BIO Thema Huisvesting Informatievoorziening/alle principes alle eigenschappen

Uit NORA Online
< BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Naar navigatie springen Naar zoeken springen
 IDElementtypeDeze speciale eigenschap maakt deel uit van SmartCore. Gebruik deze eigenschap niet voor andere doeleinden.Heeft ouderRealiseertHeeft bronWijzigingsdatum“Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>” is een voorgedefinieerde eigenschap die overeenkomt met de datum van de laatste wijziging van een onderwerp. Deze eigenschap wordt geleverd door Semantic MediaWiki.BeschrijvingToelichtingCriteriumDoelstellingRisicoBeveiligingsaspectInvalshoekGrondslagIs een uitwerking van specifiek onderdeelStellingConformiteitsindicatorWijzigingsdatum“Wijzigingsdatum <span style="font-size:small;">(Modification date)</span>” is een voorgedefinieerde eigenschap die overeenkomt met de datum van de laatste wijziging van een onderwerp. Deze eigenschap wordt geleverd door Semantic MediaWiki.
CertificeringHVI_B.04BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 08:40:10==Objectdefinitie==

Betreft een bewijs, afgegeven door een erkende organisatie, waarmee bevestigd wordt dat huisvesting Informatievoorzieningen (IV) voldoet aan vooraf vastgestelde eisen.

Objecttoelichting

Certificering vindt plaats door een certificatie-instelling. Zo bestaan er bijvoorbeeld verschillende International Organization for Standardization (ISO)-certificaten die door geaccrediteerde certificatie-instellingen worden afgegeven. Klanten eisen steeds vaker dat het certificaat is behaald voordat zij zaken willen doen met de betreffende IV-dienstverlener. Om een ISO-certificaat te kunnen behalen, dient aantoonbaar aan een aantal eisen te zijn voldaan. Om aan een ISO-norm te kunnen voldoen, moeten bijvoorbeeld de werkprocessen in de organisatie inzichtelijk zijn gemaakt en dienen ze beheersbaar en bestuurbaar te zijn.		Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.Het bewerkstelligen dat de rekencentra aan het door de opdrachtgever beoogde beveiligingsniveau voldoet.Continuïteits- of datalekschade door een gebrekkig volwassenheidsniveau van huisvesting IV.BeleidIntentie
  • CIP-netwerk
22 november 2021 08:40:10
OnderhoudsplanHVI_C.02BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 07:39:02==Objectdefinitie==

Betreft een beschrijving van activiteiten voor de instandhouding van huisvesting Informatievoorzieningen (IV).

Objecttoelichting

De bedrijfsmiddelen dienen continue onderhouden te worden. Hiertoe dient de Huisvesting-IV organisatie te beschikken over een onderhoudsplan.		Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen.Het zorgen dat vastgoed zoals gebouwen en ruimten van de rekencentra in een goede staat blijven en niet verwaarloosd worden en in verval raken.Ongeautoriseerde toegang in niet onderhouden gebouwen.ControlIntentie
  • CIP-netwerk
23 november 2021 07:39:02
Bedrijfsmiddelen-inventarisHVI_U.02BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:22:20==Objectdefinitie==

Betreft de registratie van alle, tot het bedrijfsproces behorende middelen.

Objecttoelichting

NB De control uit de BIO is ten opzichte van de ISO 27001 veranderd.


In de huisvesting van de rekencentra zijn verschillende bedrijfsmiddelen, voorzieningen en hieraan gerelateerde componenten opgenomen, zoals: glasvezel en bekabeling, back-upvoorzieningen, klimaatbeheersing, airconditioning en geavanceerde brandblussystemen. Het is van belang de componenten van deze voorzieningen zelf en/of informatie over deze voorzieningen te inventariseren en te registreren zodat de juiste informatie beschikbaar is, wanneer gebeurtenissen daarom vragen.		Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.Het bewerkstelligen dat een adequate informatie beschikbaar is wanneer het noodzakelijk is.Niet tijdig actie ondernomen wanneer omstandigheden het vereisen.UitvoeringIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 8.1.1
22 november 2021 13:22:20
Laad- en loslocatieHVI_U.10BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 15:13:53==Objectdefinitie==

Betreft een of meer specifieke toegangspunten voor het laden en lossen van goederen op terreinen en in gebouwen.

Objecttoelichting

De rekencentra kennen toegangspunten voor het laden en lossen. Deze toegangspunten kunnen potentiële zwakheden in de beveiliging van de rekencentra vormen. De laad- en lostoegangspunten moeten daarom van specifieke maatregelen zijn voorzien.		Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen.Het voorkomen van onbevoegde toegang tot huisvesting Informatievoorzieningen (IV), zoals terreinen en gebouwen.Toegang verschaffen tot beveiligingsruimten of zones van huisvesting IV door onbevoegden.UitvoeringGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 11.1.6
22 november 2021 15:13:53
Service Level ManagementHVI_B.06BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 10:16:29==Objectdefinitie==

Betreft de besturing en het beheer van afspraken tussen klant en leverancier over het te leveren serviceniveau.

Objecttoelichting

Service Level Management omvat de afspraken over het definiëren, meten, bewaken en verbeteren van de te leveren kwaliteit van de huisvesting Informatievoorzieningen (IV)-diensten door de leverancier. De overeenkomst tussen de leverancier en de klant over deze afspraken wordt geformaliseerd met een Service Level Managementproces.		Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement).Het bewerkstelligen dat de huisvesting IV-services conform afspraken geleverd worden (leveren wat je hebt beloofd).Onjuiste of verkeerde levering van services leidt tot klantontevredenheid.BeleidFunctie
  • CIP-netwerk
22 november 2021 10:16:29
Apparatuur-verwijderingHVI_U.08BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:57:43==Objectdefinitie==

Betreft het veilig en gecontroleerd verwijderen van apparatuur binnen huisvesting Informatievoorzieningen (IV).

Objecttoelichting

Apparaten kunnen cruciale data bevatten. Het verwijderen van apparatuur moet daarom veilig met vastgestelde procedures plaatsvinden.		Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Het waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik van apparatuur zijn verwijderd of betrouwbaar veilig zijn overschreven.In ongeautoriseerde handen komen van gevoelige gegeven en software.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.2.7
22 november 2021 13:57:43
Wet- en regelgeving Huisvesting IVHVI_B.02BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 08:25:23==Objectdefinitie==

Omvat de geldende nationale en internationale wetten en regelgeving die van toepassing is op huisvesting Informatievoorzieningen (IV).

Objecttoelichting

Er zijn verschillende wettelijke kaders waar de huisvestingsorganisatie aan moet voldoen, zoals de Algemene Verordening Gegevensbescherming (AVG). Het is een vereiste dat de huisvestingsorganisatie deze kaders in haar beleid geïntegreerd heeft.		Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.Het voorkomen van schendingen van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen en enige beveiligingseisen.Schade als gevolg van wettelijke aansprakelijkheid.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 18.1.1
22 november 2021 08:25:23
In- en externe bedreigingenHVI_B.07BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 10:21:13==Objectdefinitie==

Omvat besluitvorming over weerbaarheid tegen potentiële, fysieke schadelijke invloeden van binnenuit of buitenaf.

Objecttoelichting

Naast beveiligingsvoorzieningen, ter voorkoming van interne bedreigingen, moet de organisatie ook voorzieningen treffen die huisvesting Informatievoorzieningen (IV) beschermen tegen externe bedreigingen, zoals calamiteiten die veroorzaakt worden door de natuur of door menselijk handelen.


Natuurlijke calamiteiten kunnen onder andere zijn brand veroorzaakt door bliksem en/of schade aan gebouwen als gevolg van een aardbeving. Calamiteiten kunnen ook worden veroorzaakt door foute handelingen van medewerkers, zoals het niet onderbrengen van kopieën van kritische data op verschillende locaties of kunnen ontstaan als gevolg van ontwerpfouten of het nalaten van het treffen van beveiligingsmaatregelen.		Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.Het bewerkstelligen van de weerbaarheid van huisvesting IV en het voorkomen van verstoringen in huisvesting IV.Niet-beschikbaar zijn van informatiesystemen en data, waardoor de aangesloten organisaties schade ondervinden in hun bedrijfsvoeringen.BeleidFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.1.4
22 november 2021 10:21:13
Apparatuur-positioneringHVI_U.06BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 07:30:37==Objectdefinitie==

Betreft het veilig plaatsen van apparatuur binnen huisvesting Informatievoorzieningen (IV).

Objecttoelichting

In huisvesting IV bevindt zich verschillende apparatuur. Deze apparatuur dient zo te zijn gepositioneerd en beschermd dat verlies, diefstal en onderbreking van bedrijfsmiddelen wordt voorkomen.		Apparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.Het voorkomen van verlies, schade, diefstal en/of compromitering van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.Verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.UitvoeringFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.2.1
23 november 2021 07:30:37
Huisvesting informatievoorzieningenbeleidHVI_B.01BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen25 juli 2022 13:25:14==Objectdefinitie==

Betreft het resultaat van een besluitvorming over hoe om te gaan met de aanschaf, inrichting en gebruik van huisvesting Informatievoorzieningen (IV).

