BIO vereist? ... Advies Baseline Informatiebeveiliging Overheid
BIO - Baseline Informatiebeveiliging Overheid is een tactisch normenkader voor inrichting en toepassing van informatiebeveiliging. De BIO geldt voor de overheid (waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen). De BIO vervangt de normenkaders BIG, BIR, BIR2017, IBI, BIWA en is per 1 januari 2020 van kracht voor alle nieuwe informatiesystemen.
De BIO is geheel gestructureerd volgens de NEN/ISO ISO 27002, die weer de implementatiegids is van de Annex A uit de NEN/ISO 27001 Deze laatste is de internationale norm voor informatiebeveiliging. Daarnaast zijn er een aantal aanvullingen.
Verschillen BIO en de BIG/BIR/BIWA
De grootste verschillen tussen de BIO en de BIG/BIR/BIWA zijn:
- Het aantal maatregelen (bijna 60% minder)
- Meer nadruk op risico-management
- 3 Basisbeveiligingsniveaus (BBN's)
- Het uitvoeren van een Fit Gap-analyse, welke invulling geeft aan het basisbeveiligingsniveau van informatiesystemen
- Toewijzing van maatregelen op eindverantwoordelijke(n)
Als de overheid werkzaamheden uitbesteedt aan derden, wordt een Fit Gap analyse vereist. Deze analyse is gestructureerd volgens de bijlage A van NEN / ISO27001 en gebaseerd op het BasisBeveiligingsNiveau BBN 1, 2, 3. Hoe groter het BBN-getal hoe groter het aantal maatregelen ('controls') dat moet worden geïmplementeerd.
Kennis van de ISO27001 is daarvoor nodig, zoals welke documenten verplicht zijn.
Wat zijn nu de verplichte documenten?
De BIO is uiteindelijk baseerd op bijlage A (Annex A) uit de ISO 27001. Deze bevat een aantal verplichte documenten. Hieronder staat een overzicht van alle verplichte documenten uit de ISO27001. De documenten uit bijlage A zijn vetgedrukt.
Voorbeelden
Voorbeelden van deze verplichte documenten, evenals een spreadsheet met alle verplichte documenten, staan in deze managementsystemen, ISMS - Information Security Management System: demo ISMS ISO 27001 (UK) en demo ISMS NEN 7510 (NEN7510 is de norm mbt informatiebeveiliging voor de zorg).
Hieronder staat een overzicht verplichte documenten met een verwijzing naar het relevante norm-onderdeel:
| |
ISO27001:2013 |
| Gedocumenteerde informatie |
Onderdeel |
| Scope van het ISMS |
4.3 |
| Informatiebeveiligingsbeleid en doelen |
5.2, 6.2 |
| Risk analyse, - behandeling en -methode |
6.1.2 |
| Verklaring van toepasselijkheid |
6.1.3 d |
| Risicobehandelplan |
6.1.3e, 6.2 |
| Procedure gedocumenteerde informatie |
7.5.3 |
| Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging |
A7.1.2, A13.2.4 |
| Eisen mbt vertrouwelijkheid en non-disclosure agreements |
A7.1.2 |
| Gebruik van bedrijfsmiddelen |
A8.1.1 |
| Aanvaardbaar gebruik van bedrijfsmiddelen |
A8.1.3 |
| Logisch toegangsbeleid |
A9.1.1 |
| Fysieke beveiliging: zones, procedures beveiligde ruimten |
A11.1 |
| Operationele procedures voor IT management |
A12.1.1 |
| Procedure back-up and restore |
A12.3.1 |
| Principes voor engineering |
A14.2.5 |
| Beleid informatiebeveiliging toeleveranciers |
A15.1.1 |
| Incident management procedure |
A16.1.5 |
| Business continuity procedures |
A17.1.2 |
| Eisen mbt wet- en regelgeving |
A18.1.1 |
|
|
| Registraties van trainingen, skills, ervaring en kwalificaties |
7.2 |
| Monitoring and meetresultaten |
9.1 |
| Internal audit programma |
9.2 |
| Resultaten van internal audits |
9.2 |
| Resultaten van management review |
9.3 |
| Resultaten van correctieve acties |
10.1 |
| Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen |
A7.1.2 |
| Logging van gebruikers activiteiten, uitzonderingen en security events |
A12.4.1, A12.4.3 |
Gratis Live
QuickScan