Huisvesting Informatievoorziening Beleidsdomein
ISOR:BIO Thema Huisvesting Informatievoorziening Beleid /
Naar navigatie springen
Naar zoeken springen
Versie 2.0 van 25 januari 2021 van de BIO Thema-uitwerking Huisvesting Informatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.
Meer lezen | ||||||||||||||||||
Doelstelling[bewerken]
De doelstelling van het Beleid domein, waarin beleidsobjecten zijn opgenomen, is om randvoorwaarden en condities te bieden, zodat de Huisvesting Informatievoorziening adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten, en daaraan gerelateerde normen opgenomen, die het mogelijk maken de Huisvesting Informatievoorziening omgevingen op een veilige manier te laten functioneren. De generieke objecten in dit Beleid domein biedt de organisatie kaders op basis waarvan de beveiliging van Huisvesting Informatievoorziening moet plaatsvinden.
Risico's[bewerken]
Als een door het management uitgevaardigd beleid betreffende de Huisvesting Informatievoorziening ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een Huisvesting Informatievoorziening, met als gevolg schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens. Binnen het Beleid domein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde generieke objecten. Per generiek object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De onderwerpen die binnen dit domein een rol spelen, zijn in onderstaande tabel en afbeelding vermeld.
Onderstaande tabel en afbeelding tonen het resultaat van de SIVA analyse ten aanzien van relevante objecten voor Huisvesting Informatievoorziening. De wit ingekleurde objecten ontbreken als control in de ISO2700x, maar zijn van belang voor dit thema. Om deze reden zijn aanvullende objecten uit andere baselines opgenomen.
Bestand:Thema Huisvesting Informatievoorziening- Objecten binnen Beleiddomein, gerelateerd aan basiselementen.png
Onderwerpen die binnen het Beleid domein een rol spelen
| ID | Objecten | Referentie |
|---|---|---|
| B.01 | Huisvesting Informatievoorziening beleid | 27002:5.1.1 |
| B.02 | Wet en regelgeving | 27002:18.1.1 |
| B.03 | Eigenaarschap | 27002:8.1.2 |
| B.04 | Certificering | UitSIVA analyse, ITIL |
| B.05 | Contract management | UitSIVA analyse, ITIL |
| B.06 | Servicelevelmanagement | UitSIVA analyse, ITIL |
| B.07 | Interne en externe bedreigingen | 27002:11.1.4 |
| B.08 | Training en awareness | 27002:7.2.2 |
| B.09 | Organisatiestructuur | UitSIVA analyse |
Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
| ID | Principe | Criterium |
|---|---|---|
| HVI_B.01 | Huisvesting informatievoorzieningenbeleid | Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. |
| HVI_B.02 | Wet- en regelgeving Huisvesting IV | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| HVI_B.03 | Eigenaarschap Huisvesting IV | Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben. |
| HVI_B.04 | Certificering | Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. |
| HVI_B.05 | Contractmanagement | Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. |
| HVI_B.06 | Service Level Management | Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement). |
| HVI_B.07 | In- en externe bedreigingen | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. |
| HVI_B.08 | Training en bewustwording | Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. |
| HVI_B.09 | Organisatiestructuur huisvesting IV | De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen. |
Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
| ID | Stelling | Norm |
|---|---|---|
| HVI_B.01.01 | De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
| Er is een huisvesting informatievoorzieningenbeleid |
| HVI_B.01.02 | Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
| Beleidsregels huisvesting informatievoorzieningen |
| HVI_B.01.03 | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
| Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
| HVI_B.02.01 | De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV. | Vaststellen toepasselijkheid wetgeving |
| HVI_B.02.02 | Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
| HVI_B.03.01 | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd. | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
| HVI_B.03.02 | Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
| HVI_B.03.03 | De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
| HVI_B.03.04 | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
| HVI_B.04.01 | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
| HVI_B.04.02 | Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
| HVI_B.05.01 | De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
| HVI_B.05.02 | Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst |
| HVI_B.05.03 | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Vastleggen betrokken rollen Contractmanagement en Service Level Management |
| HVI_B.05.04 | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s). | Afspraken contractueel vastgeleggen in SLA’s en DAP’s |
| HVI_B.05.05 | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Evalueren levering van voorzieningen |
| HVI_B.06.01 | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
| HVI_B.06.02 | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
| HVI_B.06.03 | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). | De aspecten waarop de Service Levels o.a. zijn gericht |
| HVI_B.07.01 | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
| HVI_B.07.02 | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
| HVI_B.07.03 | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
| HVI_B.07.04 | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
| HVI_B.08.01 | Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
| HVI_B.08.02 | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
| HVI_B.09.01 | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie. | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
| HVI_B.09.02 | Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar. | Er is een Huisvestingsorganisatieschema beschikbaar |
| HVI_B.09.03 | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie. | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
| HVI_B.09.04 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd. | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |