BIO Thema Huisvesting Informatievoorziening

Uit NORA Online
BIO Thema Huisvesting Informatievoorziening
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)

Dit Normenkader is deel van ISOR.


Inhoud


Dit document bevat een referentiekader voor Huisvesting Informatievoorziening. Het is gebaseerd op controls uit ISO 27001-bijlage A en BOI v. 0.5. Voor die aspecten, waar de ISO-27002 onvoldoende practische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (* SoGP), de NIST, en Cobit. Onderstaande figuur geeft de relatie weer tussen het thema Huisvesting Informatievoorziening en de overige thema’s.

Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting IT Infrastructuur

Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Huisvesting Informatievoorziening

Alle onderdelen van BIO Thema Huisvesting Informatievoorziening zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Huisvesting Informatievoorziening zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Huisvesting Informatievoorziening

In deze tabel staan alle principes uit BIO Thema Huisvesting Informatievoorziening, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid

csv principes beleid

ID   Criterium
Huisv_B.01 Huisvestingsbeleid Ten behoeve van Huisvestingsbeleid moet een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Huisv_B.02 Wet en regelgeving Alle relevante wettelijke statutaire eisen en regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen moeten voor elk Huisvestingsdiensten expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03 Eigenaarschap Bedrijfsmiddelen m.b.t Huisvesting-IV die in het inventarisoverzicht te worden bijgehouden moeten een eigenaar te hebben.
Huisv_B.04 Certificering De Huisvesting-IV van de leverancier, behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05 Contractmanagement Huisvestingsvoorzieningen die worden verworven voldoen aan kwalitatieve en kwantitatieve eisen, die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06 Service Levelmanagement Het Management van Huisvesting-IV behoort diensten te leveren conform Service Level Agreements (SLA).
Huisv_B.07 Interne en Externe bedreigingen Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.
Huisv_B.08 Training en Awareness Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
Huisv_B.09 Organisatiestructuur De Huisvestingsorganisatie zorgt voor een adequate organisatiestructuur voor de te realiseren Huisvesting-IV en stelt de taken beveogdheden en verantwoordelijkheden (TBV) van de aangewezen functionarissen vast.
Huisv_B.10 Huisvestingsstructuur De inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.

Uitvoering

csv principes uitvoering

ID   Criterium
Huisv_U.01 Richtlijnen gebieden en ruimten Voor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02 Bedrijfsmiddelen inventaris Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03 Fysieke zonering 'Fysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04 Beveiligingsfaciliteiten ruimten Voor het beveiligen van ruimten moeten faciliteiten worden ontworpen en toegepast.
Huisv_U.05 Nutsvoorzieningen Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06 Apparatuur positionering Apparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07 Onderhoud Apparatuur Apparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08 Apparatuur verwijdering Alle onderdelen van de apparatuur die opslagmedia bevatten moeten worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09 Bedrijfsmiddelen verwijdering Informatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10 Laad en los locatie Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11 Bekabeling De voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12 Huisvesting-IV architectuur Voor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.

Control

csv control

ID   Criterium
Huisv_C.01 Controle richtlijn Bedrijfsmiddelen worden periodiek gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen worden tijdig aan het management gerapporteerd.
Huisv_C.02 Onderhoudsplan Voor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.
Huisv_C.03 Continuiteitsmanagement Continuïteitsmanagement is procesmatig voor de gehele organisatie ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04 Huisvesting-IV Testproces bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.05 Huisvesting-IV Beheerprocessen bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.06 Huisvesting-IV Monitoring bedrijfsmiddelen Deze norm is nog in ontwikkeling.
Huisv_C.07 Huisvesting-IV Beheersingsorganisatie De stakeholder van de huisvesting van de Rekencentra heeft een beheersingsorganisatie ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Huisv_C.08 Huisvesting-IV Beheersingsarchitectuur Deze norm is nog in ontwikkeling.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.