Objecttoelichting

Net als bij het informatiebeveiligingsbeleid geldt ook voor andere beleidstypen dat deze twee aspecten kennen: proces en inhoud. Deze twee aspecten zijn beschreven bij het generieke object ‘Informatiebeveiligingsbeleid’. Er wordt hier volstaan met een korte samenvatting.


Een huisvesting IV-beleidsdocument beschrijft een specifiek beleid dat het overkoepelende informatiebeveiligingsbeleid ondersteunt. Omdat het huisvestingsbeleid mede bepaald wordt door externe factoren zoals wet- en regelgeving is periodieke review nodig om vast te stellen of het huisvestingsbeleid nog voldoet. Het volstaat dus niet om alleen bij ontwikkelingen binnen de organisatie zelf te kijken of het beleid kan of moet worden aangepast. Door dit proces cyclisch in te richten wordt bereikt dat het huisvestingsbeleid, de ontwikkelingen en de uitvoering steeds op elkaar zijn afgestemd.		Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.Het bewerkstelligen dat huisvesting IV de diensten leveren waarmee de organisatie haar doelstellingen kan realiseren.Schade door onvoldoende sturingsmogelijkheden voor een effectieve en betrouwbare inrichting van huisvesting IV en het daarmee geleverde niveau van dienstverlening. Aansprakelijkheid voor beveiligingsincidenten, doordat huisvesting IV (verwijtbaar) niet voldoet aan de actuele en gangbare beveiligingspraktijk.BeleidIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 5.1.1
25 juli 2022 13:25:14
Richtlijn gebieden en ruimtenHVI_U.01BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:17:33==Objectdefinitie==

Betreft systematisch ontwikkelde aanbevelingen voor gebieden en werkruimten die als beveiligingszones gehanteerd worden.

Objecttoelichting

Huisvesting Informatievoorzieningen (IV) heeft betrekking op afgebakende terreinen en gebouwen (gebieden) die verschillende werkruimten bevatten. Deze gebieden en werkruimten moeten, afhankelijk van het type activiteiten en de informatie die binnen deze ruimten worden verwerkt, worden beveiligd. Hiervoor moeten richtlijnen worden vervaardigd en toegepast en ook moeten voorzieningen worden getroffen, zie verder het onderwerp ‘Voorzieningen’.		Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast1.Het bewerkstelligen van de juiste coördinatie van activiteiten binnen de beveiligde ruimten.Ongewenste wijzigingen aanbrengen aan het functioneren van bedrijfsmiddelen door onbevoegde personen, waardoor de bedrijfsvoering verstoord wordt en schade ontstaat.UitvoeringIntentie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.1.5
22 november 2021 13:17:33
Huisvesting IV-architectuurHVI_U.12BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 15:21:09==Objectdefinitie==

Betreft een modelmatige beschrijving van de technische en organisatorische samenhang, waarin de relaties tussen de onderdelen van huisvesting Informatievoorzieningen (IV) zijn vastgelegd.

Objecttoelichting

De architectuur van huisvesting IV geeft overzicht en inzicht in de wijze waarop de gebieden en objecten zijn of dienen te worden beveiligd. Architectuur geeft ook inzicht in de samenhang en de samenwerking van beveiligingsmaatregelen.


In de architectuur zijn gemaakte ontwerp- en inrichtingskeuzen gedocumenteerd, verantwoord en de gemaakte keuzen zijn onderbouwd. Tegelijkertijd speelt documentatie een (belangrijke) rol bij het bepalen van de impact van wijzigingen en het voorkomen van ontwerpbeslissingen (fouten). Documentatie moet dan ook na elke wijziging worden bijgewerkt en oude documentatie moet worden gearchiveerd.		Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.Het bieden van een huisvesting IV-landschap dat in samenhang beveiligd is en inzicht geeft in de inrichting van de fysieke voorzieningen.Gebrek aan inzicht in de positie en samenhang van beveiligingsmaatregelen maakt de kans groot dat bedreigingen over het hoofd worden gezien en schade ontstaat door ongeautoriseerde toegang en misbruik van bedrijfsmiddelen en gegevens.UitvoeringStructuur
  • CIP-netwerk
22 november 2021 15:21:09
Controle-richtlijnen huisvesting IVHVI_C.01BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 07:35:54==Objectdefinitie==

Betreft systematisch ontwikkelde aanbevelingen voor het periodiek evalueren van het opgelegde beleid van huisvesting IV op de actualiteitswaarde.

Objecttoelichting

Binnen huisvesting IV bevinden zich verschillende bedrijfsmiddelen. Periodiek dient een functionaris met specifieke bevoegdheden controle-activiteiten op de bedrijfsmiddelen te verrichten. Hierdoor kunnen eventuele gebreken tijdig worden vastgesteld en de noodzakelijke maatregelen worden getroffen. Deze activiteiten moeten ondersteund worden met richtlijnen, procedures en instructies, anders bestaat het risico dat de resultaten van de controle-activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer.		Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.Het effectief beheersen van de bedrijfsmiddelen binnen huisvesting IV.Niet tijdig de juiste maatregelen kunnen treffen.ControlIntentie
  • CIP-netwerk
23 november 2021 07:35:54
Organisatiestructuur huisvesting IVHVI_B.09BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 12:44:38==Objectdefinitie==

Betreft de structuur waarin personen met taken, verantwoordelijkheden en bevoegdheden voor huisvesting Informatievoorzieningen (IV) samenwerken.

Objecttoelichting

Om huisvesting IV volgens de eisen te kunnen invullen, moeten verantwoordelijkheden worden toegewezen. Functionarissen moeten de juiste positie hebben in de organisatie en toezien op het naleven van het huisvesting IV-beleid en wet- en regelgeving. Waar nodig moeten zij gepaste acties (laten) uitvoeren. Taken en verantwoordelijkheden moeten expliciet zijn benoemd en vastgesteld.		De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen.Het invullen, coördineren en borgen van huisvesting IV.Schade doordat de huisvesting IV-organisatie niet effectieve tot uitvoering komt.BeleidStructuur
  • CIP-netwerk
22 november 2021 12:44:38
Beheersorganisatie huisvesting IVHVI_C.04BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 08:18:38==Objectdefinitie==

Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor het functionele en technische beheer van huisvesting Informatievoorzieningen (IV).

Objecttoelichting

De verantwoordelijke stakeholder voor de beheersorganisatie van huisvesting IV behoort een organisatiestructuur vastgesteld te hebben, waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.		De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.Het invullen, coördineren en borgen van de beheersing van de huisvesting IV-dienstverlening.Niet effectief ingerichte beheersorganisatie waardoor de huisvesting IV-dienstverlening niet optimaal verloopt.ControlStructuur
  • CIP-netwerk
23 november 2021 08:18:38
ContinuïteitsbeheerHVI_C.03BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 07:56:20==Objectdefinitie==

Betreft een instandhoudingsproces voor alle activiteiten om de continuïteit van de te leveren huisvesting Informatievoorzieningen (IV)-diensten te waarborgen.

Objecttoelichting

Bedrijfscontinuïteit is het vermogen van de organisatie, om na een verstorend incident, producten of diensten te blijven leveren op acceptabele, vooraf vastgestelde niveaus. Bedrijfscontinuïteitsmanagement (BCM) is het proces waarmee bedrijfscontinuïteit bereikt wordt en gaat over het voorbereiden van een organisatie op het afhandelen van verstorende incidenten die anders zouden kunnen verhinderen haar doelstellingen te bereiken. Dit om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen/het vereiste niveau van beschikbaarheid te kunnen waarborgen.


Continuïteitsbeheer, ook bekend als een Bedrijfscontinuïteitsmanagementsysteem (BCMS), is genormeerd en beschreven in de NEN-EN-ISO 22313: Managementsystemen voor bedrijfscontinuïteit (business continuity management systems).


In de context van huisvesting IV richt BCMS zich onder andere op de beschikbaarheid van data en bedrijfsfuncties vanuit applicaties en de onderliggende infrastructuur en netwerk op de lange termijn. In het control-domein gaat het om de vraag of voldoende maatregelen genomen zijn om te zorgen dat na een calamiteit huisvesting IV-services weer zo snel mogelijk hersteld kunnen worden.


Samengevat, continuïteitsbeheer:

  • stelt plannen op, en onderhoudt deze, om voorbereid te zijn om na het zich voordoen van een calamiteit, zo snel mogelijk over te kunnen schakelen op noodvoorzieningen en daarna op een gestructureerde wijze terug te keren naar een (herbouwde) stabiele omgeving.
  • heeft noodvoorzieningen achter de hand om de belangrijkste activiteiten zo snel mogelijk weer op te starten (uitwijk).
  • is in staat om, na herstel van de oorspronkelijke omgeving, gestructureerd terug te gaan naar een situatie zoals die was voor het uitbreken van de calamiteit (‘business as usual’).
Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten, waardoor bedrijfsdoelstellingen niet worden gehaald.Het tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.ControlFunctie
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.10
    		• 23 november 2021 07:56:20
    BedrijfsmiddelenverwijderingHVI_U.09BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 15:05:48==Objectdefinitie==

    Betreft het veilig en gecontroleerd verwijderen van bedrijfsmiddelen.

    Objecttoelichting

    Bedrijfsmiddelen zijn alle objecten waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en objecten, waarmee toegang tot gebouwen, ruimten en IT-voorzieningen kan worden verkregen. Verwijdering en afvoer van deze middelen dient nauwkeurig met vastgestelde procedures te worden uitgevoerd.    		Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring.Het bewerkstelligen van een gecontroleerde verwijdering en afvoer van bedrijfsmiddelen.Misbruik van bedrijfsmiddelen in de hand werken door het ontbreken van procedures voor de behandeling van bedrijfsmiddelen.UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.2.5
    		22 november 2021 15:05:48
    ContractmanagementHVI_B.05BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 08:49:02==Objectdefinitie==

    Betreft de besturing en het beheer van de overeenkomsten tussen de klant en leverancier.

    Objecttoelichting

    Wanneer de ontwikkeling en/of het beheer over de gehele of een deel van huisvesting Informatievoorzieningen (IV) wordt uitbesteed, moeten de functionele en beveiligingseisen in een overeenkomst tussen beide partijen worden vastgelegd, zoals in een contract en/of Service Level Agreement (SLA). Deze overeenkomst moet garanderen dat er geen misverstanden bestaan tussen de beide partijen.    		Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.Het zorgen dat huisvesting IV voldoet aan vooraf ontworpen eigenschappen, waaronder het beveiligingsniveau.Schade door gebrek aan toetsmiddelen voor de huisvesting IV-organisatie om vast te stellen of de voorzieningen juist zijn en of deze aan het juiste beveiligingsniveau voldoen.BeleidFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: B.05 en C.10
    		22 november 2021 08:49:02
    Apparatuur-onderhoudHVI_U.07BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:52:38==Objectdefinitie==

    Betreft de instandhouding van apparatuur binnen huisvesting Informatievoorzieningen (IV).

    Objecttoelichting

    Apparaten zoals installaties en machines moeten voor veilige toepassing periodiek en volgens de juiste procedures worden onderhouden door geautoriseerde medewerkers of leveranciers.    		Apparatuur behoort op een correcte wijze te worden onderhouden.Het waarborging dat apparatuur continue beschikbaar en integer is.Schade door ongeautoriseerde toegang en onvoldoende beschikbaarheid van falende apparatuur.UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.2.4
    		22 november 2021 13:52:38
    Fysieke zoneringHVI_U.03BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:30:49==Objectdefinitie==

    Betreft de fysieke scheiding en gecontroleerde doorgang tussen terreinen, gebouwen en ruimten.

    Objecttoelichting

    Bij het indelen in beveiligde zones (zonering) gaat het enerzijds om het scheiden van verantwoordelijkheidsgebieden en anderzijds het mogelijk maken van gecontroleerde doorgang tussen de gedefinieerde gebieden. Voor huisvesting Informatievoorzieningen (IV) gaat het om fysieke barrières met de verschillende doorgangen daarin.    		Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.Het voorkomen van onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie.Niet kunnen voorkomen dat bedreigingen in het ene verantwoordelijkheidsgebied schade veroorzaken in een ander verantwoordelijkheidsgebied.UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.1.1
    		Beveiligingszones22 november 2021 13:30:49
    BekabelingHVI_U.11BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 15:17:40==Objectdefinitie==

    Betreft middelen voor transport van energie en signalen.

    Objecttoelichting

    Binnen huisvesting Informatievoorzieningen (IV) is alle apparatuur verbonden met een bekabelingssysteem die in speciale kabelruimten is geïnstalleerd. Deze bekabelingsruimten kunnen doelwit worden van misbruik door bijvoorbeeld speciale afluisterapparatuur aan te sluiten. Het is daarom noodzakelijk om deze bekabelingsruimten te voorzien van specifieke beveiligingsmaatregelen.    		Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.Het bewerkstelligen dat de bekabeling aan het aspect robuustheid voldoet.Misbruik van het bekabelingssysteem.UitvoeringGedrag
    • BIO (Baseline Informatiebeveiliging Overheid): 11.2.3
    		22 november 2021 15:17:40
    NutsvoorzieningenHVI_U.05BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:43:16==Objectdefinitie==

    Betreft een product die door een nutsbedrijf geleverd worden.

    Objecttoelichting

    Een nutsvoorziening is een algemene voorziening, zoals: elektriciteit, telecommunicatie, water, gas, riolering, ventilatie en airconditioning. Nutsvoorzieningen dienen zo te zijn geïnstalleerd of gerealiseerd dat onderbreking hiervan niet kan leiden tot verstoringen in de apparaten die zich binnen de huisvesting Informatievoorzieningen (IV)-organisatie bevinden.    		Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.Het bewerkstelligen dat het disfunctioneren van nutsvoorzieningen geen negatieve invloed heeft op de beschikbaarheid van de huisvesting IV-dienstverlening.Niet beschikbaar zijn van de gehuisveste informatievoorzieningen.UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.2.2
    		22 november 2021 13:43:16
    Eigenaarschap Huisvesting IVHVI_B.03BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 08:28:34==Objectdefinitie==

    Betreft het toewijzen van de verantwoordelijkheid voor bedrijfsmiddelen voor huisvesting Informatievoorzieningen (IV).

    Objecttoelichting

    Binnen huisvesting informatievoorzieningen (IV) worden verschillende bedrijfsmiddelen toegepast. Voor een betrouwbare dienstverlening door huisvesting IV aan de klanten moeten deze bedrijfsmiddelen continu onderhouden of vernieuwd worden. Ook moeten deze middelen blijvend aan de actuele beveiligingseisen voldoen. Om te borgen dat de juiste acties voor de bedrijfsmiddelen worden ondernomen, moet de organisatie de bedrijfsmiddelen toewijzen aan eigenaren en daarbij de taken en verantwoordelijkheden vastleggen.    		Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.Het bewerkstelligen dat er een verantwoordelijke is voor alle informatie en bedrijfsmiddelen om deze actueel te houden dan wel ervoor te zorgen dat noodzakelijke acties worden ondernomen.Schade door achterstallig onderhoud en niet functioneren van bedrijfsmiddelen.BeleidIntentie
    • BIO (Baseline Informatiebeveiliging Overheid): 8.1.2
    		22 november 2021 08:28:34
    BeveiligingsfaciliteitenHVI_U.04BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:40:08==Objectdefinitie==

    Betreft de faciliteiten waarmee bedrijfsmiddelen binnen ruimten beveiligd worden.

    Objecttoelichting

    De rekencentra bevatten verschillende typen ruimten zoals: kantoren, bekabelingsruimten en serverruimten. Deze ruimten moeten conform de beveiligingsgraad van deze ruimten voorzien zijn van beveiligingsfaciliteiten.    		Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast1.Het voorkomen van onbevoegde toegang tot ruimten.Toegang verschaffen tot ruimten en schade aanrichten aan de eigendommen van de organisatie door niet-geautoriseerden.UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.1.3
    		22 november 2021 13:40:08
    Training en bewustwordingHVI_B.08BeveiligingsprincipeBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 10:25:53==Objectdefinitie==

    Betreft een formeel proces voor opleiding en het vormen van bewustzijn bij medewerkers over veilig gedrag.

    Objecttoelichting

    Huisvesting Informatievoorzieningen (IV) kent verschillende organisatorische, procedurele en technische beveiligingsvoorzieningen. Deze voorzieningen zijn onderhevig aan veranderingen. De medewerkers die betrokken zijn bij huisvesting IV dienen doorlopend getraind te worden hoe daarmee om te gaan en hoe te handelen in specifieke situaties en gebeurtenissen. Hiermee wordt een cultuur gecreëerd waarin medewerkers bewust zijn van de gevaren die huisvesting IV bedreigen.    		Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.Het bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers:
    • zich bewust zijn van bedreigingen en gevaren van huisvesting IV;
    • continu op de hoogte zijn van het vigerende huisvesting IV-beleid;
    • continu bewust blijven van relevante maatregelen.
    		Schade door onbewust en/of onbekwaam fout handelen van medewerkers.BeleidGedrag
  • BIO (Baseline Informatiebeveiliging Overheid): 7.2.2
    		• 22 november 2021 10:25:53
    BIO Thema Huisvesting informatievoorzieningen - InleidingHVI_INLHoofdstuk normenkaderBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 14:42:43Deze thema-uitwerking bevat een referentiekader voor de BIO Thema-uitwerking Huisvesting Informatievoorzieningen, hierna genoemd Huisvesting IV. Het is gebaseerd op de controls uit de Baseline Informatiebeveiliging Overheid (BIO). Voor die aspecten, waar de BIO onvoldoende praktische invulling geeft, zijn onder andere de volgende best practices geraadpleegd: NEN-EN-ISO/IEC 27002:2017 hierna genoemd ISO 27002, The Standard of Good Practice (SoGP) 2018 en diverse van de National Institute of Standards and Technology (NIST).


    Afbeelding 'Overzicht BIO-thema’s en positie thema Huisvesting IV' geeft de relatie weer tussen het thema Huisvesting IV en de overige BIO Thema-uitwerkingen.


    ”Overzicht BIO-the-ma’s en positie thema Huisvesting IV”
    Overzicht BIO-thema’s en positie thema Huisvesting IV


    Huisvesting IV

    In deze thema-uitwerking is een set beveiligingsmaatregelen voor de BIO Thema-uitwerking Huisvesting IV opgenomen. Deze beveiligingsmaatregelen zijn gerelateerd aan relevante onderwerpen (objecten) uit de BIO. Objecten die ontbreken in de BIO en die uit analyses voortvloeien, worden betrokken uit andere best practices, zoals de ISO 27002 en de SoGP. Voor noodzakelijke details bij specifieke maatregelen wordt verwezen naar operationele practices. De relatie tussen deze documenten wordt in afbeelding 'Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten' weergegeven.


    ”Relatie BIO Thema-uitwerking met aanpalende documenten”
    Relatie BIO Thema-uitwerking Huisvesting IV met aanpalende documenten


    De objecten en de bijbehorende maatregelen gelden zowel voor implementatie- als voor auditdoeleinden. Samenvattend komt het erop neer dat de objecten en de bijbehorende maatregelen georganiseerd zijn in het beleids-, uitvoerings- en control-domein. Afbeelding 'Thema Huisvesting Relatie tussen objecten in het beleids-, uitvoerings- en control-domein' schetst de structuur waarin een relatie wordt gelegd tussen de objecten binnen het beleids-, uitvoerings- en control-domein voor huisvesting IV.


    ”Relatie tussen objecten in het beleids-, uitvoerings- en control-domein”
    Relatie tussen objecten in het beleids-, uitvoerings- en control-domein

    Scope en begrenzing huisvesting IV

    De te stellen eisen aan huisvesting IV worden vooral bepaald door de fysieke bescherming van de apparatuur, die gebruikt wordt voor verwerking, transport en opslag van data. De opkomst van de IT-clouddiensten betekent veranderingen in de aanschaf van IT-diensten en de daarvoor benodigde huisvesting.


    Het management van de doelorganisatie blijft verantwoordelijk voor het gehele bedrijfsproces en onderliggende IT-ondersteuning. Daarom worden er besluiten genomen op basis van: functionaliteit, wet- en regelgeving (beveiliging) en kosten. Dit heeft invloed op de keuze welke type huisvesting IV past bij de organisatie.


    De volgende 3 opties zijn mogelijk:

    1. Fysieke huisvesting, Bij deze traditionele huisvesting is het rekencentrum ondergebracht binnen één fysieke locatie onder beheer van de doelorganisatie.
    2. Modulaire huisvesting, Bij deze huisvestingsvorm is het rekencentrum ondergebracht in mobiele bouwblokken, die flexibel ‘gestapeld’ kunnen worden tot de benodigde capaciteit bereikt is (vrachtcontainers).
    3. Virtuele huisvesting, Bij deze vorm is het rekencentrum ondergebracht in een (private of publieke) cloud. Bij deze vorm van huisvesting valt slechts een beperkt deel van de bedrijfsmiddelen onder het technisch beheer en de bestuurlijke invloed van de doelorganisatie. Men neemt een dienst af en stelt eisen. Hoe groot de invloed van de doelorganisatie is, hangt af van inrichtingskeuzes, maar vooral van de te leveren diensten door leveranciers, zoals Infrastructure As A Service (IAAS), Platform as a Service (PAAS) of Software As A Service (SAAS).


    Afhankelijk van de gemaakte inrichtingskeuze voor huisvesting IV zijn normen voor de huisvesting in meer of mindere mate van toepassing.


    Deze thema-uitwerking beschrijft optie 1 ‘Fysieke huisvesting’ en daarbij de objecten voor huisvesting IV, die gerelateerd zijn aan terreinen, gebouwen, ruimten en middelen, zoals aangegeven in onderstaande afbeelding. Vanuit het huisvestingsbeleid (zie het beleidsdomein) wordt de inrichting en beveiliging van de resources binnen het uitvoeringsdomein aangestuurd en met beheersing op de uitvoering wordt grip verkregen op de naleving van de gestelde beveiligingseisen (zie het control-domein).


    ”Overzicht fysieke huisvesting IV”
    Overzicht fysieke huisvesting IV

    Aanpak BIO Thema-uitwerking huisvesting IV

    Het toelichtingsdocument schetst de standaardmethodiek waarmee BIO Thema-uitwerkingen worden opgesteld. Een uitgebreide uitwerking van de methodiek is beschreven in het document: ‘SIVA en toepassingssystematiek’.    		22 november 2021 14:42:43
    BIO Thema Huisvesting informatievoorzieningen - Huisvesting IV-objectenHVI_INL HIHoofdstuk normenkaderBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 07:15:26==Schematische weergave huisvesting IV-objecten==

    Huisvesting IV omvat een geheel van objecten voor het leveren van betrouwbare hostingdiensten. De essentiële objecten van huisvesting IV worden in afbeelding 'Schematische weergave huisvesting IV-objecten' weergegeven. De elementen worden toegelicht in het beleids-, uitvoerings- en control-domein.


    ” Schematische weergave huisvesting IV-objecten”
    Schematische weergave huisvesting IV-objecten

    Beleidsdomein

    Binnen het beleidsdomein bevat huisvesting IV randvoorwaarden. Objecten die als randvoorwaarden gelden voor de gehele huisvesting IV zijn: beleid, wet- en regelgeving, contracten en organisatiestructuur e.d.

    Uitvoeringsdomein

    Binnen het uitvoeringsdomein bevat huisvesting IV een scala aan componenten die grofweg zijn onder te verdelen in:

    • Terrein, Terrein betreft de locaties van huisvesting IV.
    • Gebouwen, faciliteiten en werkruimten, Gebouwen, faciliteiten en werkruimten zijn de aan huisvesting IV-georiënteerde objecten. Ze zorgen voor het fysieke bestaan van huisvesting IV. Onder het fysieke bestaan vallen ook de terreinen en de zonering (in ruimten) van gebouwen.
    • Voorzieningen, Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten voor huisvesting IV. Dit is gericht op bedrijfsmiddelen en nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.). Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee huisvesting IV-diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen. Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. Met andere woorden, dit zijn zowel fysieke als elektronisch en informatietechnologie-gerelateerde objecten voor de te leveren huisvesting IV-diensten.

    Control-domein

    Binnen het control-domein bevat huisvesting IV beoordelingsrichtlijnen en procedures. De beoordelingsrichtlijnen zijn vastgesteld voor het evalueren van vastgestelde randvoorwaarden en uitvoeringscomponenten.

    Organisatie huisvesting IV-objecten

    De geïdentificeerde huisvesting IV-objecten zijn met het beleids-, uitvoerings- en control-domein georganiseerd. Hiermee worden deze aspecten in een juiste contextuele samenhang gepositioneerd. De betekenissen van de lagen zijn:

    • Beleidsdomein, Binnen dit domein bevinden zich conditionele elementen over huisvesting IV. Hier zijn eisen opgenomen over geboden en verboden, zoals het huisvesting IV-beleid, de te hanteren wet- en regelgeving en andere vormen van reguleringen en beperkingen.
    • Uitvoeringsdomein, Binnen dit domein bevinden zich:
      • elementen die gerelateerd zijn aan operationele activiteiten van huisvesting IV;
      • elementen die aangeven hoe deze activiteiten georganiseerd moeten zijn;
      • elementen die gerelateerd zijn aan beveiligingsaspecten die bij de activiteiten in acht moeten worden genomen.
    • Control-domein, Binnen dit domein bevinden zich elementen die zorgdragen voor de beheersing en/of het in standhouden van de activiteiten in relatie tot huisvesting IV en of deze wel naar wens verlopen.


    Objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. ISOR staat voor Information Security Object Repository. Enkele van de objecten zijn uniek voor de Baseline Informatiebeveiliging Overheid (BIO). Objecten die aanvullend aan de ISO 27002 voor de beveiliging van een bepaald toepassingsgebied nodig geacht worden, zijn met de Structuur, Inhoud, Vorm en Analysevolgorde (SIVA)-methodiek bepaald. Deze relateren zo mogelijk aan standaarden als de Standard of Good Practice (SoGP).    		23 november 2021 07:15:26
    BIO Thema Huisvesting informatievoorzieningen - VerbindingsdocumentHVI_VHoofdstuk normenkaderBIO Thema-uitwerking Huisvesting Informatievoorzieningen9 september 2021 14:06:21==Context beveiliging Huisvesting-IV==
    ”Verbindingsniveau voor Huisvesting Informatievoorziening”
    Verbindingsniveau voor Huisvesting Informatievoorziening

    Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging.

    Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas.

    Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening.

    Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is. Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV).

    ”Context Huisvesting Informatievoorziening”
    Context Huisvesting Informatievoorziening


    Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM).

    ”Essentiële objecten in het uitvoering domein”
    Essentiële objecten in het uitvoering domein

    Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur.

    ”Objecten in het uitvoering domein”
    Objecten in het uitvoering domein

    Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie.

    • Terrein – de omheinde, beschermde locaties van de Huisvesting IV
    • Gebouwen – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Hieronder valt ook de fysieke zonering van gebouwen in ruimten.
    • Voorzieningen – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.).
    • Faciliteiten - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc.

    Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen.

    Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten.

    Generieke objecten

    Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen.

    Nr Bron: ISO/BIO of alternatief Generieke objecten
    1. 5.1.1. Huisvestingsbeleid
    2. 7.2.2. Training en Awareness
    3. 8.1.2. Eigenaarschap
    4. 18.1.1. Wet en regelgeving
    5. Uit SIVA analyse Organisatie
    6. Uit SIVA analyse Architectuur
    7. idem -> ITIL Contractmanagement
    8. idem -> ITIL Servicelevelmanagement
    9. idem -> NIST Certificering
    10. 8.1.1. Bedrijfsmiddelen inventaris
    11. 11.1.1. Fysieke zonering
    12. 11.1.2. Fysieke toegangsbeveiliging
    13. 11.1.3. Beveiligingsfaciliteit
    14. 11.1.4. Interne en Externe bedreigingen
    15. 11.1.5. Richtlijnen gebieden en ruimten
    16. 11.1.6. Laad- en loslocatie
    17. 11.2.1. Apparatuur positionering
    18. 11.2.2. Nutsvoorzieningen
    19. 11.2.3. Bekabeling
    20. 11.2.4. Apparatuur onderhoud
    21. 11.2.5. Bedrijfsmiddelen verwijdering
    22. 11.2.7. Apparatuur verwijdering
    23. 9.2.1. Registratieprocedure
    24. 9.2.4. Beoordeling Fysieke toegangsrechten
    25. Uit SIVA analyse Controle richtlijn Huisvesting-IV
    26. idem Onderhoudsplan
    27. idem Huisvestingsbeheerorganisatie
    28. idem -> ITIL Continuïteitsmanagement
    Tabel 6: Vastgestelde generieke objecten

    ISOR:Tabellen BUC legenda

    Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001.

    De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice.

    Positionering van objecten gerelateerd aan SIVA basiselementen

    ”Objecten in het beleids-domein”
    Objecten in het Beleidsdomein
    ”Objecten in het uitvoeringsdomein”
    Objecten in het Beleidsdomein
    ”Objecten in het control-domein”
    Objecten in het Beleidsdomein

    Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data.

    Cross Reference naar praktijktoepassingen

    Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext.

    cross-reference naar praktijktoepassingen
    Nr. Bron:ISO…   Onderwerp Referentie naar praktijktoepassing(Verwijzing naar brondocumenten)
    1. 5.1.1. B Huisvestingsbeleid a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e)
    2. 7.2.2. B Training en Awareness a):H4, h), j), i
    3. 8.1.2. B Eigenaarschap a):H2 (voor rijk), j), i)
    4. 18.1.1. B Wet en regelgeving i)
    5. SIVA B/U Organisatie a):H4
    6. SIVA B/U Architectuur i), Richtlijnen - Rijks vastgoedbedrijf (RVB)
    7. ITIL B Contractmanagement a):H8, f)
    8. ITIL B Servicelevelmanagement f)
    9. NIST B Certificering g)
    10. 8.1.1. U/VZ Bedrijfsmiddelen inventaris i)
    11. 11.1.1. U/GB Fysieke zonering a): H6, c), e), i)
    12. 11.1.2. U/VZ Fysieke toegangsbeveiliging a): H6, b), c), i)
    13. 11.1.3. U/VZ Beveiligingsfaciliteit NKBR 5.4 voor sleutelplan
    14. 11.1.4. U Interne en Externe bedreigingen i), k)
    15. 11.1.5. U/GB Richtlijnen gebieden en ruimten a):geheel document, j), i), o)
    16. 11.1.6. U/GB Laad- en loslocatie a):H6
    17. 11.2.1. U/VZ Apparatuur positionering a):H7 voor beveiligingsvoorzieningen, i), o)
    18. 11.2.2. U/VZ Nutsvoorzieningen i), Richtlijnen - RVB
    19. 11.2.3. U/VZ Bekabeling i), o), Richtlijnen - RVB
    20. 11.2.4. U/VZ Apparatuur onderhoud i), Richtlijnen - RVB
    21. 11.2.5. U/VZ Bedrijfsmiddelen verwijdering i)
    22. 11.2.7. U/VZ Apparatuur verwijdering i)
    23. 9.2.1. C Registratieprocedure i)
    24. 9.2.4. C Beo. Fysieke toegangsrechten i)
    25. SIVA C Controle richtlijn Huisvesting-IV ? Richtlijnen - RVB
    26. SIVA C Onderhoudsplan ? Richtlijnen - RVB
    27. SIVA C Huisvestingsbeheerorganisatie a):H4
    28. ITIL C Continuïteitsmanagement i), l, m), o), ITIL documentatie

    Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.

    Brondocumenten

    Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden.

    Bronverwijzing
    Nr. Documentnaam Versie + datum Eigenaar Toelichting
    a) Normenkader Beveiliging Rijkskantoren (NKBR) 2.02-10-2015 ICBRBzK Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V)
    b) Kader Rijkstoegangs-beleid 1.0 van 11/5/10 ICBR Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’
    c) Zoneringsmodel rijkskantoren 5-jul-11 BzK Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB)
    d) Richtlijnen Rijks Vastgoedbedrijf (RVB) volgt RVB Nader te bepalen set van eisen in samenspraak met RVB
    e) NIST PE Physical and Environ-mental Protection (PE) jun-10 NIST Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering
    f) NIST MA System Mainenance Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor beheersingsprocedures
    g) NIST CA Security Assessment and Authorization Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor Certificering van organisaties
    h) NIST AT Awaress and Training Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers
    i) NIST CM Configuration Management Policy and Procedures jun-10 NIST Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures
    j) Standard of Good Practice (SoGP) Periodiek ISF Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen
    k) KWAS Periodiek NCSC Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit
    l) NEN-ISO-22323 2012 BzK Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief
    m) NORA patronen voor bedrijfs-continuïteit / BCM 2014 BzK https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt
    n) BIR 1.0 2011 BzK BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013
    o) Telecommunication Infrastructure Standard for Data Centers (TIA-942) Periodiek ieee802.org /ANSI Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet
    Op NEN-ISO documenten rusten licentierechten.    		9 september 2021 14:06:21
    Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbiederHVI_U.05.04NormNutsvoorzieningenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 12:04:14UitvoeringFunctie
    • ISO 27002 2017: 11.2.2
    		Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder.Nutsvoorzieningen16 november 2021 12:04:14
    Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevatHVI_U.08.01NormApparatuur-verwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:27:49UitvoeringFunctie
    • ISO 27002 2017: 11.2.7
    		Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat.Geverifieerd16 november 2021 13:27:49
    Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegdHVI_U.03.05NormFysieke zoneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:43:12UitvoeringFunctie
    • ISO 27002 2017: 11.1.2c
    		Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd.Beveilingszones16 november 2021 11:43:12
    Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemdHVI_B.03.01NormEigenaarschap Huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:36:30BeleidIntentie
    • ISO 27002 2017: 8.1.2
    		Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd.Eigenaar16 november 2021 10:36:30
    Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemenHVI_B.04.01NormCertificeringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:41:45BeleidIntentie
    • BIO (Baseline Informatiebeveiliging Overheid): 14.2.1.1
    		De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.Gangbare standaarden16 november 2021 10:41:45
    De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhoudenHVI_U.12.01NormHuisvesting IV-architectuurBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:36:33UitvoeringStructuur
    • CIP-netwerk
    		De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting Informatievoorzieningen (IV) worden actief onderhouden.Architectuurvoorschriften19 november 2021 15:36:33
    Richtlijnen m.b.t. bezoek tot kritieke faciliteitenHVI_U.01.05NormRichtlijn gebieden en ruimtenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:18:16UitvoeringIntentie
    • The Standard of Good Practice for Information Security 2018: LC 2.1.8
    		Bezoekers van kritieke faciliteiten:
    • worden slechts toegang geboden voor vastgestelde doeleinden;
    • worden continu aan toezicht onderworpen;
    • worden gemonitord bij aankomst en vertrek;
    • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
    • wordt verteld dat het gebruik van beeld- en geluidopnamemateriaal/apparatuur niet is toegestaan;
    • dragen verplicht een badge.
    		Richtlijnen16 november 2021 11:18:16
    De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijnHVI_B.07.01NormIn- en externe bedreigingenBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:36:25BeleidFunctie
  • BIO (Baseline Informatiebeveiliging Overheid): 11.1.4.1
    		• De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn.Natuurrampen, kwaadwillige aanvallen of ongelukken19 november 2021 14:36:25
    Vastleggen betrokken rollen Contractmanagement en Service Level ManagementHVI_B.05.03NormContractmanagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:45:53BeleidFunctie
    • CIP-netwerk
    		De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd.Overeenkomsten16 november 2021 10:45:53
    Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekendHuisv_U.02.04 vervallenNorm5 februari 2020 13:06:21Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2).5 februari 2020 13:06:21
    Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerdHVI_U.07.06NormApparatuur-onderhoudBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:23:18UitvoeringFunctie
    • ISO 27002 2017: 11.2.4f
    		Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert.Correcte wijze16 november 2021 13:23:18
    Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampenHVI_B.07.03NormIn- en externe bedreigingenBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:36:08BeleidFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.1.4.2
    		Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.Natuurrampen, kwaadwillige aanvallen of ongelukken19 november 2021 14:36:08
    Eisen aan de laad- en loslocatieHVI_U.10.03NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:38:20UitvoeringGedrag
    • ISO 27002 2017: 11.1.6b
    		De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.Toegangspunten16 november 2021 13:38:20
    De verantwoordelijken voor de Huisvesting-IV hebben een formele positieHVI_B.09.01NormOrganisatiestructuur huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:44:22BeleidStructuur
    • CIP-netwerk
    		Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie.Organisatiestructuur19 november 2021 14:44:22
    Apparatuur wordt beschermd tegen externe bedreigingenHVI_U.06.02NormApparatuur-positioneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:16:09UitvoeringFunctie
    • ISO 27002 2017: 11.2.1
    		Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf.Geplaatst en beschermd16 november 2021 13:16:09
    Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappenHVI_U.08.02NormApparatuur-verwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 14:03:20UitvoeringFunctie
    • ISO 27002 2017: 8.3.1b, 8.3.2a en e en 9.4.4
    		Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
    • Inleveren, Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd.
    • Verwijderen, De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data meer op het apparaat aanwezig of toegankelijk is.
    • Vernietigen, Als verwijdering niet mogelijk is, wordt de data vernietigd.
    • Afvoeren, De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
    		Verwijdering of betrouwbaar veilig zijn overschreven22 november 2021 14:03:20
    Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveauHVI_B.06.01NormService Level ManagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:50:02BeleidFunctie
  • CIP-netwerk
    		• De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven.Service Level Agreement16 november 2021 10:50:02
    De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijnHVI_U.10.04NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:39:00UitvoeringGedrag
    • ISO 27002 2017: 11.1.6c
    		De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn.Toegangspunten16 november 2021 13:39:00
    Afspraken contractueel vastgeleggen in SLA’s en DAP’sHVI_B.05.04NormContractmanagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:46:29BeleidFunctie
    • CIP-netwerk
    		Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s).Overeenkomsten16 november 2021 10:46:29
    Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerdHVI_U.01.03NormRichtlijn gebieden en ruimtenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:16:46UitvoeringIntentie
    • ISO 27002 2017: 11.1.5c
    		Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn.Richtlijnen16 november 2021 11:16:46
    Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelatenHVI_U.01.04NormRichtlijn gebieden en ruimtenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:17:38UitvoeringIntentie
    • ISO 27002 2017: 11.1.5d
    		Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Richtlijnen16 november 2021 11:17:38
    Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportagesHVI_C.03.03NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:29:31ControlFunctie
    • CIP-netwerk
    		Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit.Hersteld en voortgezet16 november 2021 14:29:31
    Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het managementHVI_C.03.01NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:27:42ControlFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.10.01
    		Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
    • beschreven;
    • goedgekeurd door het management;
    • toegekend aan een verantwoordelijke functionaris.
    Het behandeld onder andere: planning, uitvoering van de scope, rapporteren en bespreken van verbetervoorstellen.    		Procesmatig16 november 2021 14:27:42
    Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingenHVI_B.02.02NormWet- en regelgeving Huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:14:00BeleidIntentie
    • CIP-netwerk
    		Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Wettelijke, statutaire, regelgevende, contractuele eisen19 november 2021 14:14:00
    Inkomende materialen worden bij binnenkomst op de locatie geregistreerdHVI_U.10.05NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:39:48UitvoeringGedrag
    • ISO 27002 2017: 11.1.6e
    		Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer.Toegangspunten16 november 2021 13:39:48
    De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelenHVI_C.01.01NormControle-richtlijnen huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:43:26ControlIntentie
    • CIP-netwerk
    		De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen.Richtlijnen19 november 2021 15:43:26
    Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafwegingHVI_B.07.02NormIn- en externe bedreigingenBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:35:52BeleidFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.1.4.1
    		Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Natuurrampen, kwaadwillige aanvallen of ongelukken19 november 2021 14:35:52
    Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerdHVI_U.07.04NormApparatuur-onderhoudBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:21:51UitvoeringFunctie
    • ISO 27002 2017: 11.2.4c
    		Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.Correcte wijze16 november 2021 13:21:51
    Het organisatieschema toont de rollen/functionarissen binnen de HuisvestingsorganisatieHVI_B.09.03NormOrganisatiestructuur huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 12:58:57BeleidStructuur
    • CIP-netwerk
    		Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie.Functionarissen22 november 2021 12:58:57
    Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgdHVI_U.09.01NormBedrijfsmiddelenverwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:31:09UitvoeringFunctie
    • CIP-netwerk
    		In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject.Bedrijfsmiddelen16 november 2021 13:31:09
    Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteitenHVI_U.03.03NormFysieke zoneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:41:32UitvoeringFunctie
    • ISO 27002 2017: 11.1.1g
    		Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Beveilingszones16 november 2021 11:41:32
    Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegdHVI_U.07.05NormApparatuur-onderhoudBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:22:31UitvoeringFunctie
    • ISO 27002 2017: 11.2.4e
    		Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd.Correcte wijze16 november 2021 13:22:31
    De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheidHVI_B.07.04NormIn- en externe bedreigingenBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:36:19BeleidFunctie
    • CIP-netwerk
    		De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut.Natuurrampen, kwaadwillige aanvallen of ongelukken19 november 2021 14:36:19
    In beveiligde gebieden wordt slechts onder toezicht gewerktHVI_U.01.02NormRichtlijn gebieden en ruimtenBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:51:31UitvoeringIntentie
    • ISO 27002 2017: 11.1.5b
    		Zonder toezicht wordt niet gewerkt in beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.Richtlijnen19 november 2021 14:51:31
    De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”HVI_U.11.02NormBekabelingBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:33:24UitvoeringGedrag
    • CIP-netwerk
    		Huisvesting Informatievoorzieningen (IV) is ingericht met de volgende best practices: Voedingskabels19 november 2021 15:33:24
    De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclusHVI_B.03.03NormEigenaarschap Huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:37:54BeleidIntentie
  • ISO 27002 2017: 8.1.2
    		• De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan.Eigenaar16 november 2021 10:37:54
    De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegdHVI_B.09.04NormOrganisatiestructuur huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:01:57BeleidStructuur
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C.01.08
    		De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd.Taken, verantwoordelijkheden en bevoegdheden22 november 2021 13:01:57
    Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebiedHVI_U.01.01NormRichtlijn gebieden en ruimtenBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:50:08UitvoeringIntentie
    • ISO 27002 2017: 11.1.5a
    		Personeel behoort alleen dankzij ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied.Richtlijnen19 november 2021 14:50:08
    Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeelHVI_U.10.02NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:37:36UitvoeringGedrag
    • ISO 27002 2017: 11.1.6a
    		Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel.Toegangspunten16 november 2021 13:37:36
    Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatieHVI_C.01.04NormControle-richtlijnen huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:43:04ControlIntentie
    • CIP-netwerk
    		De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie.Richtlijnen19 november 2021 15:43:04
    Er zijn functionarissen voor de beheersorganisatie benoemdHVI_C.04.01NormBeheersorganisatie huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:38:01ControlStructuur
    • CIP-netwerk
    		De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt.Beheersorganisatie16 november 2021 14:38:01
    De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijkenHVI_C.03.02NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:28:27ControlFunctie
    • CIP-netwerk
    		De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Procesmatig16 november 2021 14:28:27
    Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningenHVI_C.03.07NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:58:14ControlFunctie
    • CIP-netwerk
    		De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen.Hersteld en voortgezet19 november 2021 15:58:14
    Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig isHVI_U.05.03NormNutsvoorzieningenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 12:03:34UitvoeringFunctie
    • ISO 27002 2017: 11.2.2
    		Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld.Nutsvoorzieningen16 november 2021 12:03:34
    Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerdHVI_U.09.04NormBedrijfsmiddelenverwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:33:36UitvoeringFunctie
    • ISO 27002 2017: 11.2.5c
    		Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.Bedrijfsmiddelen16 november 2021 13:33:36
    Voorschriften voor het inrichten van beveiligde zonesHVI_U.03.01NormFysieke zoneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen9 juni 2022 09:07:36UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.1.1.1
    		Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden: Beveilingszones9 juni 2022 09:07:36
    Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteitenHVI_U.06.01NormApparatuur-positioneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:15:23UitvoeringFunctie
  • ISO 27002 2017: 11.2.1
    		• Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens.Geplaatst en beschermd16 november 2021 13:15:23
    Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificatiesHVI_B.05.01NormContractmanagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:44:32BeleidFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: B.05
    		De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.Kwalitatieve en kwantitatieve eisen16 november 2021 10:44:32
    Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsingHVI_U.10.07NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:41:26UitvoeringGedrag
    • ISO 27002 2017: 11.1.6g
    		Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld.Toegangspunten16 november 2021 13:41:26
