Overheid

Kom meer te weten

"

Baseline Informatiebeveiliging Overheid (BIO) en de ISO 27001

Sinds 2020 geldt voor de gehele Nederlandse overheid één uniform normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO).

Soms bestaat er nog enige onduidelijkheid bij een CISO of de BIO nu wel of niet verplicht is.

De BIO is in Mei 2019 gepubliceerd in de staatscourant en na instemming van alle overheidslagen interbestuurlijk bekrachtigd in het Overheidsbrede overleg Digitale Overheid (OBDO). Gemeenten zijn in dit overleg vertegenwoordigd door de VNG.

De BIO is geldig voor alle Nederlandse overheidsorganisaties en aan de overheid gelieerde organisaties.

 

BIO of ISO 27001?

Een belangrijk verschil tussen de BIO en de ISO 27001 is dat de BIO alleen gaat over de beheersmaatregelen, zoals vermeld in de Bijlage A van de ISO 27001 en uitgewerkt in de ISO 27002. De BIO stelt aan verschillende beheersmaatregelen aanvullende eisen. De BIO schrijft niets over een managementsysteem voor informatiebeveiliging zoals de ISO 27001 dat wel doet.

Een organisatie kan haar managementsysteem dus niet laten certificeren op alleen de BIO-maatregelen. Toch is het belangrijk om met een onafhankelijk oordeel aan te kunnen tonen dat een organisatie voldoet aan de eisen uit de BIO. Dat is cruciaal op het moment dat er toch een informatiebeveiligingsprobleem is of zelfs een datalek. Conform de eisen vanuit de Autoriteit Persoonsgegevens (AP) moet een organisatie technische en organisatorische maatregelen hebben genomen om de gegevens te beschermen.

Het zal in het oordeel van de AP zeker schelen wanneer een organisatie door middel van het laten uitvoeren van een audit tegen de BIO of zelfs certificering door DigiTrust tegen ISO 27001 dat aan de BIO is voldaan. Daarnaast geeft een certificering op de ISO 27001 waarbij de BIO is opgenomen aantoonbaar vertrouwen aan burgers en andere stakeholders.

 

ISO 27001 en BIO checklist

Wilt u de organisatie voorbereiden op een ISO 27001 en BIO audit? Maak dan gebruik van de checklist opgesteld door DigiTrust.

De checklijst is eenvoudig in gebruik en geeft een eerste beeld van de gereedheid voor certificering op de belangrijkste onderdelen.

 

Nulmeting

We zien vaak bij provincies, gemeentes en andere aan de overheid gerelateerde organisaties dat ze graag en nulmeting uitgevoerd willen hebben. Door het uitvoeren van een nul-meting wordt helder waar de mogelijke gaps ten opzichte van de norm liggen. De DigiTrust auditor zal een uitvoerig rapport opleveren naar aanleiding van deze audit. Deze geeft houvast ter voorbereiding op de officiële audit.

Neem contact op met een van onze specialisten om de mogelijkheden te bespreken.

 

ISO 27001 en BIO auditor

De DigiTrust auditor beoordeelt het managementsysteem voor informatiebeveiliging en de genomen beheersmaatregelen conform de ISO 27002 en BIO tijdens de certificeringsaudit.

De DigiTrust auditoren hebben ervaring bij overheden en snappen de bestuurlijke lagen. Het is belangrijk om de organisatie goed te begrijpen, zodat de audit in de juiste context wordt uitgevoerd. Welke dreigingen en dreigende actoren zijn er en hoe wordt hiermee omgegaan?

Het moet een samenhangend geheel zijn van beleid, procedures en maatregelen uit de ISO 27001 en BIO. Belangrijk is om te beseffen dat de BIO-maatregelen moeten zijn geimplementeerd tot een niveau in lijn met de eigen risicoanalyse en acceptatie of verbeterniveau. Zaken zijn nooit klaar, maar veelal is er wel al een baseline. Is goed genoeg of moet er meer gebeuren?

DigiTrust audit en certificeert op het mechnisme en geeft nooit een oordeel op de implementatiegraad. Dat bepaalt de organisatie zelf. Hierover is vaak onduidelijkheid bij CISO’s.

De specialisten van DigiTrust kunnen u hier meer over vertellen.

Vragen over een ISO 27001 audit of benieuwd naar de mogelijkheden van een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur een e-mail naar info@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Nieuws

Constant IT behaalt ISO 27001 certificering

Constant IT heeft onlangs de ISO 27001 certificering behaald. De Managed Services Provider uit Amsterdam laat hiermee zien dat zij een goed werkend Managementsysteem voor Informatiebeveiliging hebben. Een mooie mijlpaal voor de organisatie die zich inzet voor...

Anders Medical Factoring gecertificeerd voor NEN 7510

Al vanaf het eerste contact met deze organisatie bruiste het van de energie en betrokkenheid mbt informatiebeveiliging. Als geen anders beseft deze organisatie dat de zorg op de gegevens die ze verwerken een belangrijke verantwoordelijkheid is. Samen met DigiTrust...

Xinno ISO27001 gecertificeerd

Samen met Xinno hebben we de ISO27001 certificering mogen uitvoeren. Wat een mooi traject was dit weer. Het auditen van een ISMS is en blijft waardevol, als je dit samen goed aanpakt. Xinno levert online werkplekken voor de advocatuur. Alle medewerkers van Xinno,...

DigiTrust B.V.
Jean Monnetpark 11
7336 BA Apeldoorn
088-224 56 00
info@digitrust.nl

Logo-DigiTrust