Overheid

Kom meer te weten

"

Baseline Informatiebeveiliging Overheid (BIO) en de ISO 27001

Sinds 2020 geldt voor de gehele Nederlandse overheid één uniform normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO).

Soms bestaat er nog enige onduidelijkheid bij een CISO of de BIO nu wel of niet verplicht is.

De BIO is in Mei 2019 gepubliceerd in de staatscourant en na instemming van alle overheidslagen interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO). Gemeenten zijn in dit overleg vertegenwoordigd door de VNG.

De BIO is geldig voor alle Nederlandse overheidsorganisaties en aan de overheid gelieerde organisaties.

BIO of ISO 27001?

Een belangrijk verschil tussen de BIO en de ISO 27001 is dat de BIO alleen gaat over de beheersmaatregelen, zoals vermeld in de Bijlage A van de ISO 27001 en uitgewerkt in de ISO 27002. De BIO stelt aan verschillende beheersmaatregelen aanvullende eisen. De BIO schrijft niets over een managementsysteem voor informatiebeveiliging zoals de ISO 27001 dat wel doet.

Een organisatie kan haar managementsysteem dus niet laten certificeren op alleen de BIO-maatregelen. Toch is het belangrijk om met een onafhankelijk oordeel aan te kunnen tonen dat een organisatie voldoet aan de eisen uit de BIO. Dat is cruciaal op het moment dat er toch een informatiebeveiligingsprobleem is of zelfs een datalek. Conform de eisen vanuit de Autoriteit Persoonsgegevens (AP) moet een organisatie technische en organisatorische maatregelen hebben genomen om de gegevens te beschermen.

Het zal in het oordeel van de AP zeker schelen wanneer een organisatie door middel van het laten uitvoeren van een audit tegen de BIO of zelfs certificering door DigiTrust tegen ISO 27001 dat aan de BIO is voldaan. Daarnaast geeft een certificering op de ISO 27001 waarbij de BIO is opgenomen aantoonbaar vertrouwen aan burgers en andere stakeholders.

 

ISO 27001 en BIO checklist

Wilt u de organisatie voorbereiden op een ISO 27001 en BIO audit? Maak dan gebruik van de checklist opgesteld door DigiTrust.

De checklijst is eenvoudig in gebruik en geeft een eerste beeld van de gereedheid voor certificering op de belangrijkste onderdelen.

 

Nulmeting

We zien vaak bij provincies, gemeentes en andere aan de overheid gerelateerde organisaties dat ze graag en nulmeting uitgevoerd willen hebben. Door het uitvoeren van een nul-meting wordt helder waar de mogelijke gaps ten opzichte van de norm liggen. De DigiTrust auditor zal een uitvoerig rapport opleveren naar aanleiding van deze audit. Deze geeft houvast ter voorbereiding op de officiële audit.

Neem contact op met een van onze specialisten om de mogelijkheden te bespreken.

 

ISO 27001 en BIO auditor

De DigiTrust auditor beoordeelt het managementsysteem voor informatiebeveiliging en de genomen beheersmaatregelen conform de ISO 27002 en BIO tijdens de certificeringsaudit.

De DigiTrust auditoren hebben ervaring bij overheden en snappen de bestuurlijke lagen. Het is belangrijk om de organisatie goed te begrijpen, zodat de audit in de juiste context wordt uitgevoerd. Welke dreigingen en dreigende actoren zijn er en hoe wordt hiermee omgegaan?

Het moet een samenhangend geheel zijn van beleid, procedures en maatregelen uit de ISO 27001 en BIO. Belangrijk is om te beseffen dat de BIO-maatregelen moeten zijn geimplementeerd tot een niveau in lijn met de eigen risicoanalyse en acceptatie of verbeterniveau. Zaken zijn nooit klaar, maar veelal is er wel al een baseline. Is goed genoeg of moet er meer gebeuren?

DigiTrust audit en certificeert op het mechnisme en geeft nooit een oordeel op de implementatiegraad. Dat bepaalt de organisatie zelf. Hierover is vaak onduidelijkheid bij CISO’s.

De specialisten van DigiTrust kunnen u hier meer over vertellen.

Vragen over een ISO 27001 audit of benieuwd naar de mogelijkheden van een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur een e-mail naar info@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Nieuws

eConnect International nu ook NEN7510 gecertificeerd

Op maandag 3 augustus heb ik het NEN7510-1:2017 certificaat mogen uitreiken aan onze klant eConnect. Hiermee tonen ze aan dat ze een effectief managementsysteem voor informatiebeveiliging voor de zorg hebben. Ook heb ik een nieuw ISO27001:2017 certificaat uitgereikt....

NEN7510 de olifant in de kamer bij zorginstellingen

Laat ik beginnen met een open deur; zorginstellingen hebben als primaire taak het leveren van zorg. Maar we weten ook allemaal dat het leveren van zorg de afgelopen jaren enorm is veranderd. De regeldruk is enorm gegroeid voor de zorginstelling en specialist. Iets...

1 juli 2020: elektronische inzage medisch dossier + logging

Vanaf 1 juli zijn er een aantal bepalingen uit de Wet aanvullende bepalingen gegevensverwerking in de zorg de Wabvpz van kracht. Patiënten, zoals jij en ik, hebben nu al het recht om een kosteloze inzage in je medisch dossier op te vragen. Dit namelijk al zo geregeld...

DigiTrust B.V.
Jean Monnetpark 11
7336 BA Apeldoorn
088-224 56 00