditor de organisatie voordragen ter certificatie. De certificatiemanager doet een kwaliteitscontrole op het dossier. Als alles in orde is ontvangt u de ISO 27001 certificering.
Controle 1
Gedurende de looptijd van het certificaat, die doorgaans drie jaar betreft, zal DigiTrust jaarlijks een controleaudit uitvoeren. Tijdens een controle audit nemen we een steekproef op de verschillende norm elementen. Bij een positieve beoordeling zal het lopende certificaat worden voortgezet.
Controle 2
DigiTrust komt ongeveer drie maanden voor het aflopen van het certificaat langs voor de herbeoordeling. Deze beoordeling is van dezelfde omvang als die bij stap 2 en moet ervoor zorgen dat bij een positief resultaat het certificaat met drie jaar wordt verlengd.
BIO audits en de investering
In de praktijk worden BIO audits vaak gecombineerd met een ISO27001 certificering. De aanvullende BIO maatregelen worden dan meegenomen tijdens de certificerings audit. Om te komen tot een offerte voor certificeren moeten we een goed beeld hebben van uw organisatie. U ontvangt daarvoor van ons een eenvoudig intake formulier. In dit formulier kunt u uw gegevens invullen en wat de context is van uw organisatie. Wat doet u precies, welke processen heeft u, hoeveel FTE werken er in uw organisatie.
Dit is het begin van het formele DigiTrust proces, wij willen goed weten wie u bent en wat u doet. Immers uw organisatie is leidend, niet de norm.
Met de ontvangen informatie gaan we een berekening maken. Het begin van de calculatie begint altijd met het aantal FTE, dit is zo door de norm, waaraan wij moeten voldoen zo bepaald. Met alle ontvangen informatie zal DigiTrust een offerte uitbrengen.
Tip; kijk altijd scherp naar het aantal FTE en inventariseer de functiegroepen en functies. Dit kan zomaar veel tijd en certificering kosten besparen.
De certificeringaudit zal bestaan uit fase 1 en fase 2. Tijdens fase 1 kijken we goed naar uw documentatie en willen we een beeld vormen of het managementsysteem ook echt aanwezig is. Werkt het en bent u dus klaar voor fase 2. Bij fase 2 kijken we goed naar de implementatie van al uw procedures en de aantoonbaarheid daarvan.
Na beide iedere fase krijgt u direct na de audit een auditrapport. Bij een positieve afronding van fase 2 ontvangt u het officiële certificaat.
Vragen over een BIO audits of benieuwd naar de mogelijkheden?
Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.
Al meer dan 300 organisaties gingen u voor.
