BIO Thema-uitwerking Huisvesting Informatievoorzieningen
BIO Thema Huisvesting Informatievoorziening
Naar navigatie springen
Naar zoeken springen
Versie 2.0 van 25 januari 2021 van de BIO Thema-uitwerking Huisvesting Informatievoorzieningen is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
 Dit Normenkader is deel van ISOR.
| ||||||||||||
De BIO Thema-uitwerking Huisvesting informatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie (Uitvoeringsinstituut Werknemersverzekeringen (UWV)) en Jaap van der Veen CIP (Centrum Informatiebeveiliging en Privacybescherming). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
Considerans
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op cip-overheid.nl/contact.
Leeswijzer
Voorafgaand aan het beleidsdomein, uitvoeringsdomein en control-domein, de kern van dit thema, heeft elke BIO Thema-uitwerking een inleiding met een standaard paragraafindeling.
De volgende leeswijzer geldt voor dit normenkader:
- Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
- De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
- Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
- Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
Binnen dit normenkader
Inleidende teksten
- Inleiding (algemene inleiding)
- Huisvesting IV-objecten (specifieke inleiding)
Relatie tussen principes en onderliggende normen
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
Indelingen binnen BIO Thema-uitwerking Huisvesting Informatievoorzieningen
Alle onderdelen van BIO Thema-uitwerking Huisvesting Informatievoorzieningen zijn ingedeeld volgens de SIVA-methodiek. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie beveiligingsaspecten: Beleid (B), Uitvoering (U) of Control (C). Binnen normenkaders die geheel volgens de SIVA-methodiek zijn opgesteld, herken je bovendien een tweede indeling, in de invalshoeken Intentie (I) of Functie (F) of Gedrag (G) of Structuur (S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor De Privacy Baseline en Grip op Secure Software Development geldt een uitzondering. Daar heeft de invalshoek geen rol gespeeld bij de samenstelling van het 'normenkader'.
De principes en onderliggende normen van BIO Thema-uitwerking Huisvesting Informatievoorzieningen zijn op basis hiervan in een aantal overzichten gezet:
Principes uit BIO Thema-uitwerking Huisvesting Informatievoorzieningen
In deze tabel staan alle principes uit BIO Thema-uitwerking Huisvesting Informatievoorzieningen, met het unieke ID, Criterium en de conformiteitsindicatoren die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control)
en in uitgebreide versie met alle bestaande eigenschappen.
Beleid (principes)
export principes Beleid als csv
| ID | Principe | Criterium |
|---|---|---|
| HVI_B.01 | Huisvesting informatievoorzieningenbeleid | Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. |
| HVI_B.02 | Wet- en regelgeving Huisvesting IV | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
| HVI_B.03 | Eigenaarschap Huisvesting IV | Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben. |
| HVI_B.04 | Certificering | Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. |
| HVI_B.05 | Contractmanagement | Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. |
| HVI_B.06 | Service Level Management | Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement). |
| HVI_B.07 | In- en externe bedreigingen | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. |
| HVI_B.08 | Training en bewustwording | Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. |
| HVI_B.09 | Organisatiestructuur huisvesting IV | De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen. |
Uitvoering (principes)
export principes Uitvoering als csv
| ID | Principe | Criterium |
|---|---|---|
| HVI_U.01 | Richtlijn gebieden en ruimten | Voor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast1. |
| HVI_U.02 | Bedrijfsmiddelen-inventaris | Bedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden. |
| HVI_U.03 | Fysieke zonering | Fysieke beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten. |
| HVI_U.04 | Beveiligingsfaciliteiten | Voor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en toegepast1. |
| HVI_U.05 | Nutsvoorzieningen | Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. |
| HVI_U.06 | Apparatuur-positionering | Apparatuur behoort zo te worden geplaatst en beschermd, dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. |
| HVI_U.07 | Apparatuur-onderhoud | Apparatuur behoort op een correcte wijze te worden onderhouden. |
| HVI_U.08 | Apparatuur-verwijdering | Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. |
| HVI_U.09 | Bedrijfsmiddelenverwijdering | Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, behoren niet van de locatie te worden verwijderd zonder voorafgaande goedkeuring. |
| HVI_U.10 | Laad- en loslocatie | Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van IT-voorzieningen. |
| HVI_U.11 | Bekabeling | Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade. |
| HVI_U.12 | Huisvesting IV-architectuur | Voor het implementeren en onderhouden van huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn. |
Control (principes)
export principes Control als csv
| ID | Principe | Criterium |
|---|---|---|
| HVI_C.01 | Controle-richtlijnen huisvesting IV | Bedrijfsmiddelen behoren periodiek te worden gecontroleerd met formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd. |
| HVI_C.02 | Onderhoudsplan | Voor iedere locatie van huisvesting IV behoort een onderhoudsplan te zijn opgesteld met een risicoafweging en onderhoudsbepalingen. |
| HVI_C.03 | Continuïteitsbeheer | Continuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet. |
| HVI_C.04 | Beheersorganisatie huisvesting IV | De stakeholder van huisvesting IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld. |
Onderliggende normen
ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Stel dat het thema Gezondheid onderdeel uitmaakte van de NORA. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.
Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.
In deze tabel staan alle normen uit BIO Thema-uitwerking Huisvesting Informatievoorzieningen. Van links tot rechts zie je het unieke ID van de norm, welke conformiteitsindicator van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-export normen
en in uitgebreide tabel.
Beleid (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| HVI_B.01.01 | Huisvesting IV-beleid | De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
| Er is een huisvesting informatievoorzieningenbeleid |
| HVI_B.01.02 | Beleidsregels | Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
| Beleidsregels huisvesting informatievoorzieningen |
| HVI_B.01.03 | Beleidsregels | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
| Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
| HVI_B.02.01 | Wettelijke, statutaire, regelgevende, contractuele eisen | De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV. | Vaststellen toepasselijkheid wetgeving |
| HVI_B.02.02 | Wettelijke, statutaire, regelgevende, contractuele eisen | Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
| HVI_B.03.01 | Eigenaar | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd. | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
| HVI_B.03.02 | Eigenaar | Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
| HVI_B.03.03 | Eigenaar | De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
| HVI_B.03.04 | Eigenaar | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
| HVI_B.04.01 | Gangbare standaarden | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
| HVI_B.04.02 | Gangbare standaarden | Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
| HVI_B.05.01 | Kwalitatieve en kwantitatieve eisen | De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
| HVI_B.05.02 | Overeenkomsten | Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst |
| HVI_B.05.03 | Overeenkomsten | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Vastleggen betrokken rollen Contractmanagement en Service Level Management |
| HVI_B.05.04 | Overeenkomsten | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s). | Afspraken contractueel vastgeleggen in SLA’s en DAP’s |
| HVI_B.05.05 | Overeenkomsten | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Evalueren levering van voorzieningen |
| HVI_B.06.01 | Service Level Agreement | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
| HVI_B.06.02 | Service Level Agreement | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
| HVI_B.06.03 | Service Level Agreement | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). | De aspecten waarop de Service Levels o.a. zijn gericht |
| HVI_B.07.01 | Natuurrampen, kwaadwillige aanvallen of ongelukken | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
| HVI_B.07.02 | Natuurrampen, kwaadwillige aanvallen of ongelukken | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
| HVI_B.07.03 | Natuurrampen, kwaadwillige aanvallen of ongelukken | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
| HVI_B.07.04 | Natuurrampen, kwaadwillige aanvallen of ongelukken | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
| HVI_B.08.01 | Bewustzijnsopleiding, -training en bijscholing | Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
| HVI_B.08.02 | Bewustzijnsopleiding, -training en bijscholing | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
| HVI_B.09.01 | Organisatiestructuur | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie. | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
| HVI_B.09.02 | Organisatiestructuur | Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar. | Er is een Huisvestingsorganisatieschema beschikbaar |
| HVI_B.09.03 | Functionarissen | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie. | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
| HVI_B.09.04 | Taken, verantwoordelijkheden en bevoegdheden | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd. | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |
Uitvoering (normen)
export normen Uitvoering als csv
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| HVI_U.01.01 | Richtlijnen | Personeel behoort alleen dankzij ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied. | Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied |
| HVI_U.01.02 | Richtlijnen | Zonder toezicht wordt niet gewerkt in beveiligde gebieden. Dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. | In beveiligde gebieden wordt slechts onder toezicht gewerkt |
| HVI_U.01.03 | Richtlijnen | Leegstaande beveiligde ruimten behoren fysiek afgesloten en periodiek geïnspecteerd te zijn. | Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd |
| HVI_U.01.04 | Richtlijnen | Tenzij goedgekeurd wordt beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten. | Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten |
| HVI_U.01.05 | Richtlijnen | Bezoekers van kritieke faciliteiten:
| Richtlijnen m.b.t. bezoek tot kritieke faciliteiten |
| HVI_U.02.01 | Inventaris | Voor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie paragraaf 8.1.2 van de ISO 27002) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie paragraaf 8.2 van de ISO 27002). | Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen |
| HVI_U.02.02 | Inventaris | De huisvesting Informatievoorzieningen (IV)-organisatie identificeert de bedrijfsmiddelen, die voor huisvesting IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
| Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV |
| HVI_U.02.03 | Inventaris | De inventarislijst van de bedrijfsmiddelen is nauwkeurig, actueel, consistent en conform andere inventarisoverzichten. | Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen |
| HVI_U.02.04 | Inventaris | De huisvesting Informatievoorzieningen (IV)-organisatie heeft inventarisoverzichten, waarvoor geldt:
| Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten |
| HVI_U.03.01 | Beveilingszones | Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende standaarden:
| Voorschriften voor het inrichten van beveiligde zones |
| HVI_U.03.02 | Beveilingszones | Beveiligingszones worden gedefinieerd waarbij de locatie en de sterkte van elke zone afhangen van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. | Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen |
| HVI_U.03.03 | Beveilingszones | Informatieverwerkende faciliteiten die worden beheerd door de organisatie zijn fysiek of logisch gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. | Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten |
| HVI_U.03.04 | Beveilingszones | Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen. | Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel |
| HVI_U.03.05 | Beveilingszones | Elke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd. | Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd |
| HVI_U.04.01 | Faciliteiten | Belangrijke faciliteiten zijn zo gelegen dat ze niet voor iedereen toegankelijk zijn. | Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn |
| HVI_U.04.02 | Faciliteiten | Faciliteiten zijn zo geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen. | Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar |
| HVI_U.04.03 | Faciliteiten | Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden. | Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk |
| HVI_U.04.04 | Faciliteiten | Sleutelbeheer is ingericht op basis van een sleutelplan (zie ook het Normenkader Beveiliging Rijkskantoren (NKBR) 2016 paragraaf 5.4). | Sleutelbeheer is ingericht op basis van een sleutelplan |
| HVI_U.05.01 | Nutsvoorzieningen | Nutsvoorzieningen:
| De nutsvoorzieningen |
| HVI_U.05.02 | Nutsvoorzieningen | Noodverlichting en (nood)communicatiemiddelen zijn aanwezig. | Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn |
| HVI_U.05.03 | Nutsvoorzieningen | Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. | Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is |
| HVI_U.05.04 | Nutsvoorzieningen | Voor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder. | Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder |
| HVI_U.06.01 | Geplaatst en beschermd | Apparatuur en informatieverwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en beveiligd zijn tegen onbevoegde kennisname van gegevens. | Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten |
| HVI_U.06.02 | Geplaatst en beschermd | Apparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door elektromagnetische straling) van buitenaf. | Apparatuur wordt beschermd tegen externe bedreigingen |
| HVI_U.07.01 | Correcte wijze | Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. | Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden |
| HVI_U.07.02 | Correcte wijze | Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel. | Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel |
| HVI_U.07.03 | Correcte wijze | Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is. | Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel |
| HVI_U.07.04 | Correcte wijze | Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden. | Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd |
| HVI_U.07.05 | Correcte wijze | Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. | Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd |
| HVI_U.07.06 | Correcte wijze | Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert. | Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd |
| HVI_U.08.01 | Geverifieerd | Voorgaand aan verwijdering of hergebruik, behoort te worden gecontroleerd of apparatuur opslagmedia bevat. | Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat |
| HVI_U.08.02 | Verwijdering of betrouwbaar veilig zijn overschreven | Het verwijderen van apparatuur vindt plaats met vastgestelde procedurestappen:
| Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen |
| HVI_U.09.01 | Bedrijfsmiddelen | In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen met een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. | Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd |
| HVI_U.09.02 | Bedrijfsmiddelen | Medewerkers en gebruikers van externe partijen, die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen, worden geïdentificeerd. | Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen |
| HVI_U.09.03 | Bedrijfsmiddelen | Aan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt dat ze tijdig worden teruggebracht. | Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd |
| HVI_U.09.04 | Bedrijfsmiddelen | Voor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd. | Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd |
| HVI_U.09.05 | Bedrijfsmiddelen | De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. | Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt |
| HVI_U.10.01 | Toegangspunten | Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten. | Een procedure beschrijft het omgaan met verdachte brieven en pakketten |
| HVI_U.10.02 | Toegangspunten | Toegang tot een laad- en loslocatie van buiten het gebouw wordt beperkt tot geïdentificeerd en bevoegd personeel. | Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel |
