{"id":5370,"date":"2021-07-27T12:13:55","date_gmt":"2021-07-27T09:13:55","guid":{"rendered":"https:\/\/naris-prod.azurewebsites.net\/nieuwe-versie-van-three-lines-of-defence-3lm-copy\/"},"modified":"2025-08-08T13:54:29","modified_gmt":"2025-08-08T11:54:29","slug":"de-bio-voor-risicomanagement-binnen-overheden","status":"publish","type":"post","link":"https:\/\/www.naris.com\/nl\/de-bio-voor-risicomanagement-binnen-overheden\/","title":{"rendered":"BIO: Baseline informatiebeveiliging overheid"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5370\" class=\"elementor elementor-5370\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-966b1f elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"966b1f\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-745d6e0b\" data-id=\"745d6e0b\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-4941fdeb elementor-widget elementor-widget-text-editor\" data-id=\"4941fdeb\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p><span class=\"TextRun SCXW13538346 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW13538346 BCX0\">D<\/span><span class=\"NormalTextRun SCXW13538346 BCX0\">eze<\/span><span class=\"NormalTextRun SCXW13538346 BCX0\">\u00a0blog is in samenwerking met<\/span><\/span><a class=\"Hyperlink SCXW13538346 BCX0\" href=\"http:\/\/www.audittrail.nl\/\" target=\"_blank\" rel=\"noreferrer noopener\"><span class=\"TextRun Underlined SCXW13538346 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW13538346 BCX0\" data-ccp-charstyle=\"Hyperlink\">\u202f<\/span><span class=\"NormalTextRun SCXW13538346 BCX0\" data-ccp-charstyle=\"Hyperlink\">AuditTrail<\/span><\/span><\/a><span class=\"TextRun SCXW13538346 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"auto\"><span class=\"NormalTextRun SCXW13538346 BCX0\">\u202fgeschreven<\/span><\/span><span class=\"EOP SCXW13538346 BCX0\" data-ccp-props=\"{\">\u00a0<\/span><\/p><p><strong>De BIO heeft niets te maken met groente of fruit, maar meer met informatiebeveiliging binnen overheden. Het staat namelijk voor Baseline Informatiebeveiliging Overheid en is in werking sinds 1 januari 2020. Maar wat houdt het eigenlijk in? Wat zijn de voordelen en de verplichtingen? <\/strong><span style=\"font-size: 16px;\">\u202f<\/span><\/p><h3 class=\"has-black-color has-text-color\" style=\"font-size: 22px;\"><strong><span class=\"TextRun SCXW41272692 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW41272692 BCX0\" data-ccp-parastyle=\"Normal (Web)\">De basis (en alle andere baselines)<\/span><\/span><\/strong><span class=\"LineBreakBlob BlobObject DragDrop SCXW41272692 BCX0\"><br class=\"SCXW41272692 BCX0\" \/><\/span><\/h3><p><span data-contrast=\"none\">In Nederland, of eigenlijk in West-Europa zijn alle raamwerken in informatiebeveiliging gebaseerd op de NEN-ISO\/IEC27000-serie. Daarvan zijn de ISO27001 en ISO27002 de bekendste. De ISO27001 is het managementraamwerk. De PDCA en wat je moet doen om te zorgen dat \u2018doen aan security\u2019 niet blijft hangen in de vorm van een project. En dus niet volwassener wordt. De ISO27002 is een heldere en uitgebreide lijst met normen, maatregelen en implementatierichtlijnen, georganiseerd in overzichtelijke domeinen. De ISO wordt, zoals gebruikelijk periodiek ge\u00fcpdatet. De laatste update was van 2013, die daarvoor van 2005.\u00a0Zo kan iedereen\u00a0die zich bezighoudt met\u00a0<a href=\"\/nl\/risicomanagement\/\">risicomanagement<\/a> meegaan\u00a0met\u00a0de tijd!<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><span data-contrast=\"none\">De volgende <a href=\"\/nl\/risicomanagement-lokale-overheid\/\">overheidsinstanties<\/a> dienen te voldoen aan de BIO:<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><ul><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"9\" aria-setsize=\"-1\" data-aria-posinset=\"1\" data-aria-level=\"1\"><span data-contrast=\"none\">Rijksoverheid<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"9\" aria-setsize=\"-1\" data-aria-posinset=\"2\" data-aria-level=\"1\"><span data-contrast=\"none\">Provinciale staten<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"9\" aria-setsize=\"-1\" data-aria-posinset=\"3\" data-aria-level=\"1\"><span data-contrast=\"none\"><a