Revisie ISO 27001 met de upgrade service
Bent u er klaar voor? Nieuws

BIO vereist? ... Advies Baseline Informatiebeveiliging Overheid

BIO - Baseline Informatiebeveiliging Overheid is een tactisch normenkader voor inrichting en toepassing van informatiebeveiliging. De BIO geldt voor de overheid (waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen). De BIO vervangt de normenkaders BIG, BIR, BIR2017, IBI, BIWA en is per 1 januari 2020 van kracht voor alle nieuwe informatiesystemen. 

De BIO is geheel gestructureerd volgens de NEN/ISO ISO 27002, die weer de implementatiegids is van de Annex A uit de NEN/ISO 27001 Deze laatste is de internationale norm voor informatiebeveiliging. Daarnaast zijn er een aantal aanvullingen.


Verschillen BIO en de BIG/BIR/BIWA

De grootste verschillen tussen de BIO en de BIG/BIR/BIWA zijn:

  • Het aantal maatregelen (bijna 60% minder)
  • Meer nadruk op risico-management
  • 3 Basisbeveiligingsniveaus (BBN's)
  • Het uitvoeren van een Fit Gap-analyse, welke invulling geeft aan het basisbeveiligingsniveau van informatiesystemen
  • Toewijzing van maatregelen op eindverantwoordelijke(n)

Als de overheid werkzaamheden uitbesteedt aan derden, wordt een Fit Gap analyse vereist. Deze analyse is gestructureerd volgens de bijlage A van NEN / ISO27001 en gebaseerd op het BasisBeveiligingsNiveau BBN 1, 2, 3. Hoe groter het BBN-getal hoe groter het aantal maatregelen ('controls') dat moet worden geïmplementeerd. 

Kennis van de ISO27001 is daarvoor nodig, zoals welke documenten verplicht zijn.


Wat zijn nu de verplichte documenten?

De BIO is uiteindelijk baseerd op bijlage A (Annex A) uit de ISO 27001. Deze bevat een aantal verplichte documenten. Hieronder staat een overzicht van alle verplichte documenten uit de ISO27001. De documenten uit bijlage A zijn vetgedrukt.


Voorbeelden

Voorbeelden van deze verplichte documenten, evenals een spreadsheet met alle verplichte documenten, staan in deze managementsystemen, ISMS - Information Security Management System: demo ISMS ISO 27001 (UK) en demo ISMS NEN 7510 (NEN7510 is de norm mbt informatiebeveiliging voor de zorg).

Hieronder staat een overzicht verplichte documenten met een verwijzing naar het relevante norm-onderdeel:

  ISO27001:2013
Gedocumenteerde informatie Onderdeel
Scope van het ISMS 4.3
Informatiebeveiligingsbeleid en doelen 5.2, 6.2
Risk analyse, - behandeling en -methode 6.1.2
Verklaring van toepasselijkheid 6.1.3 d
Risicobehandelplan 6.1.3e, 6.2
Procedure gedocumenteerde informatie 7.5.3
Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging A7.1.2, A13.2.4
Eisen mbt vertrouwelijkheid en non-disclosure agreements A7.1.2
Gebruik van bedrijfsmiddelen A8.1.1
Aanvaardbaar gebruik van bedrijfsmiddelen A8.1.3
Logisch toegangsbeleid A9.1.1
Fysieke beveiliging: zones, procedures beveiligde ruimten A11.1
Operationele procedures voor IT management A12.1.1
Procedure back-up and restore A12.3.1
Principes voor engineering  A14.2.5
Beleid informatiebeveiliging toeleveranciers A15.1.1
Incident management procedure A16.1.5
Business continuity procedures A17.1.2
Eisen mbt wet- en regelgeving A18.1.1

 
Registraties van trainingen, skills, ervaring en kwalificaties 7.2
Monitoring and meetresultaten 9.1
Internal audit programma 9.2
Resultaten van internal audits 9.2
Resultaten van management review 9.3
Resultaten van correctieve acties 10.1
Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen A7.1.2
Logging van gebruikers activiteiten, uitzonderingen en security events A12.4.1, A12.4.3

 

Gratis Live
QuickScan
Share |