| HVI_U.10.03 | Toegangspunten | De laad- en loslocaties zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. | Eisen aan de laad- en loslocatie |
| HVI_U.10.04 | Toegangspunten | De buitendeuren van een laad- en loslocatie moeten beveiligd zijn als de binnendeuren open zijn. | De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn |
| HVI_U.10.05 | Toegangspunten | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd volgens de procedures voor bedrijfsmiddelenbeheer. | Inkomende materialen worden bij binnenkomst op de locatie geregistreerd |
| HVI_U.10.06 | Toegangspunten | Inkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden. | Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden |
| HVI_U.10.07 | Toegangspunten | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijden het transport. Bij ontdekte vervalsing wordt dit direct aan het beveiligingspersoneel gemeld. | Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing |
| HVI_U.11.01 | Voedingskabels | Kabels worden bij voorkeur ondergronds aangelegd. | Kabels worden bij voorkeur ondergronds aangelegd |
| HVI_U.11.02 | Voedingskabels | Huisvesting Informatievoorzieningen (IV) is ingericht met de volgende best practices:
| De huisvesting van de Rekencentra is ingericht op basis van “Best Practices” |
| HVI_U.11.03 | Voedingskabels | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. | Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden |
| HVI_U.12.01 | Architectuurvoorschriften | De aanwezige architectuurvoorschriften voor de fysieke inrichting van huisvesting Informatievoorzieningen (IV) worden actief onderhouden. | De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden |
| HVI_U.12.02 | Architectuurvoorschriften | De inrichting van huisvesting Informatievoorzieningen (IV) en bekabelingen zijn gedocumenteerd. | De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd |
| HVI_U.12.03 | Documentatie | Het document met de inrichting van huisvesting Informatievoorzieningen (IV) en de bekabeling:
| Aan het architectuurdocument gestelde eisen |
Control (normen)
| ID | trefwoord | Stelling | Norm |
|---|---|---|---|
| HVI_C.01.01 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor de controle van bedrijfsmiddelen. | De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen |
| HVI_C.01.02 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over geautomatiseerde middelen voor een effectieve ondersteuning van de controle-activiteiten. | Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten |
| HVI_C.01.03 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het uitvoeren van een registratie, statusmeting, analyse, rapportage en evaluatie. | Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie |
| HVI_C.01.04 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie beschikt over richtlijnen voor het evalueren van de huisvesting IV-organisatie. | Er zijn richtlijnen voor het evalueren van de Huisvesting-IV organisatie |
| HVI_C.01.05 | Richtlijnen | De huisvesting Informatievoorzieningen (IV)-organisatie heeft de taken, verantwoordelijkheden en bevoegdheden van controlefunctionarissen vastgelegd. | Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen |
| HVI_C.02.01 | Onderhoudsplan | Voor kwetsbare voorzieningen (binnen en buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. | Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan |
| HVI_C.02.02 | Onderhoudsbepalingen | Het vastgoed (onder andere gebouwen) wordt op alle locaties van de huisvesting van de rekencentra onderhouden met een vastgesteld onderhoudsplan. | Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld |
| HVI_C.03.01 | Procesmatig | Het bedrijfscontinuïteitsmanagementsysteem (BCMS) is:
| Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management |
| HVI_C.03.02 | Procesmatig | De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. | De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken |
| HVI_C.03.03 | Hersteld en voortgezet | Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage over continuïteit. | Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages |
| HVI_C.03.04 | Hersteld en voortgezet | De herstelprocessen en -procedures voor de huisvesting Informatievoorzieningen (IV)-organisatie zijn gedocumenteerd. | De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd |
| HVI_C.03.05 | Hersteld en voortgezet | Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. | Realisatie van afdoende uitwijkfaciliteiten |
| HVI_C.03.06 | Hersteld en voortgezet | Gebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest. | Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest |
| HVI_C.03.07 | Hersteld en voortgezet | De huisvesting Informatievoorzieningen (IV)-organisatie is verantwoordelijk voor het beheer, periodiek testen en controleren van uitwijkvoorzieningen. | Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen |
| HVI_C.04.01 | Beheersorganisatie | De belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn met een organisatieschema inzichtelijk gemaakt. | Er zijn functionarissen voor de beheersorganisatie benoemd |
| HVI_C.04.02 | Beheersorganisatie | De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. | Verantwoordelijkheden zijn toegewezen en vastgelegd |
| HVI_C.04.03 | Beheersorganisatie | De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. | Verantwoordelijkheden zijn beschreven en vastgelegd |
| HVI_C.04.04 | Processtructuur | De samenhang van de processen wordt met een processtructuur vastgelegd. | De samenhang van processen is in een processtructuur vastgelegd. |