BIO Thema Huisvesting Informatievoorziening/Inleiding: verschil tussen versies

Uit NORA Online
< BIO Thema-uitwerking Huisvesting InformatievoorzieningenBIO Thema Huisvesting Informatievoorziening/Inleiding
Naar navigatie springen Naar zoeken springen
k (Tekst vervangen - '|Afbeeldingtitel of none|' door '|none|')
k (tekst verder in lijn met versie 2.1)
 
(48 tussenliggende versies door 5 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{#Element:
{{#element:
|ID=Huisv_INL
|Titel=BIO Thema Huisvesting Informatievoorziening - Inleiding
|Elementtype=Hoofdstuk normenkader
|Elementtype=Hoofdstuk normenkader
|Versieaanduiding=0.95
|ID=HVI_INL
|Status Actualiteit=Actueel
|Titel=BIO Thema Huisvesting informatievoorzieningen - Inleiding
|Redactionele wijzigingsdatum=19 okt 2017
|Kent element met zelfde titel=Nee
|Publicatiedatum=19 okt 2017
|Versieaanduiding=2.1
|Beschrijving===Huisvesting Informatievoorzieningen==
|Status actualiteit=Actueel
In dit document wordt een set beveiligingsmaatregelen met betrekking tot het thema Huisvesting Informatievoorzieningen (hierna afgekort met Huisvesting-IV) uitgewerkt. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (bron objecten) uit de ISO 27001 (2013) en BIR 2017/BIO 2017 v0.5. Eventueel ontbrekende bron-objecten, die uit analyses voortvloeien, worden betrokken uit andere baselines, zoals Standard of Good Practice, NIST en Handboeken van organisaties die in de praktijk gehanteerd worden. Voor noodzakelijke details bij specifieke maat-regelen wordt verwezen naar operationele practices. Deze relatie tussen deze documenten wordt in onderstaande figuur weergegeven.
|Redactionele wijzigingsdatum=2021/11/22
[[Afbeelding:Thema Huisvesting - Relatie documenten en thema.png|thumb|left|500px|none|alt=”Relatie documenten en thema”]]
|Publicatiedatum=2021/10/29
|Beschrijving=Deze thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Huisvesting Informatievoorzieningen, hierna genoemd Huisvesting IV. Het is gebaseerd op de controls uit de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Voor die aspecten, waar de BIO onvoldoende praktische invulling geeft, zijn onder andere de volgende best practices geraadpleegd: [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-EN-ISO/IEC 27002:2017]] hierna genoemd ISO 27002, [[The Standard of Good Practice for Information Security 2018|The Standard of Good Practice (SoGP) 2018]] en diverse van de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]].


De bronobjecten uit ISO-norm en BIR met de bijbehorende maatregelen gelden zowel voor implementatie- als voor audit doeleinden. Samenvattend komt het erop neer dat de bronobjecten en de bijbehorende maatregelen georganiseerd zijn in drie domeinen: Beleid, Uitvoering en Control.


Onderstaande figuur schetst de structuur waarin een relatie wordt gelegd tussen Beleidsdomein, de uitvoering van de fysieke Huisvesting van IV objecten met bijbehorende beheersingsobjecten.
Afbeelding 'Overzicht BIO-thema’s en positie thema Huisvesting IV' geeft de relatie weer tussen het thema Huisvesting IV en de overige [[Alle normenkaders|BIO Thema-uitwerkingen]].
[[Afbeelding:Thema Huisvesting - Structuur Beleid, Uitvoering en Control.png|thumb|left|500px|none|alt=”Structuur Beleid, Uitvoering en Control”]]
# Beleidsdomein: randvoorwaardelijk elementen.
# Uitvoeringsdomein: operationele elementen.
# Controldomein: elementen die, op basis van beleid, de beheersing waarborgen van het uitvoeringsdomein. Deze elementen zor-gen voor de instandhouding van een beveiligings- of serviceniveau. In dit domein wordt er voor gezorgd dat:
## tijdig beheersende, corrigerende- of verbeter acties op de operationele aspecten worden uitgevoerd,
## rapportages gemaakt worden over de stand van zaken voor het hogere management.
Met deze driedeling is de toewijzing van maatregelen vanuit de normen (bronobjecten) zodanig georganiseerd, dat alle noodzakelijke acties bij juiste functionarissen worden geadresseerd.


==Aanpak uitwerking thema Huisvesting-IV==
Het Toelichtingsdocument schetst de standaard methodiek waarmee BIO-thema’s worden opge-steld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.


