# BIO Controles Mapping

## Overzicht

De Baseline Informatiebeveiliging Overheid (BIO) is het normenkader voor informatiebeveiliging bij Nederlandse overheidsorganisaties. Dit document mappt BIO controles naar het Noveu platform.

## BIO Structuur

De BIO is gebaseerd op ISO 27001/27002 en bevat:
- **Beleid en organisatie** (Hoofdstukken 5-8)
- **Technische maatregelen** (Hoofdstukken 9-14)
- **Operationele processen** (Hoofdstukken 15-18)

## Controle Mapping per Laag

### Infrastructuur Laag

| BIO Controle | Beschrijving | Noveu Implementatie | Bewijs |
|--------------|--------------|---------------------|--------|
| 11.1.1 | Fysieke beveiligingszone | Tier III+ datacenter, badge access | DC audit rapport |
| 11.1.2 | Fysieke toegangsbeveiliging | Biometrische + badge controle | Toegangslogboeken |
| 11.2.1 | Plaatsing apparatuur | Dedicated racks, CCTV | Rack documentatie |
| 12.3.1 | Back-up van informatie | Geografisch gescheiden backups | Backup rapporten |
| 17.2.1 | Beschikbaarheid IT-diensten | N+1 redundantie, failover | Uptime SLA |

### Platform Laag

| BIO Controle | Beschrijving | Noveu Implementatie | Bewijs |
|--------------|--------------|---------------------|--------|
| 9.1.1 | Toegangsbeheerbeleid | RBAC met principle of least privilege | IAM configuratie |
| 9.2.1 | Registratie gebruikers | Geautomatiseerde provisioning | User lifecycle logs |
| 9.4.1 | Beperking toegang | Context-aware access policies | Access logs |
| 9.4.2 | Beveiligde aanmeldprocedures | MFA vereist, SSO integratie | MFA coverage |
| 12.4.1 | Gebeurtenis logging | Centrale SIEM, 1 jaar retentie | Log exports |
| 12.4.2 | Bescherming logbestanden | Immutable logs, encryption | Audit trail |

### Applicatie Laag

| BIO Controle | Beschrijving | Noveu Implementatie | Bewijs |
|--------------|--------------|---------------------|--------|
| 10.1.1 | Cryptografiebeleid | TLS 1.3, AES-256 at rest | Certificaten |
| 10.1.2 | Sleutelbeheer | HSM voor kritieke sleutels | Key rotation logs |
| 14.1.2 | Beveiligen applicatiediensten | Secure SDLC, code reviews | Penetration tests |
| 14.2.1 | Beveiligd ontwikkelbeleid | GitOps, automated scanning | CI/CD reports |

### Service Laag

| BIO Controle | Beschrijving | Noveu Implementatie | Bewijs |
|--------------|--------------|---------------------|--------|
| 16.1.1 | Verantwoordelijkheden procedures | RACI matrix, escalatiepaden | Incident runbooks |
| 16.1.2 | Rapporteren beveiligingsgebeurtenissen | 24/7 monitoring, alerting | Alert logs |
| 16.1.4 | Beoordelen beveiligingsgebeurtenissen | Incident classificatie | Incident reports |
| 16.1.5 | Respons beveiligingsincidenten | SOC procedures, playbooks | Post-mortems |
| 18.2.1 | Onafhankelijke beoordeling | Jaarlijkse externe audit | Audit certificaat |

## Bewijsset per Audit

### Standaard Bewijspakket

Bij elke audit levert Noveu:

1. **Toegangslogboeken** - Wie heeft wanneer wat benaderd
2. **Patch status rapporten** - Vulnerability en patch compliance
3. **Incident tijdlijnen** - Alle security events met responstijden
4. **Configuratie baselines** - Hardening status per systeem
5. **MFA coverage rapport** - Percentage gebruikers met MFA
6. **Backup test rapporten** - Recovery point/time actuals
7. **Penetration test rapport** - Externe security assessment

### Export Formaten

- PDF voor management rapportages
- CSV voor data analyse
- JSON voor SIEM integratie
- Gestructureerde XML voor GRC tooling

## Classificatie Niveaus

| Niveau | Beschrijving | Noveu Support |
|--------|--------------|---------------|
| Basis | Publieke informatie | ✅ Standaard |
| BBN1 | Departementaal vertrouwelijk | ✅ Pro tier |
| BBN2 | Staatsgeheim, restricties | ✅ Overheid tier |
| BBN3 | Zeer vertrouwelijk | Op aanvraag |

## Implementatie Ondersteuning

Noveu biedt:
- **Gap analyse** tegen huidige BIO status
- **Remediatie roadmap** met prioritering
- **Periodieke compliance scans** 
- **Audit voorbereiding support**

---

*Laatste update: Januari 2026*  
*Gebaseerd op BIO 2022 en ISO 27001:2022*