Baseline Informatiebeveiliging Overheid
Eind 2018 heeft de overheid besloten om één enkele baseline te formuleren op basis van de internationaal erkende standaarden ISO/IEC 27001 en 27002. Deze normen helpen organisaties om best-practices uit te voeren om informatieveiligheid te waarborgen. De wereld beweegt snel in een alsmaar digitale wereld en de risico’s en bedreigingen bewegen helaas mee. Door middel van één basisnormenkader op basis van de twee ISO-normen zorgt de overheid ervoor dat informatieveiligheid in elke overheidslaag gewaarborgd is.
Wat is de Baseline Informatiebeveiliging Overheid (BIO)?
Meer en meer processen worden gedigitaliseerd en dus ook binnen de overheid, denk hierbij aan persoonsgegevens bijvoorbeeld. Deze beweging naar alsmaar meer digitalisatie brengt ook nieuwe risico’s met zich mee. Om deze risico’s te waarborgen en informatieveiligheid te garanderen is de Baseline Informatiebeveiliging Overheid (BIO) opgezet. De BIO is het resultaat van een gezamenlijke inspanning van het Rijk, gemeenten, provincies en waterschappen om één basisnormenkader op te stellen voor de gehele overheid. Dit basisnormenkader is gebaseerd op de internationaal erkende normen ISO 27001 en 27002.
De voordelen van één centrale BIO
Voorheen had iedere overheidslaag zijn eigen Baseline Informatiebeveiliging Overheid (BIO), maar om informatiebeveiliging efficiënter en effectiever te maken is het besluit genomen om het voor alle overheidslagen gelijk te trekken. De voormalige baselines BIR (Rijksoverheid), BIG (gemeenten), BIWA (waterschappen) en IBI (provincies) komen allemaal te vervallen. Het enkele basisnormenkader BIO heeft de volgende voordelen:
- Een betere afstemming binnen ketens van overheden en andere partijen, wat de informatieveiligheid versterkt.
- Verlichting van administratieve lasten voor alle betrokken partijen, zowel afnemers als leveranciers, door uniforme beveiligingsnormen.
- Aansluiting bij internationale regelgeving en standaarden.
- Verminderde onderhoudskosten.
De Baseline Informatiebeveiliging Overheid is in december 2018 vastgesteld door de Ministerraad voor de Rijksoverheid en in de overheidslagen zijn per 1 januari 2019 begonnen met het implementeren van de BIO.
Het belang van ISO 27001
ISO 27001 is de internationaal erkende norm voor informatiebeveiliging. De norm help organisaties best-practices toe te passen om de informatie te beveiligen. Met een managementsysteem voor informatiebeveiliging worden risico’s en bedreigingen constant beoordeeld om de juiste acties ten alle tijden paraat te hebben. Dit is van belang om de controle te hebben en behouden over uw data en informatie.
De werking van ISO 27002
ISO 27002 is een toevoeging op ISO 27001. ISO 27002 geeft richtlijnen en principes voor het optimaliseren van het managementsysteem voor informatiebeveiliging. Het geeft nadere specificaties van ISO 27001 om zo vertrouwelijkheid en integriteit van informatie nog meer te waarborgen. Ook deze certificering is een verplichting binnen de overheid. Eind maart 2022 zijn er een aantal aanpassingen toegepast. De organisatie van de BIO heeft aangegeven mee te bewegen met de veranderingen van de twee ISO normen, dus ook de wijzigingen van maart 2022 zullen worden toegepast.
De Baseline Informatiebeveiliging Overheid bestaat uiteraard niet enkel uit deze twee ISO-normen, maar het gehele kader is wel opgebouwd met ISO 27001 en 27002 als centrale pilaren. Voor elke organisatie die met de BIO te maken krijgt, zijn deze standaarden dus het start- en middelpunt op het gebied van certificering en daardoor van cruciaal belang.
Referenties:
Digitale Overheid (2022), Forum Standaardisatie (2022) NEN-ISO/IEC 27001, Forum Standaardisatie (2022) NEN-ISO/IEC 27002, NEN. (2022, maart 30)