==Scope en begrenzing==
[[Bestand:Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting IT Infrastructuur.png|thumb|none|500px|Overzicht BIO-thema’s en positie thema Huisvesting IV|alt=”Overzicht BIO-the-ma’s en positie thema Huisvesting IV”]]
De eisen die gesteld moeten worden aan huisvesting van IV, worden in het bijzonder bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT diensten en de daarvoor benodigde huisvesting.


Het management van de doelorganisatie blijft echter verantwoordelijk voor het gehele bedrijfspro-ces en onderliggende IT ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type Huisvesting-IV past bij de organisatie.


De volgende drie opties zijn mogelijk:
==Huisvesting IV==
# Fysieke huisvesting - Dit is de traditioneel Huisvesting-IV, waarbij de huisvesting een fysieke locatie betreft, die onder beheer is van de doelorganisatie;
In deze thema-uitwerking is een set beveiligingsmaatregelen voor de BIO Thema-uitwerking Huisvesting IV opgenomen. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (objecten) uit de BIO. Objecten die ontbreken in de BIO en die uit analyses voortvloeien, worden betrokken uit andere best practices, zoals de ISO 27002 en de SoGP. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in afbeelding 'Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten' weergegeven.
# Modulaire huisvesting - een Huisvesting-IV, waarbij de huisvesting is opgebouwd uit mobiele bouwblokken die flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers);
# Virtuele huisvesting - een Huisvesting-IV in de Cloud, zowel private als public. Bij deze vorm van huisvesting van IV valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie. Men neemt een dienst af en stelt ei-sen. Hoe groot de invloed is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers als IAAS, PAAS of SAAS.


Afhankelijk van de gemaakte inrichtingskeuze voor de Huisvesting-IV, zijn normen m.b.t. de huis-vesting in meer of mindere mate van toepassing.


In dit document beschrijft optie 1: ‘Fysieke huisvesting’ en daarbij op de generieke objecten m.b.t. Huisvesting-IV, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande figuur. Vanuit huisvestingsbeleid (Beleidsdomein) wordt de inrichting en beveiliging van de resources binnen het Uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (Controldomein).
[[Bestand:HVI Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|none|500px|Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”]]


[[Afbeelding:Thema Huisvesting - Overzicht fysieke huisvesting van IV.png|thumb|left|500px|none|alt=”Overzicht fysieke huisvesting van IV”]]


De objecten en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de objecten en de bijbehorende maatregelen georganiseerd zijn in het [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|beleids-]], [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|uitvoerings-]] en [[ISOR:BIO Thema Huisvesting Informatievoorziening Control|control-domein]]. Afbeelding 'Thema Huisvesting Relatie tussen objecten in het beleids-, uitvoerings- en control-domein' schetst de structuur waarin een relatie wordt gelegd tussen de objecten binnen het beleids-, uitvoerings- en control-domein voor huisvesting IV.
[[Bestand:HVI Relatie tussen objecten in het beleids-, uitvoerings- en control-domein.png|thumb|none|500px|Relatie tussen objecten in het beleids-, uitvoerings- en control-domein|alt=”Relatie tussen objecten in het beleids-, uitvoerings- en control-domein”]]
==Scope en begrenzing huisvesting IV==
De te stellen eisen aan huisvesting IV worden vooral bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT-diensten en de daarvoor benodigde huisvesting.
Het management van de doelorganisatie blijft verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT-ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type huisvesting IV past bij de organisatie.
De volgende 3 opties zijn mogelijk:
# Fysieke huisvesting, Bij deze traditionele huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie onder beheer van de doelorganisatie.
# Modulaire huisvesting, Bij deze huisvestingsvorm is het rekencentrum ondergebracht in mobiele bouwblokken, die flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers).
# Virtuele huisvesting, Bij deze vorm is het rekencentrum ondergebracht in een (private of publieke) cloud. Bij deze vorm van huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie. Men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals Infrastructure As A Service (IAAS), Platform as a Service (PAAS) of Software As A Service (SAAS).
Afhankelijk van de gemaakte inrichtingskeuze voor huisvesting IV zijn normen voor de huisvesting in meer of mindere mate van toepassing.
Deze thema-uitwerking beschrijft optie 1 ‘Fysieke huisvesting’ en daarbij de objecten voor huisvesting IV, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit het huisvestingsbeleid (zie [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|het beleidsdomein]]) wordt de inrichting en beveiliging van de resources binnen het uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (zie [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|het control-domein]]).
[[Bestand:HVI Overzicht fysieke huisvesting informatievoorzieningen.png|thumb|none|500px|Overzicht fysieke huisvesting IV|alt=”Overzicht fysieke huisvesting IV”]]
==Aanpak BIO Thema-uitwerking huisvesting IV==
Het toelichtingsdocument schetst de standaardmethodiek waarmee [[Alle normenkaders|BIO Thema-uitwerkingen]] worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.
|Heeft bron=BIO Thema Huisvesting Informatievoorziening
|Heeft bron=BIO Thema Huisvesting Informatievoorziening
|Heeft ouder=BIO Thema Huisvesting Informatievoorziening
}}
}}

Huidige versie van 22 nov 2021 om 16:42

Versie 2.0 van 25 januari 2021 van de BIO Thema-uitwerking Huisvesting Informatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: HVI_INL
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 29-10-2021
Redactionele wijzigingsdatum: 22-11-2021
Alle hoofdstukken bij BIO Thema-uitwerking Huisvesting Informatievoorzieningen:

Deze thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Huisvesting Informatievoorzieningen, hierna genoemd Huisvesting IV. Het is gebaseerd op de controls uit de Baseline Informatiebeveiliging Overheid (BIO). Voor die aspecten, waar de BIO onvoldoende praktische invulling geeft, zijn onder andere de volgende best practices geraadpleegd: NEN-EN-ISO/IEC 27002:2017 hierna genoemd ISO 27002, The Standard of Good Practice (SoGP) 2018 en diverse van de National Institute of Standards and Technology (NIST).


Afbeelding 'Overzicht BIO-thema’s en positie thema Huisvesting IV' geeft de relatie weer tussen het thema Huisvesting IV en de overige BIO Thema-uitwerkingen.


”Overzicht BIO-the-ma’s en positie thema Huisvesting IV”
Overzicht BIO-thema’s en positie thema Huisvesting IV


Huisvesting IV

In deze thema-uitwerking is een set beveiligingsmaatregelen voor de BIO Thema-uitwerking Huisvesting IV opgenomen. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (objecten) uit de BIO. Objecten die ontbreken in de BIO en die uit analyses voortvloeien, worden betrokken uit andere best practices, zoals de ISO 27002 en de SoGP. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in afbeelding 'Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten' weergegeven.


”Relatie BIO Thema-uitwerking met aanpalende documenten”
Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten


De objecten en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de objecten en de bijbehorende maatregelen georganiseerd zijn in het beleids-, uitvoerings- en control-domein. Afbeelding 'Thema Huisvesting Relatie tussen objecten in het beleids-, uitvoerings- en control-domein' schetst de structuur waarin een relatie wordt gelegd tussen de objecten binnen het beleids-, uitvoerings- en control-domein voor huisvesting IV.


”Relatie tussen objecten in het beleids-, uitvoerings- en control-domein”
Relatie tussen objecten in het beleids-, uitvoerings- en control-domein

Scope en begrenzing huisvesting IV

De te stellen eisen aan huisvesting IV worden vooral bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT-diensten en de daarvoor benodigde huisvesting.


Het management van de doelorganisatie blijft verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT-ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type huisvesting IV past bij de organisatie.


De volgende 3 opties zijn mogelijk:

  1. Fysieke huisvesting, Bij deze traditionele huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie onder beheer van de doelorganisatie.
  2. Modulaire huisvesting, Bij deze huisvestingsvorm is het rekencentrum ondergebracht in mobiele bouwblokken, die flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers).
  3. Virtuele huisvesting, Bij deze vorm is het rekencentrum ondergebracht in een (private of publieke) cloud. Bij deze vorm van huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie. Men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals Infrastructure As A Service (IAAS), Platform as a Service (PAAS) of Software As A Service (SAAS).


Afhankelijk van de gemaakte inrichtingskeuze voor huisvesting IV zijn normen voor de huisvesting in meer of mindere mate van toepassing.


Deze thema-uitwerking beschrijft optie 1 ‘Fysieke huisvesting’ en daarbij de objecten voor huisvesting IV, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit het huisvestingsbeleid (zie het beleidsdomein) wordt de inrichting en beveiliging van de resources binnen het uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (zie het control-domein).


”Overzicht fysieke huisvesting IV”
Overzicht fysieke huisvesting IV

Aanpak BIO Thema-uitwerking huisvesting IV

Het toelichtingsdocument schetst de standaardmethodiek waarmee BIO Thema-uitwerkingen worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Huisvesting_Informatievoorziening/Inleiding&oldid=59198"