In deze tabel staan alle normen uit BIO Thema Huisvesting Informatievoorziening. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid

csv normen beleid

ID trefwoord Stelling Norm
Huisv_B.01.01 huisvestingsbeleid De organisatie heeft een Huisvestingsbeleid opgesteld en:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en afzonderin-gen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02 beleidsregels Beleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • Bedrijfsstrategie;
  • Wet- en regelgeving;
  • Huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
Beleidsregels behandelen uit bedrijfsstrategie, wet- en regelgeving en bedreigingen voorkomende eisen
Huisv_B.01.03 beleidsregels Beleidsregels zijn gerelateerd aan specifieke onderwerpen m.b.t. Huisvesting-IV, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting-IV
Huisv_B.02.01 wettelijke statutaire eisen De verantwoordelijke voor Huisvestingsorganisatie stelt vast welke wetgeving van toepassing is voor de Huisvesting van IV. De voor Huisvesting-IV-verantwoordelijke bepaalt welke wetgeving van toepassing
Huisv_B.02.02 wettelijke statutaire eisen Het Huisvestingsbeleid waarover de Huisvesting-IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. Overeengekomen Huisvestingsbeleid mede o.b.v. wet- en regelgeving en contractuele verplichtingen
Huisv_B.03.01 eigenaar Personen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd. Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
Huisv_B.03.02 eigenaar Het eigenaarschap van bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het bedrijfsmiddel. Het bedrijfsmiddel-eigenaarschap wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
Huisv_B.03.03 eigenaar De eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel. De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
Huisv_B.03.04 eigenaar De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
Op passende wijze inventariseren, classificeren. verwijderd en vernietigen van bedrijfsmiddellen
Huisv_B.04.01 gangbare standaarden De organisatie of een dienstenleverancier laat periodiek de Huisvesting-IV inclusief de voorzieningen en services evalueren met als doel deze te laten certificeren. Periodiek evalueren van Huisvesting-IV voorzieningen en services
Huisv_B.04.02 gangbare standaarden De Huisvesting-IV die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
De voor de organisatie ingezette Huisvesting-IV is min. gecertificeerd voor ISO 27001 en 50001
Huisv_B.05.01 kwalitatieve en kwantitatieve eisen De eisen en specificaties voor de Huisvestingsvoorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
Huisv_B.05.02 overeenkomsten Het verwerven van Huisvestingsvoorzieningen geschiedt uitsluitend op basis van een overeenkomst of andere formele afspraak. Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
Huisv_B.05.03 overeenkomsten De rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd. Bij SLA’s en DAP betrokken rollen Contractmanagement Service Level Management zijn vastgelegd
Huisv_B.05.04 overeenkomsten Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s. Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
Huisv_B.05.05 overeenkomsten De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd. De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
Huisv_B.06.01 service level agrreement De Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven. Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
Huisv_B.06.02 service level agrreement Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV. Deze Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting-IV
Huisv_B.06.03 service level agrreement De Service Levels zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, disaster recovery, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering). De aspecten waarop de Service Levels o.a. zijn gericht
Huisv_B.07.01 natuurrampen, kwaadwillige aanvallen De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn. De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
Huisv_B.07.02 natuurrampen, kwaadwillige aanvallen Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. Tegen externe bedreigingen zijn beveiligingsmaatregelen genomeno.b.v. een expliciete risicoafweging
Huisv_B.07.03 natuurrampen, kwaadwillige aanvallen Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen. Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
Huisv_B.07.04 ongelukken De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
Huisv_B.08.01 bewustzijnsopleiding, –training en bijscholing Binnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover. Aweareness-activiteiten m.b.t. de binnen de Huisvesting-IV actieve medewerkers
Huisv_B.08.02 bewustzijnsopleiding, –training en bijscholing Aan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters. Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
Huisv_B.09.01 organisatiestructuur Binnen de Huisvestingsorganisatie hebben de verantwoordelijken voor de Huisvesting-IV een formele positie. De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
Huisv_B.09.02 organisatiestructuur Er is een Huisvestingsorganisatieschema beschikbaar. Er is een Huisvestingsorganisatieschema beschikbaar
Huisv_B.09.03 functionarissen Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie. Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
Huisv_B.09.04 taken bevoegdheden en verantwoordelijkheden De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd. De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd

Uitvoering

csv normen uitvoering

ID trefwoord Stelling Norm
Huisv_U.01.01 richtlijnen Personeel behoort alleen op grond van ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten in een beveiligd gebied. Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
Huisv_U.01.02 richtlijnen Zonder toezicht werken in beveiligde gebieden behoort te worden vermeden, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten. In beveiligde gebieden wordt slechts onder toezicht gewerkt
Huisv_U.01.03 richtlijnen Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd. Leegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd
Huisv_U.01.04 richtlijnen Foto-, video-, audio- of andere opnameapparatuur, zoals camera’s in mobiele apparatuur, behoort, tenzij goedgekeurd, niet te worden toegelaten. Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
Huisv_U.01.05 richtlijnen Bezoeker tot kritieke faciliteiten:
  • worden slechts toegang geboden voor vastgestelde doeleinden;
  • worden gemonitord bij aankomst en vertrek;
  • verplicht badges te dragen;
  • worden continu onder toezicht onderworpen;
  • worden bewust gemaakt en krijgen instructie over de beveiliging van de omgeving en noodprocedures;
  • worden aangegeven dat het gebruik van audio en fotomateriaal niet is toegestaan.
Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
Huisv_U.02.01 inventaris Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
Huisv_U.02.02 inventaris Een RC- organisatie behoort bedrijfsmiddelen voor de Huisvesting-RC die relevant zijn in de levenscyclus van informatie te identificeren en hun belang te documenteren.

De levenscyclus van informatie behoort aanmaak, verwerking, opslag. overdracht, verwijdering en vernietiging te omvatten.

Documentatie behoort te worden onderhouden in speciale of bestaande inventarislijsten indien van toepassing.
Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-RC
Huisv_U.02.03 inventaris De inventarislijst van de bedrijfsmiddelen behoort nauwkeurig, actueel, consistent en in overeenstemming met andere inventarisoverzichten te zijn. Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
Huisv_U.02.04 inventaris Voor elk van de geïdentificeerde bedrijfsmiddelen behoort het eigenaarschap te worden toegekend (zie 8.1.2) en de classificatie te worden geïdentificeerd (zie 8.2). Eigenaarschap en classificatie van elk van de bedrijfsmiddelen is geïdentificeerd en toegekend
Huisv_U.02.05 inventaris Inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt en kunnen ook voor andere doeleinden vereist zijn, zoals om gezondheids- en veiligheids-, verzekerings- of financiële (beheer van bedrijfsmiddelen) redenen. Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
Huisv_U.03.01 beveiligde zones Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van de volgende voorschriften:
  1. het Kader Rijkstoegangsbeleid (2010);
  2. het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  3. het Beveiligingsvoorschrift Rijk (BVR 2013).
Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
Huisv_U.03.02 beveiligde zones Beveiligingszones worden gedefinieerd en de locatie en sterkte van elke hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling. Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
Huisv_U.03.03 beveiligde zones Informatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd. Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
Huisv_U.03.04 beveiligde zones Alle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen. Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
Huisv_U.03.05 beveiligde zones Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord. Van elke fysieke toegang wordt een fysiek of elektronisch logboek te worden onderhouden en gemonitord
Huisv_U.04.01 faciliteiten Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn. Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
Huisv_U.04.02 faciliteiten Faciliteiten moeten zijn geconfigureerd dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn. Voor zover van toepassing behoort elektromagnetische afscherming ook te worden overwogen. Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
Huisv_U.04.03 faciliteiten Adresboeken en interne telefoonboeken waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., moeten niet vrij toegankelijk te zijn voor onbevoegden. Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
Huisv_U.04.04 faciliteiten Sleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4). Sleutelbeheer is ingericht op basis van een sleutelplan
Huisv_U.05.01 nutsvoor-zieningen Nutsvoorzieningen dienen:
  • in overeenstemming te zijn met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • regelmatig te worden onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met an-dere nutsvoorzieningen;
  • regelmatig te worden geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zo nodig, te worden voorzien van een alarmsysteem om disfunctio-neren op te sporen;
  • voor zover nodig, te beschikken over meervoudige voeding met een verschillende fysieke route.
De nutsvoorzieningen
Huisv_U.05.02 nutsvoor-zieningen Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn. Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
Huisv_U.05.03 nutsvoor-zieningen Nabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld. Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
Huisv_U.05.04 nutsvoor-zieningen Er is redundantie voor de netwerkverbinding verkregen via meerdere routes vanaf meer dan één aanbieder. Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
Huisv_U.06.01 gepositioneerd en beschermd Apparatuur, informatie verwerkende- en opslag faciliteiten worden zodanig geplaats dat onbevoegden geen toegang toe hebben en beveiligd tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd. Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
Huisv_U.06.02 gepositioneerd en beschermd Apparatuur worden beschermd tegen bedreiging buitenaf (vb: overspanningen, blikseminslag, diefstal, weglekken van informatie door EM straling). Apparatuur wordt beschermd tegen externe bedreigingen
Huisv_U.07.01 correct Apparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften. Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
Huisv_U.07.02 correct Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren. Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
Huisv_U.07.03 correct Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is (R). Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
Huisv_U.07.04 correct Er worden registraties bijgehouden van alle vermeende en daadwerkelijke fouten, en van al het preventieve en correctieve onderhoud. Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
Huisv_U.07.05 correct Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd. Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
Huisv_U.07.06 correct Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert. Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
Huisv_U.08.01 geverifieerd Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat. Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
Huisv_U.08.02 verwijderd Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
Huisv_U.09.01 bedrijfsmiddelen In het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject. Het toestemmingstrajec voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
Huisv_U.09.02 bedrijfsmiddelen Medewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten te worden geïdentificeerd. Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
Huisv_U.09.03 bedrijfsmiddelen Aan de afwezigheid van bedrijfsmiddelen moet tijdsgrenzen worden gesteld en geverifieerd te worden of ze worden teruggebracht. Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
Huisv_U.09.04 bedrijfsmiddelen Voor zover nodig en gepast moet het meenemen en de terugkeer van bedrijfsmiddelen te worden geregistreerd. Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
Huisv_U.09.05 bedrijfsmiddelen De identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, behoort te worden gedocumenteerd en deze documenten moeten samen met de apparatuur, informatie of software worden geretourneerd. Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
Huisv_U.10.01 toegangspunten Er is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R). Een procedure beschrijft het omgaan met verdachte brieven en pakketten
Huisv_U.10.02 toegangspunten Toegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel. Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
Huisv_U.10.03 toegangspunten De laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw. Eisen aan de laad- en loslocatie
Huisv_U.10.04 toegangspunten De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn. De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
Huisv_U.10.05 toegangspunten Inkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer. Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
Huisv_U.10.06 toegangspunten Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden. Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
Huisv_U.10.07 toegangspunten Inkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld. Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
Huisv_U.11.01 voedingskabels Kabels worden bij voorkeur ondergronds aangelegd. Kabels worden bij voorkeur ondergronds aangelegd
Huisv_U.11.02 voedingskabels De huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
Huisv_U.11.03 voedingskabels Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden. Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
Huisv_U.12.01 architectuurvoorschriften Er zijn architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen die actief worden onderhouden. De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
Huisv_U.12.02 architectuurvoorschriften De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd. De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
Huisv_U.12.03 documentatie Het document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aange-past);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastge-steld/geaccordeerd.
Aan het architectuurdocument gestelde eisen

