ENSIA: In de BIO hebben controls een BBN niveau toebedeeld gekregen. De maatregelen hebben ook een niveau toebedeeld gekregen. Hoe verhoudt zich dit tot elkaar?

Dat klopt. De werkgroep normatiek heeft controls uit de ISO geselecteerd en opgenomen in de BIO. Dit vormt de baseline. De controls hebben een niveau van een te beschermen belang toebedeeld gekregen van 1 of 2. Om de risico’s te mitigeren zijn passende maatregelen nodig. De maatregelen in de BIO zijn eveneens van niveau 1 of 2. Het niveau van de control is altijd gelijk of van een hoger niveau dan de maatregel(en). U ziet wel een control op BBN1, met maatregelen op BBN1 en mogelijk BBN2 niveau. Een maatregel is nooit van een lager niveau dan de control. Op basis van de risico inschatting van het proces (BIV-classificatie) wordt het benodigde niveau van de maatregel bepaald. Wanneer het proces wordt vastgesteld op BBN2 dan implementeert u zowel de maatregelen van BBN1 als van BBN2 bij een control.

Een voorbeeld: de control (BBN1) is veilig wonen in een huis. Op BBN1 niveau kan de maatregel zijn dat er een deur in het huis aanwezig dient te zijn met een slot. Echter wanneer er grote te beschermen belangen zijn (al uw juwelen), dan dient u een stevigere maatregel in te zetten om de belangen te beschermen, namelijk een alarmsysteem (BBN2). Een hoger te beschermen belang in enige situatie kan zwaardere maatregelen vereisen. Het niveau van de control wijzigt hierdoor niet.