href=\"\/nl\/risicomanagement-gemeente\/\">Gemeenten<\/a>\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"9\" aria-setsize=\"-1\" data-aria-posinset=\"3\" data-aria-level=\"1\"><span data-contrast=\"none\">Waterschappen<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><\/ul><h3 aria-level=\"3\"><strong><span class=\"TextRun SCXW202427997 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW202427997 BCX0\" data-ccp-parastyle=\"Normal (Web)\">Normenkaders in het informatiebeveiligingslandschap<\/span><\/span><\/strong><span class=\"LineBreakBlob BlobObject DragDrop SCXW202427997 BCX0\"><br class=\"SCXW202427997 BCX0\" \/><\/span><\/h3><p><span data-contrast=\"none\">Bij de Nederlandse overheden en in verschillende sectoren werden en worden raamwerken gebruikt die afgeleid zijn van de hierboven genoemde ISO. In de zorg de NEN7510, bij woningcorporaties de BIC. En bij de overheid had iedere bestuurslaag haar eigen baseline: gemeenten de BIG, waterschappen de BIWA, Provincies de IBI en de Rijksoverheid de BIR.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><span data-contrast=\"none\">De BIR was gebaseerd op de ISO-update van 2013, maar de andere baselines waren nog gebaseerd op de versie uit 2005. Dit zorgde voor verwarring en werkte buitengewoon onhandig.\u00a0Daarnaast ziet\u00a0de wereld er nu natuurlijk heel anders uit ziet! Ook bleek er een grote behoefte\u00a0te zijn\u00a0om \u00e9\u00e9n baseline voor de gehele overheid te hebben. Dit\u00a0stimuleert herkenbaarheid en eenduidigheid.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><h3 aria-level=\"3\"><strong><span class=\"TextRun SCXW251026799 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW251026799 BCX0\" data-ccp-parastyle=\"Normal (Web)\">Evolutie<\/span><\/span><\/strong><\/h3><p><span data-contrast=\"none\">Het werd tijd\u00a0voor een update. De BIO vervangt zowel de BIR, de BIWA, de IBI als de BIG. Wel is het gebaseerd op de BIG; het is een evolutie. Maar wat wil men nu bereiken?<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><span data-contrast=\"none\">Met het invoeren van de BIO beoogt men de beveiliging van informatiesystemen bij alle overheidsonderdelen te verbeteren. Alle overheidsinstanties kunnen hiermee aantonen dat de informatie die wordt verstuurd of ontvangen, voldoen aan passende wet- en regelgeving en daarmee goed beveiligd zijn.\u00a0De BIG was meer ingestoken vanuit het treffen van maatregelen; de BIO legt meer nadruk op risicomanagement.\u00a0Wat ons betreft een goede ontwikkeling. In onze dagelijkse praktijk zien wij gelukkig\u00a0dat er steeds\u00a0meer aandacht\u00a0is\u00a0voor de aansluiting tussen informatiebeveiliging en risicomanagement.\u00a0Daarmee wordt\u00a0ook\u00a0impliciet erkend dat security een business risk is.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><span data-contrast=\"none\">De BIO verschilt op een aantal punten van de BIG.\u202fDe grootste verschillen zijn:<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><ul><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"1\" data-aria-level=\"1\"><span data-contrast=\"none\">Meer risicomanagement;<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"2\" data-aria-level=\"1\"><span data-contrast=\"none\">Minder maatregelen (bijna 60% minder);<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"3\" data-aria-level=\"1\"><span data-contrast=\"none\">Maatregelen zijn altijd verplicht;<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"4\" data-aria-level=\"1\"><span data-contrast=\"none\">3 Basis Beveiliging Niveaus (BBN1 t\/m BBN3);<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"4\" data-aria-level=\"1\"><span data-contrast=\"none\">Een baselinetoets die rekening houdt met die 3 niveaus;<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"4\" data-aria-level=\"1\"><span data-contrast=\"none\">Selectie van ontbrekende maatregelen vooraf;<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><li data-leveltext=\"\uf0b7\" data-font=\"Symbol\" data-listid=\"8\" aria-setsize=\"-1\" data-aria-posinset=\"4\" data-aria-level=\"1\"><span data-contrast=\"none\">Toewijzing van maatregelen op eindverantwoordelijke.