Control

csv normen control

ID trefwoord Stelling Norm
Huisv_C.01.01 richtlijnen De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen. De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
Huisv_C.01.02 richtlijnen De Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten. Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
Huisv_C.01.03 richtlijnen De Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie. Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
Huisv_C.01.04 richtlijnen De Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-RC-organisatie. Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
Huisv_C.01.05 richtlijnen De Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd. Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
Huisv_C.02.01 onderhoudsplan De verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan. Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
Huisv_C.02.02 onderhoudsbepalingen Voor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld. Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
Huisv_C.03.01 procesmatig Het BCSM is beschreven, goedgekeurd door het management en:
  • toegekend aan een verantwoordelijke functionaris;
  • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
Huisv_C.03.02 procesmatig De beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn. Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
Huisv_C.03.03 hersteld en voortgezet Een continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit. Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
Huisv_C.03.04 hersteld en voortgezet De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd. De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
Huisv_C.03.05 hersteld en voortgezet Er is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden. Realisatie van afdoende uitwijkfaciliteiten
Huisv_C.03.06 hersteld en voortgezet Gebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest. Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
Huisv_C.03.07 hersteld en voortgezet De Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen. Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
Huisv_C.07.01 processtructuur De samenhang van de processen wordt door middel van een processtructuur vastgelegd. De samenhang van de processen wordt door middel van een processtructuur vastgelegd
Huisv_C.07.02 beheersingsorganisatie De belangrijkste functionarissen (stakeholders) voor de beheersingsorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt. Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
Huisv_C.07.03 beheersingsorganisatie De verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd. Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
Huisv_C.07.04 beheersingsorganisatie De organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix. Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen