BIO Thema Huisvesting Informatievoorziening/alle normen alle eigenschappen
Naar navigatie springen
Naar zoeken springen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Huisvesting Informatievoorzieningen, met het unieke ID, de
Conformiteitsindicator uit het beveiligingsprincipe dat het uitwerkt en de daadwerkelijke norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een norm om alle eigenschappen te zien. Deze tabel is ook beschikbaar als csv download
en via BIO Thema-uitwerking Huisvesting Informatievoorzieningen per aspect Beleid, Uitvoering of Control.
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| HVI_B.01.01 | Huisvesting IV-beleid | De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
|
| HVI_B.01.02 | Beleidsregels | Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
|
| HVI_B.01.03 | Beleidsregels | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
|
| HVI_B.02.01 | Wettelijke, statutaire, regelgevende, contractuele eisen | De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV. |
| HVI_B.02.02 | Wettelijke, statutaire, regelgevende, contractuele eisen | Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. |
| HVI_B.03.01 | Eigenaar | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd. |
| HVI_B.03.02 | Eigenaar | Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. |
| HVI_B.03.03 | Eigenaar | De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. |
| HVI_B.03.04 | Eigenaar | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
|
| HVI_B.04.01 | Gangbare standaarden | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. |
| HVI_B.04.02 | Gangbare standaarden | Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. |
| HVI_B.05.01 | Kwalitatieve en kwantitatieve eisen | De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. |
| HVI_B.05.02 | Overeenkomsten | Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. |
| HVI_B.05.03 | Overeenkomsten | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. |
| HVI_B.05.04 | Overeenkomsten | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s). |
| HVI_B.05.05 | Overeenkomsten | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. |
| HVI_B.06.01 | Service Level Agreement | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. |
| HVI_B.06.02 | Service Level Agreement | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. |
| HVI_B.06.03 | Service Level Agreement | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). |
| HVI_B.07.01 | Natuurrampen, kwaadwillige aanvallen of ongelukken | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. |
| HVI_B.07.02 | Natuurrampen, kwaadwillige aanvallen of ongelukken | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. |
| HVI_B.07.03 | Natuurrampen, kwaadwillige aanvallen of ongelukken | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. |
| HVI_B.07.04 | Natuurrampen, kwaadwillige aanvallen of ongelukken | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. |
| HVI_B.08.01 | Bewustzijnsopleiding, -training en bijscholing | Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. |
| HVI_B.08.02 | Bewustzijnsopleiding, -training en bijscholing | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. |
| HVI_B.09.01 | Organisatiestructuur | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie. |
| HVI_B.09.02 | Organisatiestructuur | Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar. |
| HVI_B.09.03 | Functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie. |
| HVI_B.09.04 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd. |
| HVI_C.01.01 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. |
| HVI_C.01.02 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. |
| HVI_C.01.03 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. |
| HVI_C.01.04 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. |
| HVI_C.01.05 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. |
| HVI_C.02.01 | Onderhoudsplan | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. |
| HVI_C.02.02 | Onderhoudsbepalingen | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. |
| HVI_C.03.01 | Procesmatig | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
|
| HVI_C.03.02 | Procesmatig | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. |
| HVI_C.03.03 | Hersteld en voortgezet | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. |
| HVI_C.03.04 | Hersteld en voortgezet | De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd. |
| HVI_C.03.05 | Hersteld en voortgezet | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. |
| HVI_C.03.06 | Hersteld en voortgezet | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. |
| HVI_C.03.07 | Hersteld en voortgezet | De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. |
| HVI_C.04.01 | Beheersorganisatie | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. |
| HVI_C.04.02 | Beheersorganisatie | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. |
| HVI_C.04.03 | Beheersorganisatie | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. |
| HVI_C.04.04 | Processtructuur | De samenhang van de processen wordt met een processtructuur vastgelegd. |
| HVI_U.01.01 | Richtlijnen | Personeel behoort alleen dankzij ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied. |
| HVI_U.01.02 | Richtlijnen | Zonder toezicht wordt niet gewerkt in beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. |
| HVI_U.01.03 | Richtlijnen | Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn. |
| HVI_U.01.04 | Richtlijnen | Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. |
| HVI_U.01.05 | Richtlijnen | Bezoekers van kritieke faciliteiten:
|
| HVI_U.02.01 | Inventaris | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002). |
| HVI_U.02.02 | Inventaris | De huisvesting Informatievoorzieningen (IV)-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
|
| HVI_U.02.03 | Inventaris | De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten. |
| HVI_U.02.04 | Inventaris | De huisvesting Informatievoorzieningen (IV)-organisatie heeft inventarisoverzichten, waarvoor geldt:
|
| HVI_U.03.01 | Beveilingszones | Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden:
|
| HVI_U.03.02 | Beveilingszones | Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. |
| HVI_U.03.03 | Beveilingszones | Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. |
| HVI_U.03.04 | Beveilingszones | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. |
| HVI_U.03.05 | Beveilingszones | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. |
| HVI_U.04.01 | Faciliteiten | Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. |
| HVI_U.04.02 | Faciliteiten | Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. |
| HVI_U.04.03 | Faciliteiten | Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. |
| HVI_U.04.04 | Faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4). |
| HVI_U.05.01 | Nutsvoorzieningen | Nutsvoorzieningen:
|
| HVI_U.05.02 | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. |
| HVI_U.05.03 | Nutsvoorzieningen | Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. |
| HVI_U.05.04 | Nutsvoorzieningen | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. |
| HVI_U.06.01 | Geplaatst en beschermd | Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens. |
| HVI_U.06.02 | Geplaatst en beschermd | Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. |
| HVI_U.07.01 | Correcte wijze | Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. |
| HVI_U.07.02 | Correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. |
| HVI_U.07.03 | Correcte wijze | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. |
| HVI_U.07.04 | Correcte wijze | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. |
| HVI_U.07.05 | Correcte wijze | Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. |
| HVI_U.07.06 | Correcte wijze | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. |
| HVI_U.08.01 | Geverifieerd | Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat. |
| HVI_U.08.02 | Verwijdering of betrouwbaar veilig zijn overschreven | Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
|
| HVI_U.09.01 | Bedrijfsmiddelen | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. |
| HVI_U.09.02 | Bedrijfsmiddelen | Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd. |
| HVI_U.09.03 | Bedrijfsmiddelen | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht. |
| HVI_U.09.04 | Bedrijfsmiddelen | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. |
| HVI_U.09.05 | Bedrijfsmiddelen | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. |
| HVI_U.10.01 | Toegangspunten | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten. |
| HVI_U.10.02 | Toegangspunten | Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel. |
| HVI_U.10.03 | Toegangspunten | De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. |
| HVI_U.10.04 | Toegangspunten | De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn. |
| HVI_U.10.05 | Toegangspunten | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer. |
| HVI_U.10.06 | Toegangspunten | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. |
| HVI_U.10.07 | Toegangspunten | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld. |
| HVI_U.11.01 | Voedingskabels | Kabels worden bij voorkeur ondergronds aangelegd. |
| HVI_U.11.02 | Voedingskabels | Huisvesting Informatievoorzieningen (IV) is ingericht met de volgende best practices:
|
| HVI_U.11.03 | Voedingskabels | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. |
| HVI_U.12.01 | Architectuurvoorschriften | De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting Informatievoorzieningen (IV) worden actief onderhouden. |
| HVI_U.12.02 | Architectuurvoorschriften | De inrichting van huisvesting Informatievoorzieningen (IV) en bekabelingen zijn gedocumenteerd. |
| HVI_U.12.03 | Documentatie | Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling:
|