BIO (Baseline Informatiebeveiliging Overheid)

Uit NORA Online
Versie door Jdirks2 (overleg | bijdragen) op 18 jun 2019 om 09:46 (download-versie te vinden)
Ga naar: navigatie, zoeken



 
Bron.png
Een bron is de plaats of organisatie waar bepaalde informatie is ontstaan en/of beschikbaar wordt gesteld, of de documenten waarin die informatie is vervat.

Eigenschappen

IDBIO
Publicatiedatum2019/05/23
Externe verwijzinghttps://zoek.officielebekendmakingen.nl/stcrt-2019-26526.html
BeschrijvingDe Ministerraad van 14 december 2018 heeft de Baseline Informatiebeveiliging Overheid (BIO) vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. De BIO is:
  • een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid;
  • een afgeleide van de huidige BIR2017, die al in werking is voor het Rijk;
  • een concretisering van een aantal normen tot verplichte overheidsmaatregelen.

Iedere overheidslaag heeft besloten de bestaande eigen baseline informatiebeveiliging te vervangen door de BIO. Het gevolg van bovengenoemde besluiten is dat alle overheidsorganisaties hun bestaande sectorale baselines zullen vervangen door de BIO. De BIO vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, IBI en de BIR2017.

Om te voorkomen dat het Rijk in de informatie-uitwisseling met andere bestuurslagen andere normen gaat eisen, heeft de Ministerraad besloten om de BIO te hanteren in de informatie-uitwisseling tussen het Rijk en alle bestuurslagen.

Een PDF-versie is te vinden op https://cip-overheid.nl/category/producten/bio/#bio-tekst
BrontypeWet of ministerieel besluit
ToelichtingDe Baseline Informatiebeveiliging Overheid is per 1 januari 2019 verplicht en vervangt voor de gemeenten, waterschappen, provincies en het Rijk respectievelijk de BIG, BIWA, IBI en de BIR (Baseline Informatiebeveiliging Rijksdienst).
Laag binnen vijflaagsmodel1
Status actualiteitActueel

Relaties

VertrekpuntRelatieEindpunten
BIO (Baseline Informatiebeveiliging Overheid)Is gerelateerd aan

