Huisvesting Controldomein
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.
Meer lezen |
Doelstelling[bewerken]
De doelstelling van het control domein is ervoor te zorgen dat en/of vast te stellen of Huisvesting-IV afdoende is ingericht voor het leveren van het gewenste niveau van beveiliging. Dit houdt onder meer in dat binnen de organisatie een adequate beheerorganisatie moet zijn ingericht, waarin beheerprocessen zijn vormgegeven.
Risico's[bewerken]
Door het ontbreken van noodzakelijke maatregelen binnen de Huisvesting-IV organisatie is het niet zeker dat een Huisvesting-IV aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Tevens kan niet vastgesteld worden dat de gewenste maatregelen worden nageleefd. Binnen het Control domein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde generieke objecten. Per generiek object worden conformiteitsindicatoren uitgewerkt, deze conformiteitsindicatoren representeren een vast te stellen set van maatregelen.
De onderwerpen die uit BIR 2017 binnen dit domein een rol spelen zijn in onderstaande figuur vermeld.
Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
HVI_C.01 | Controle-richtlijnen huisvesting IV | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. |
HVI_C.02 | Onderhoudsplan | Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen. |
HVI_C.03 | Continuïteitsbeheer | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. |
HVI_C.04 | Beheersorganisatie huisvesting IV | De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
ID | Stelling | Norm |
---|---|---|
HVI_C.01.01 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
HVI_C.01.02 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
HVI_C.01.03 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
HVI_C.01.04 | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie |
HVI_C.01.05 | De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
HVI_C.02.01 | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
HVI_C.02.02 | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
HVI_C.03.01 | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
HVI_C.03.02 | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken |
HVI_C.03.03 | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
HVI_C.03.04 | De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd. | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
HVI_C.03.05 | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Realisatie van afdoende uitwijkfaciliteiten |
HVI_C.03.06 | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
HVI_C.03.07 | De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
HVI_C.04.01 | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Er zijn functionarissen voor de beheersorganisatie benoemd |
HVI_C.04.02 | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Verantwoordelijkheden zijn toegewezen en vastgelegd |
HVI_C.04.03 | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Verantwoordelijkheden zijn beschreven en vastgelegd |
HVI_C.04.04 | De samenhang van de processen wordt met een processtructuur vastgelegd. | De samenhang van processen is in een processtructuur vastgelegd. |