    Evalueren levering van voorzieningenHVI_B.05.05NormContractmanagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:47:04BeleidFunctie
    • CIP-netwerk
    		De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij.Overeenkomsten16 november 2021 10:47:04
    Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijkHVI_U.04.03NormBeveiligingsfaciliteitenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:56:42UitvoeringFunctie
    • ISO 27002 2017: 11.1.3d
    		Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden.Faciliteiten16 november 2021 11:56:42
    Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisenHuisv_B.01.01Norm10 februari 2021 21:18:58BeleidIntentiehuisvesting-IV beleid10 februari 2021 21:18:58
    Een procedure beschrijft het omgaan met verdachte brieven en pakkettenHVI_U.10.01NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:36:54UitvoeringGedrag
    • CIP-netwerk
    		Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten.Toegangspunten16 november 2021 13:36:54
    De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting InformatievoorzieningHVI_B.06.02NormService Level ManagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:50:43BeleidFunctie
    • CIP-netwerk
    		Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid.Service Level Agreement16 november 2021 10:50:43
    Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteitenHVI_C.01.02NormControle-richtlijnen huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:43:20ControlIntentie
    • CIP-netwerk
    		De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten.Richtlijnen19 november 2021 15:43:20
    Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruiktHVI_U.09.05NormBedrijfsmiddelenverwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:34:21UitvoeringFunctie
    • ISO 27002 2017: 11.2.5d
    		De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd.Bedrijfsmiddelen16 november 2021 13:34:21
    Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddelHVI_U.03.04NormFysieke zoneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:42:21UitvoeringFunctie
    • ISO 27002 2017: 11.1.2d
    		Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen.Beveilingszones16 november 2021 11:42:21
    Sleutelbeheer is ingericht op basis van een sleutelplanHVI_U.04.04NormBeveiligingsfaciliteitenBIO Thema-uitwerking Huisvesting Informatievoorzieningen9 juni 2022 09:09:54UitvoeringFunctie
    • BIO (Baseline Informatiebeveiliging Overheid): 11.1.3.1
    		Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4).Faciliteiten9 juni 2022 09:09:54
    Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegdenHVI_U.11.03NormBekabelingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:47:36UitvoeringGedrag
    • ISO 27002 2017: 11.2.3
    		Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.Voedingskabels16 november 2021 13:47:36
    Er is een huisvesting informatievoorzieningenbeleidHVI_B.01.01NormHuisvesting informatievoorzieningenbeleidBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:28:25BeleidIntentie
    • ISO 27002 2017: 5.1.1
    		De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
    • doelstellingen en principes van de huisvesting IV-beveiliging bevat;
    • specifieke verantwoordelijkheden en rollen bevat;
    • processen voor het behandelen van afwijkingen en afzonderingen bevat;
    • procesmatig tot stand komt, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
    		Huisvesting IV-beleid16 november 2021 10:28:25
    Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeelHVI_U.07.03NormApparatuur-onderhoudBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:21:01UitvoeringFunctie
  • ISO 27002 2017: 11.2.4d
    		• Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is.Correcte wijze16 november 2021 13:21:01
    Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaarHVI_U.04.02NormBeveiligingsfaciliteitenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:55:50UitvoeringFunctie
    • ISO 27002 2017: 11.1.3c
    		Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.Faciliteiten16 november 2021 11:55:50
    Vaststellen toepasselijkheid wetgevingHVI_B.02.01NormWet- en regelgeving Huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:13:03BeleidIntentie
    • ISO 27002 2017: 18.1.1
    		De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV.Wettelijke, statutaire, regelgevende, contractuele eisen19 november 2021 14:13:03
    Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhoudenHVI_U.07.01NormApparatuur-onderhoudBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:18:34UitvoeringFunctie
    • ISO 27002 2017: 11.2.4a
    		Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.Correcte wijze16 november 2021 13:18:34
    Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelenHVI_U.02.03NormBedrijfsmiddelen-inventarisBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:35:46UitvoeringIntentie
    • ISO 27002 2017: 8.1.1
    		De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten.Inventaris16 november 2021 11:35:46
    Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddelHVI_B.03.02NormEigenaarschap Huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:37:09BeleidIntentie
    • ISO 27002 2017: 8.1.2
    		Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel.Eigenaar16 november 2021 10:37:09
    Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerdHVI_U.09.03NormBedrijfsmiddelenverwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:32:51UitvoeringFunctie
    • ISO 27002 2017: 11.2.5b
    		Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht.Bedrijfsmiddelen16 november 2021 13:32:51
    Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijnHVI_U.04.01NormBeveiligingsfaciliteitenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:54:57UitvoeringFunctie
    • ISO 27002 2017: 11.1.3
    		Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn.Faciliteiten16 november 2021 11:54:57
    Realisatie van afdoende uitwijkfaciliteitenHVI_C.03.05NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:31:32ControlFunctie
    • CIP-netwerk
    		Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden.Hersteld en voortgezet16 november 2021 14:31:32
    De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerdHVI_U.12.02NormHuisvesting IV-architectuurBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:37:24UitvoeringStructuur
    • CIP-netwerk
    		De inrichting van huisvesting Informatievoorzieningen (IV) en bekabelingen zijn gedocumenteerd.Architectuurvoorschriften19 november 2021 15:37:24
    Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisenHuisv_B.01.02Norm10 februari 2021 21:23:07BeleidIntentiebeleidsregels10 februari 2021 21:23:07
    Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiligingHVI_B.08.02NormTraining en bewustwordingBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:41:11BeleidGedrag
    • The Standard of Good Practice for Information Security 2018: PM2.2 en PM2.3
    		Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten.Bewustzijnsopleiding, -training en bijscholing19 november 2021 14:41:11
    Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijnHVI_U.05.02NormNutsvoorzieningenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 12:02:58UitvoeringFunctie
    • ISO 27002 2017: 11.2.2
    		Noodverlichting en (nood)communicatiemiddelen zijn aanwezig.Nutsvoorzieningen16 november 2021 12:02:58
    Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomstHVI_B.05.02NormContractmanagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:45:09BeleidFunctie
    • CIP-netwerk
    		Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak.Overeenkomsten16 november 2021 10:45:09
    Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getestHVI_C.03.06NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:32:22ControlFunctie
    • CIP-netwerk
    		Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest.Hersteld en voortgezet16 november 2021 14:32:22
    Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissenHVI_C.01.05NormControle-richtlijnen huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:43:39ControlIntentie
    • CIP-netwerk
    		De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd.Richtlijnen19 november 2021 15:43:39
    Beleidsregels huisvesting informatievoorzieningenHVI_B.01.02NormHuisvesting informatievoorzieningenbeleidBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:29:33BeleidIntentie
    • ISO 27002 2017: 5.1.1
    		Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
    • Bedrijfsstrategie
    • Wet- en regelgeving
    • Huidige en verwachte bedreigingen op huisvesting IV
    		Beleidsregels16 november 2021 10:29:33
    Kabels worden bij voorkeur ondergronds aangelegdHVI_U.11.01NormBekabelingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:46:01UitvoeringGedrag
  • ISO 27002 2017: 11.2.3a
    		• Kabels worden bij voorkeur ondergronds aangelegd.Voedingskabels16 november 2021 13:46:01
    Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplanHVI_C.02.01NormOnderhoudsplanBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:03:16ControlIntentie
    • CIP-netwerk
    		Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld.Onderhoudsplan16 november 2021 14:03:16
    Verantwoordelijkheden zijn beschreven en vastgelegdHVI_C.04.03NormBeheersorganisatie huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:39:25ControlStructuur
    • CIP-netwerk
    		De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Beheersorganisatie16 november 2021 14:39:25
    Certificeringseisen van de ingezette Huisvesting InformatievoorzieningHVI_B.04.02NormCertificeringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:42:27BeleidIntentie
    • CIP-netwerk
    		Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd.Gangbare standaarden16 november 2021 10:42:27
    Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichtenHVI_U.02.04NormBedrijfsmiddelen-inventarisBIO Thema-uitwerking Huisvesting Informatievoorzieningen23 november 2021 09:25:59UitvoeringIntentie
    • ISO 27002 2017: 8.1.1
    		De huisvesting Informatievoorzieningen (IV)-organisatie heeft inventarisoverzichten, waarvoor geldt:
    • inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
    • inventarisoverzichten kunnen vereist zijn voor: financieel (beheer van bedrijfsmiddelen), verzekeringen, gezondheid en veiligheidsredenen e.d.
    		Inventaris23 november 2021 09:25:59
    Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneelHVI_U.07.02NormApparatuur-onderhoudBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:20:20UitvoeringFunctie
  • ISO 27002 2017: 11.2.4b
    		• Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel.Correcte wijze16 november 2021 13:20:20
    Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemenHVI_U.09.02NormBedrijfsmiddelenverwijderingBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:32:11UitvoeringFunctie
    • ISO 27002 2017: 11.2.5a
    		Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd.Bedrijfsmiddelen16 november 2021 13:32:11
    Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteldHVI_C.02.02NormOnderhoudsplanBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:04:03ControlIntentie
    • CIP-netwerk
    		Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan.Onderhoudsbepalingen16 november 2021 14:04:03
    Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelenHVI_U.02.01NormBedrijfsmiddelen-inventarisBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:34:29UitvoeringIntentie
    • ISO 27002 2017: 8.1.1
    		Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002).Inventaris16 november 2021 11:34:29
    De nutsvoorzieningenHVI_U.05.01NormNutsvoorzieningenBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 12:02:18UitvoeringFunctie
    • ISO 27002 2017: 11.2.2a t/m e
    		Nutsvoorzieningen:
    • zijn conform de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
    • worden regelmatig onderzocht, om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
    • worden regelmatig geïnspecteerd en getest, om te waarborgen dat ze correct functioneren;
    • zijn zo nodig voorzien van een alarmsysteem, om disfunctioneren op te sporen;
    • beschikken voor zover nodig over meervoudige voeding met een verschillende fysieke route.
    		Nutsvoorzieningen16 november 2021 12:02:18
    De samenhang van processen is in een processtructuur vastgelegd.HVI_C.04.04NormBeheersorganisatie huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:40:04ControlStructuur
  • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: B.06.07
    		• De samenhang van de processen wordt met een processtructuur vastgelegd.Processtructuur16 november 2021 14:40:04
    Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting InformatievoorzieningHuisv_B.01.03Norm10 februari 2021 21:25:12BeleidIntentiebeleidsregels10 februari 2021 21:25:12
    Verantwoordelijkheden zijn toegewezen en vastgelegdHVI_C.04.02NormBeheersorganisatie huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 14:38:46ControlStructuur
    • ISO 27002 2017: 6.1.1
    		De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Beheersorganisatie16 november 2021 14:38:46
    Aan het architectuurdocument gestelde eisenHVI_U.12.03NormHuisvesting IV-architectuurBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:38:23UitvoeringStructuur
    • CIP-netwerk
    		Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling:
    • heeft een eigenaar;
    • is voorzien van een datum en versienummer;
    • bevat een documenthistorie (wat is wanneer en door wie aangepast);
    • is actueel, juist en volledig;
    • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
    		Documentatie19 november 2021 15:38:23
    Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellenHVI_B.03.04NormEigenaarschap Huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:18:04BeleidIntentie
  • ISO 27002 2017: 8.1.2a t/m d
    		• De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
    • bedrijfsmiddelen geïnventariseerd worden;
    • bedrijfsmiddelen passend worden geclassificeerd;
    • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
    • bedrijfsmiddelen met juiste procedures worden verwijderd of vernietigd.
    		Eigenaar19 november 2021 14:18:04
    Er is een Huisvestingsorganisatieschema beschikbaarHVI_B.09.02NormOrganisatiestructuur huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:45:12BeleidStructuur
  • CIP-netwerk
    		• Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar.Organisatiestructuur19 november 2021 14:45:12
    De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerdHVI_C.03.04NormContinuïteitsbeheerBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:59:13ControlFunctie
    • ICT-Beveiligingsrichtlijnen voor Webapplicaties-Richtlijnen: C10.02
    		De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd.Hersteld en voortgezet19 november 2021 15:59:13
    Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IVHVI_U.02.02NormBedrijfsmiddelen-inventarisBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:55:46UitvoeringIntentie
    • ISO 27002 2017: 8.1.1
    		De huisvesting Informatievoorzieningen (IV)-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
    • de levenscyclus van informatie (aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
    • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
    		Inventaris19 november 2021 14:55:46
    Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheidenHVI_U.10.06NormLaad- en loslocatieBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 13:40:41UitvoeringGedrag
  • ISO 27002 2017: 11.1.6f
    		• Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden.Toegangspunten16 november 2021 13:40:41
    Beleidsregels verwijzen naar specifieke huisvesting onderwerpenHVI_B.01.03NormHuisvesting informatievoorzieningenbeleidBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:30:11BeleidIntentie
    • ISO 27002 2017: 5.1.1
    		Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
    • Fysieke beveiligingszone
    • Fysieke toegangsbeveiligingspersoneel
    		Beleidsregels16 november 2021 10:30:11
    De aspecten waarop de Service Levels o.a. zijn gerichtHVI_B.06.03NormService Level ManagementBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 10:51:51BeleidFunctie
  • CIP-netwerk
    		• De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery).Service Level Agreement16 november 2021 10:51:51
    Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatieHVI_C.01.03NormControle-richtlijnen huisvesting IVBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 15:43:13ControlIntentie
    • CIP-netwerk
    		De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie.Richtlijnen19 november 2021 15:43:13
    Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkersHVI_B.08.01NormTraining en bewustwordingBIO Thema-uitwerking Huisvesting Informatievoorzieningen19 november 2021 14:39:51BeleidGedrag
    • The Standard of Good Practice for Information Security 2018: PM2.1.1 en PM2.3
    		Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover.Bewustzijnsopleiding, -training en bijscholing19 november 2021 14:39:51
    Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelenHVI_U.03.02NormFysieke zoneringBIO Thema-uitwerking Huisvesting Informatievoorzieningen16 november 2021 11:40:52UitvoeringFunctie
    • ISO 27002 2017: 11.1.1a
    		Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Beveilingszones16 november 2021 11:40:52
    BIO Thema-uitwerking Huisvesting InformatievoorzieningenHVINormenkaderBIO Thema-uitwerking Huisvesting Informatievoorzieningen8 juli 2022 09:14:35De BIO Thema-uitwerking Huisvesting informatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (Uitvoeringsinstituut Werknemersverzekeringen (UWV)) en Jaap van der Veen CIP (Centrum Informatiebeveiliging en Privacybescherming). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.

    Considerans

    CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op cip-overheid.nl/contact.

    Leeswijzer

    Voorafgaand aan het beleidsdomein, uitvoeringsdomein en control-domein, de kern van dit thema, heeft elke BIO Thema-uitwerking een inleiding met een standaard paragraafindeling.


    De volgende leeswijzer geldt voor dit normenkader:

    • Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
    • De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
    • Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
    • Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
    1. Inleiding (algemene inleiding)
    2. Huisvesting IV-objecten (specifieke inleiding)
    		8 juli 2022 09:14:35
    Huisvesting Informatievoorzieningen UitvoeringHVI_UNormenkader-aspectBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:12:24==Objecten, controls en maatregelen==

    Binnen het uitvoeringsdomein zijn specifieke inrichtings- en beveiligingsobjecten voor huisvesting Informatievoorzieningen (IV) beschreven. Per object zijn de conformiteitsindicatoren en de desbetreffende implementatie-elementen uitgewerkt. De onderwerpen die uit de Baseline Informatiebeveiliging Overheid (BIO) binnen dit domein een rol spelen zijn huisvesting IV, inrichting en dienstverlening. Onderstaande afbeelding toont het resultaat van de SIVA-methodiek voor relevante objecten voor huisvesting IV. De wit ingekleurde objecten ontbreken als control in de BIO maar zijn van belang voor deze BIO Thema-uitwerking. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.


    ”Afbeelding: Overzicht huisvesting IV-objecten in het uitvoeringsdomein”
    Overzicht objecten voor huisvesting IV in het uitvoeringsdomein
    		Het doel van het uitvoeringsdomein voor Huisvesting IV is het waarborgen dat de fysieke toegang tot functionaliteit is ingericht overeenkomstig specifieke beleidsuitgangspunten van de bedrijfsonderdelen en dat de beveiliging van de huisvesting als geheel in bestaan en werking voldoet aan de eisen die door de organisatie zijn gesteld.Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van de rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.Uitvoering22 november 2021 13:12:24
    Huisvesting Informatievoorzieningen ControlHVI_CNormenkader-aspectBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 15:45:02==Objecten, controls en maatregelen==

    Onderstaande afbeelding toont de objecten die voor huisvesting Informatievoorzieningen (IV) een rol spelen. De objecten die gestreept worden mogelijk in de volgende versie uitgewerkt.


    ”Afbeelding: Overzicht Huisvesting IV-objecten binnen het control-domein”
    Overzicht objecten voor huisvesting IV binnen het control-domein
    		De doelstelling van het control-domein is ervoor te zorgen dat en/of vast te stellen of huisvesting IV afdoende is ingericht voor het leveren van het gewenste niveau van beveiliging. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.Door het ontbreken van noodzakelijke maatregelen binnen de huisvesting IV-organisatie is het niet zeker dat huisvesting IV aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Daarnaast kan ook niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.Control22 november 2021 15:45:02
    Huisvesting Informatievoorzieningen BeleidHVI_BNormenkader-aspectBIO Thema-uitwerking Huisvesting Informatievoorzieningen22 november 2021 13:08:16==Objecten, controls en maatregelen==

    Binnen het beleidsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde beveiligingsobjecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in onderstaande afbeelding vermeld. Van de geel gemarkeerde objecten komen de controls uit de Baseline Informatiebeveiliging Overheid (BIO).


    ”Afbeelding: Onderwerpen die binnen het Beleid domein een rol spelen”
    Overzicht objecten voor huisvesting IV in het beleidsdomein
    		De doelstelling van huisvesting Informatievoorzieningen (IV) in het beleidsdomein is om randvoorwaarden en condities te bieden, zodat huisvesting IV adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.Beleid22 november 2021 13:08:16

    De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

    Het informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.

    Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

    De omschrijving van het functionele gebruik van de voorziening

    Nederlandse Overheid Referentie Architectuur.

    Overgenomen van "https://www.noraonline.nl/index.php?title=BIO_Thema_Huisvesting_Informatievoorziening/alle_principes_alle_eigenschappen&oldid=55421"