Overheid

Kom meer te weten

"

Baseline Informatiebeveiliging Overheid (BIO) en de ISO 27001

Sinds 2020 geldt voor de gehele Nederlandse overheid één uniform normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO).

Soms bestaat er nog enige onduidelijkheid bij een CISO of de BIO nu wel of niet verplicht is.

De BIO is in Mei 2019 gepubliceerd in de staatscourant en na instemming van alle overheidslagen interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO). Gemeenten zijn in dit overleg vertegenwoordigd door de VNG.

De BIO is geldig voor alle Nederlandse overheidsorganisaties en aan de overheid gelieerde organisaties.

BIO of ISO 27001?

Een belangrijk verschil tussen de BIO en de ISO 27001 is dat de BIO alleen gaat over de beheersmaatregelen, zoals vermeld in de Bijlage A van de ISO 27001 en uitgewerkt in de ISO 27002. De BIO stelt aan verschillende beheersmaatregelen aanvullende eisen. De BIO schrijft niets over een managementsysteem voor informatiebeveiliging zoals de ISO 27001 dat wel doet.

Een organisatie kan haar managementsysteem dus niet laten certificeren op alleen de BIO-maatregelen. Toch is het belangrijk om met een onafhankelijk oordeel aan te kunnen tonen dat een organisatie voldoet aan de eisen uit de BIO. Dat is cruciaal op het moment dat er toch een informatiebeveiligingsprobleem is of zelfs een datalek. Conform de eisen vanuit de Autoriteit Persoonsgegevens (AP) moet een organisatie technische en organisatorische maatregelen hebben genomen om de gegevens te beschermen.

Het zal in het oordeel van de AP zeker schelen wanneer een organisatie door middel van het laten uitvoeren van een audit tegen de BIO of zelfs certificering door DigiTrust tegen ISO 27001 dat aan de BIO is voldaan. Daarnaast geeft een certificering op de ISO 27001 waarbij de BIO is opgenomen aantoonbaar vertrouwen aan burgers en andere stakeholders.

 

ISO 27001 en BIO checklist

Wilt u de organisatie voorbereiden op een ISO 27001 en BIO audit? Maak dan gebruik van de checklist opgesteld door DigiTrust.

De checklijst is eenvoudig in gebruik en geeft een eerste beeld van de gereedheid voor certificering op de belangrijkste onderdelen.

 

Nulmeting

We zien vaak bij provincies, gemeentes en andere aan de overheid gerelateerde organisaties dat ze graag en nulmeting uitgevoerd willen hebben. Door het uitvoeren van een nul-meting wordt helder waar de mogelijke gaps ten opzichte van de norm liggen. De DigiTrust auditor zal een uitvoerig rapport opleveren naar aanleiding van deze audit. Deze geeft houvast ter voorbereiding op de officiële audit.

Neem contact op met een van onze specialisten om de mogelijkheden te bespreken.

 

ISO 27001 en BIO auditor

De DigiTrust auditor beoordeelt het managementsysteem voor informatiebeveiliging en de genomen beheersmaatregelen conform de ISO 27002 en BIO tijdens de certificeringsaudit.

De DigiTrust auditoren hebben ervaring bij overheden en snappen de bestuurlijke lagen. Het is belangrijk om de organisatie goed te begrijpen, zodat de audit in de juiste context wordt uitgevoerd. Welke dreigingen en dreigende actoren zijn er en hoe wordt hiermee omgegaan?

Het moet een samenhangend geheel zijn van beleid, procedures en maatregelen uit de ISO 27001 en BIO. Belangrijk is om te beseffen dat de BIO-maatregelen moeten zijn geimplementeerd tot een niveau in lijn met de eigen risicoanalyse en acceptatie of verbeterniveau. Zaken zijn nooit klaar, maar veelal is er wel al een baseline. Is goed genoeg of moet er meer gebeuren?

DigiTrust audit en certificeert op het mechnisme en geeft nooit een oordeel op de implementatiegraad. Dat bepaalt de organisatie zelf. Hierover is vaak onduidelijkheid bij CISO’s.

De specialisten van DigiTrust kunnen u hier meer over vertellen.

Vragen over een ISO 27001 audit of benieuwd naar de mogelijkheden van een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur een e-mail naar info@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Nieuws

Hosted XL behaalt ISO27001 certificering voor de 2e keer

Onze klant Hosted XL heeft tijdens de hercertificering audit opnieuw aangetoond dat ze een goed werkend managementsysteem voor informatiebeveiliging hebben conform de ISO27001:2017. In 2017 is de eerste certificering behaald. Een certificatie periode van 3 jaar...

Let op; nieuwe versie ISO27001 en NEN7510 gepubliceerd

De twee belangrijkste normen voor informatiebeveiliging, NEN-EN-ISO/IEC 27001 en NEN 7510-1 hebben een nieuwe versie gekregen. Belangrijk om te weten voor alle consultants, klanten en andere stakeholders van deze normen. Het gaat om een beperkte wijziging, zoals de...

Wat kan ik verwachten van het certificeringstraject?

Informatiebeveiliging wordt een steeds belangrijker onderwerp, ook voor je klanten en relaties. Zij willen dan ook graag zeker weten dat dit goed geregeld is en dat ze geen risico lopen. Met het ISO 27001-certificaat kun je aantonen dat je een goed managementsysteem...

DigiTrust B.V.
Jean Monnetpark 11
7336 BA Apeldoorn
088-224 56 00