Afgeleide relaties

VertrekpuntRelatieEindpunt
NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen) (Standaard)Is gerelateerd aanBIO (Baseline Informatiebeveiliging Overheid)
NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging) (Standaard)Is gerelateerd aanBIO (Baseline Informatiebeveiliging Overheid)
Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Apparatuur-onderhoud (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Apparatuur-positionering (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Apparatuur-verwijdering (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Applicatie functionaliteiten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Autorisatie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bedieningsprocedures (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bedrijfscontinuïteit (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bedrijfsmiddelen-inventaris (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bedrijfsmiddelenverwijdering (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beheer op afstand (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beheer serverkwetsbaarheden (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beheerorganisatie netwerkbeveiliging (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bekabeling (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beleid en procedures informatietransport (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beleid voor beveiligde inrichting en onderhoud (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beoordeling technische serveromgeving (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beoordeling toegangsrechten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beperking software-installatie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beveiligde inlogprocedure (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beveiliging netwerkdiensten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beveiligingsfaciliteiten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Beveiligingsmechanismen voor communicatie worden voorzien op de OSI lagen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bewaken en analyseren dataverkeer op kwaadaardige elementen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bieden mechnismen om informatie in te zien en verwerken voor uitoefening taak (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Bij web- en mailverkeer van gevoelige gegevens wordt gebruik gemaakt van PKI-Overheid certificaten (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Binnenkomend en uitgaand dataverkeer wordt bewaakt en geanalyseerd op kwaadaardige elementen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Cryptografie softwarepaketten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Cryptografie toegangsbeveiliging (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Cryptografiebeleid voor communicatie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Cryptografische beheersmaatregelen sluiten aan bij de Pas-Toe-of-Leg-Uit standaarden (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
ISOR:Daar waar geen 2-factor authenticatie mogelijk is ()Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
wordt minimaal het wachtwoord halfjaarlijks vernieuwd ()Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
De Handreikingen: "Risicoanalysemethode" en "Risicomanagement ISO-27005 (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
De anti-malware software wordt regelmatig geüpdate (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
De malware scan wordt op alle omgevingen uitgevoerd (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
De noodzakelijke beveiligingsmechanismen zijn vastgelegd in een overeenkomst (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
De opvolging van bevindingen is gedocumenteerd. (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Delen nieuwe dreigingen binnen overheid (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Een expliciete risicoafweging wordt uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Een log-regel bevat de vereiste gegevens (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Een logregel bevat in geen geval gegevens die de beveiliging kunnen doorbreken (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Een risicoafweging bepaalt de voorwaarden voor toegang (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Een sluitende formele registratie- en afmeldprocedure (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Eigenaarschap (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Eisen aan het installeren van patches en tussentijdse mitigerende maatregelen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Elektronische berichten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Evaluatie leveranciersdienstverlening (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Functiescheiding (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Fysieke toegangsbeveiliging (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Fysieke zonering (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Gangbare principes rondom Security by design zijn uitgangspunt voor het inrichten van servers (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Gangbare principes rondom security by design zijn uitgangspunt voor het onderhouden van server (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Gebeurtenissen registreren (logging en monitoring) (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Geheime authenticatie-informatie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Groepsaccounts niet toegestaan tenzij (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Hanteren PKI-overheidseisen en ISO 11770 voor sleutelbeheer (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Hebben SIEM- en/of SOC-regels over te rapporteren incident (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Het cryptografiebeleid stelt eisen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Het netwerk is opgedeeld op grond van risico’s voor onderlinge negatieve beïnvloeding (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Huisvesting informatievoorzieningenbeleid (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
In het cryptografiebeleid uitgewerkte onderwerpen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
In- en externe bedreigingen (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Informatiebeveiligingsbeleid voor leveranciersrelaties (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Inlogprocedure (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Installeren patches en treffen mitigerende maatregelen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Installeren patches voor kwetsbaarheden (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Kloksynchronisatie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Krijgen toegang tot IT-diensten en data (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Laad- en loslocatie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Logbestanden beheerders (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Malwareprotectie (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Mandaatregister voor toekennen van toegangsrechten en functieprofielen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Minimaal 2-factor authenticatie (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Netwerkbeheeractiviteiten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Netwerkbeveiligingsbeheer (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Nutsvoorzieningen (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Op de werkomgeving kan niets zelf worden geïnstalleerd, anders dan via de ICT-leverancier wordt aangeboden of toegestaan (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Overeenkomsten informatietransport (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Principes voor inrichten beveiligde servers (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Registratie gebeurtenissen (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Registratieprocedure (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Richtlijn gebieden en ruimten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Risicoafweging bij toegang tot netwerk (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Risicoafweging voor functiescheiding en toegangsrechten (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Server-onderhoud (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Servers en hiervoor gebruikte media worden routinematig gescand op malware (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Servers zijn voorzien van up-to-date anti-malware (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Sleutelbeheer is ingericht op basis van een sleutelplan (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Speciale toegangsrechtenbeheer (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Toegang vanuit een niet-vertrouwde zones naar een vertrouwde zone (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Toegangsbeveiligingsbeleid (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Toegangsverleningsprocedure (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Toepassingen via openbare netwerken (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
ISOR:Toewijzen verantwoordelijkheden voor definiëren ()Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
coördineren en evalueren van informatiebeveiliging ()Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Training en bewustwording (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Treffen maatregelen in koppelpunten met externe of onvertrouwde zones (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitgangspunt voor systeemontwikkeling trajecten is een expliciete risicoafweging (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitsluitend toegang na autorisatie (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitvoeren expliciete risicoafweging bij nieuwe software (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitvoeren malware-bescherming op verschillende omgevingen en bij toegang tot netwerk van organisatie (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitwerken cryptografiebeleid (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Uitwerken cryptografiebeleid (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Van de resultaten van de testen wordt een verslag gemaakt (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Vastleggen beleidsregel-overtreding (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Vastleggen en monitoring netwerkgebeurtenissen (events) (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Veilig serverapparatuur verwijderen of hergebruiken (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Versiebeheer (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Versleuteld opslaan van gegevens met cryptografiestandaarden (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Vertrouwelijkheids- en geheimhoudingsovereenkomst (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Verwervingsbeleid softwarepakketten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voldoen aan passende standaarden (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voor de bescherming tegen malware zijn procedures beschreven en verantwoordelijkheden benoemd (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voor de beveiliging van elektronische berichten gelden de vastgestelde standaarden tegen phishing en afluisteren (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voor elektronische berichten wordt gebruik gemaakt van de AdES Baseline Profile standaard of ETSI TS 102 176-1 (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voor veilige berichtenuitwisseling met basisregistraties wordt gebruik gemaakt van Digikoppeling (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Voorschriften voor het inrichten van beveiligde zones (Norm)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Wachtwoordbeheer (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Wet- en regelgeving Huisvesting IV (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Wet- en regelgeving clouddiensten (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
Zonering en filtering (Beveiligingsprincipe)Is uitwerking vanBIO (Baseline Informatiebeveiliging Overheid)
BIG (Baseline Informatiebeveiliging Gemeenten) (Bron)Vervangen inBIO (Baseline Informatiebeveiliging Overheid)
BIWA (Baseline Informatiebeveiliging Waterschappen) (Bron)Vervangen inBIO (Baseline Informatiebeveiliging Overheid)
IBI (Interprovinciale Baseline Informatiebeveiliging) (Bron)Vervangen inBIO (Baseline Informatiebeveiliging Overheid)