Iedere overheidsorganisatie moet de Baseline Informatiebeveiliging Overheid (BIO) hanteren als basis voor informatiebeveiliging. De BIO beschrijft aan welke controls uit de NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017 moet worden voldaan. Bij alle controls dient, op basis van een individuele risicoafweging, bepaald te worden hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. Deze verplichte overheidsmaatregelen zijn herkenbaar aan de tekstkleur groen.
Hoewel het gebruik van de NEN-ISO-normen in de BIO auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in de BIO toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.