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li><\/ul><p><span data-contrast=\"none\">De keuze om 3 BBN\u2019s\u00a0te faciliteren is een goed idee. Dat zorgt ervoor dat het bruikbaar is in verschillende types organisaties met verschillende risicoprofielen.\u00a0Al met al\u00a0gaat het om een flink\u00a0aantal wijzigingen. Ook de aanpak is nadrukkelijk anders dan met de BIG. Daarnaast is de verplichte herinrichting van de ENSIA een aanzienlijke wijziging.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><span data-contrast=\"none\">De omschakeling naar de BIO is behoorlijk wat werk, maar goed te doen.\u00a0De omschakeling geeft\u00a0anderzijds\u00a0ook kansen om de gehele aanpak van informatiebeveiliging nog eens goed tegen het licht te houden.<\/span><\/p><h3 aria-level=\"3\"><span class=\"TextRun SCXW65751447 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW65751447 BCX0\" data-ccp-parastyle=\"Normal (Web)\">Implementatie van de BIO<\/span><\/span><\/h3><p><span data-contrast=\"none\">Voor een juiste implementatie dient men de ISO27002 met alle\u00a0controls\u00a0toe te passen (of uit te leggen). Dit heet ook wel \u201ccomply\u00a0or\u00a0explain\u201d (\u201cpas toe of leg uit\u201d). Het normenkader van de ISO27001 en 2 bestaat uit 114 maatregelen welke eenvoudig en\u00a0overzichtelijk in te richten zijn binnen de organisatie. Veel van deze maatregelen zullen ook al ge\u00efmplementeerd zijn binnen de bestaande processen.\u00a0Het\u00a0is\u00a0echter van groot belang\u00a0om\u00a0ervoor te zorgen\u00a0dat deze maatregelen worden uitgevoerd\u00a0en dat het duidelijk is waar dit wordt gedaan.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><span data-contrast=\"none\">Ook biedt de invoering van de BIO de kans om alle \u201clessons learned\u201d ein-de-lijk eens op te pakken en te verwerken in een nieuwe aanpak. En dan het liefst meteen in goede <a href=\"https:\/\/www.naris.com\/grc-software\/\">GRC software<\/a>, die zowel de Security Officer als de Privacy Officer ondersteunt.<\/span><\/p><h3 aria-level=\"3\"><span class=\"TextRun SCXW27274990 BCX0\" lang=\"NL-NL\" xml:lang=\"NL-NL\" data-contrast=\"none\"><span class=\"NormalTextRun SCXW27274990 BCX0\" data-ccp-parastyle=\"Normal (Web)\">Even sparren? Bel ons gerust<\/span><\/span><\/h3><p><b><span data-contrast=\"none\"><br \/>Jorrit van de Walle<\/span><\/b>\u00a0<br \/><i><span data-contrast=\"none\">Jorrit van de Walle is directeur bij\u00a0Audittrail, een audit- en adviesbureau op het gebied van informatiebeveiliging, Legal en business control. Samen met een team van bevlogen professionals \u2013 experts en juristen \u2013 werkt hij voor opdrachtgevers in verschillende sectoren, waaronder de overheid.<\/span><\/i><span data-ccp-props=\"{\">\u00a0<\/span><\/p><p><b><span data-contrast=\"none\">Robert \u2019t Hart<\/span><\/b>\u00a0<br \/><i><span data-contrast=\"none\">Robert \u2019t Hart is directeur bij NARIS.\u202f<\/span><\/i><i><span data-contrast=\"none\">Het\u00a0softwareplatform\u00a0voor\u00a0Governance, Risk and Compliance<\/span><\/i><span data-ccp-props=\"{\">\u00a0Het<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Deze&nbsp;blog is in samenwerking met\u202fAuditTrail\u202fgeschreven&nbsp; De BIO heeft niets te maken met groente of fruit, maar meer met informatiebeveiliging binnen&#8230;<\/p>\n","protected":false},"author":18,"featured_media":723,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[83,4],"class_list":["post-5370","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-informatiebeveiliging","tag-risicomanagement"],"_links":{"self":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/5370","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/comments?post=5370"}],"version-history":[{"count":38,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/5370\/revisions"}],"predecessor-version":[{"id":27955,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/5370\/revisions\/27955"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media\/723"}],"wp:attachment":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media?parent=5370"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/categories?post=5370"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/tags?post=5370"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}