BIO Thema Huisvesting Informatievoorziening

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Dit Normenkader is deel van ISOR.

Dit document bevat een referentiekader voor Huisvesting Informatievoorziening (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BOI v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST en Cobit.
Afbeelding 'Positie van het themadocument "Huisvesting Informatievoorziening' geeft de positie weer van het themadocument "BIO thema Huisvesting Informatievoorziening".

”Positie van het themadocument "Huisvesting Informatievoorziening”
Positie van het themadocument "Huisvesting Informatievoorziening


Afbeelding 'Overzicht van thema’s en de positie van Huisvesting IT Infrastructuur' geeft de relatie weer tussen het thema Huisvesting Informatievoorziening en de overige thema’s.

Alt="Overzicht van thema's en de positie van Huisvesting IT Infrastructuur"

Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Huisvesting Informatievoorziening

Alle onderdelen van BIO Thema Huisvesting Informatievoorziening zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding is hier achteraf toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Huisvesting Informatievoorziening zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Huisvesting Informatievoorziening

In deze tabel staan alle principes uit BIO Thema Huisvesting Informatievoorziening, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid

csv principes beleid

ID Criterium
Huisv_B.01Huisvesting informatievoorziening BeleidDe directie behoort ten behoeve van Huisvesting Informatievoorziening beleid een reeks beleidsregels te definiëren, goed te keuren, te publiceren en te communiceren aan medewerkers en relevante externe partijen.
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03EigenaarschapHuisvesting Informatievoorziening bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.
Huisv_B.04CertificeringDe Huisvesting Informatievoorziening van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06Service LevelmanagementHet management van Huisvesting Informatievoorziening behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreements of SLA).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming behoort te worden ontworpen en toegepast tegen natuurrampen, ongelukken en kwaadwillige aanvallen.
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.
Huisv_B.09OrganisatiestructuurDe Huisvestingsorganisatie behoort voor de te realiseren Huisvesting Informatievoorziening een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, bevoegdheden en verantwoordelijkheden (TBV) vast te stellen.
Huisv_B.10HuisvestingsstructuurDe inrichting van de Fysieke toegangsbeveiliging van de Huisvesting van IV behoort vastgelegd te zijn in een Huisvestingarchitectuur.

Uitvoering

csv principes uitvoering

ID Criterium
Huisv_U.01Richtlijnen gebieden en ruimtenVoor het werken in beveiligde gebieden moeten richtlijnen worden ontwikkeld en toegepast.
Huisv_U.02Bedrijfsmiddelen inventarisBedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
Huisv_U.03Fysieke zoneringFysieke beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.
Huisv_U.04Beveiligingsfaciliteiten ruimtenVoor het beveiligen van ruimten moeten faciliteiten worden ontworpen en zijn toegepast.
Huisv_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06Apparatuur positioneringApparatuur wordt zodanig gepositioneerd en beschermd dat risico's van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
Huisv_U.07Onderhoud ApparatuurApparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08Apparatuur verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09Bedrijfsmiddelen verwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10Laad en los locatieDe toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerstin een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. en indien mogelijk worden afgeschermd van IT-voorzieningen.
Huisv_U.11BekabelingDe voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12Huisvesting-IV architectuurVoor het implementeren van en onderhouden van Huisvestingsvoorzieningen zijn architectuurvoorschriften en de benodigde documentatie beschikbaar.

Control

csv control

ID Criterium
Huisv_C.01Controle richtlijnBedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.
Huisv_C.02OnderhoudsplanVoor iedere locatie van de Huisvesting-IV is een onderhoudsplan opgesteld op basis van een risicoafweging en onderhoudsbepalingen.
Huisv_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04Huisvesting Informatievoorziening BeheersingsorganisatieDe stakeholder van de Huisvesting Informatievoorziening behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.
Huisv_C.05Huisvesting Informatievoorzieninig BeheersingsarchitectuurDeze norm is nog in ontwikkeling.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord vallen een aantal normen, concrete aanbevelingen die je uit kunt voeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.


Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid ReferentieArchitectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.


Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Huisvesting Informatievoorziening. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid

csv normen beleid

IDtrefwoordStellingNorm
Huisv_B.01.01huisvestingsbeleidDe organisatie heeft een Huisvestingsbeleid opgesteld en:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en afzonderingen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02beleidsregelsBeleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
    Huisv_B.01.03beleidsregelsBeleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting Informatievoorziening, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
    Huisv_B.02.01wettelijke statutaire eisenDe verantwoordelijke voor de Huisvesting Informatievoorziening organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting Informatievoorziening.De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    Huisv_B.02.02wettelijke statutaire eisenHet Huisvesting Informatievoorziening beleid waarover de Huisvesting Informatievoorziening organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    Huisv_B.03.01eigenaarPersonen of afdelingen die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    Huisv_B.03.02eigenaarHet eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    Huisv_B.03.03eigenaarDe eigenaar van het bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus van het bedrijfsmiddel.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    Huisv_B.03.04eigenaarDe eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    Huisv_B.04.01gangbare standaardenDe gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.ISOR:Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    Huisv_B.04.02gangbare standaardenDe Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    Huisv_B.05.01kwalitatieve en kwantitatieve eisenDe eisen en specificaties voor de Huisvesting Informatievoorziening voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.ISOR:het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    Huisv_B.05.02overeenkomstenHet verwerven van Huisvesting Informatievoorziening voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    Huisv_B.05.03overeenkomstenDe rollen Contractmanagement Service Level Management die betrokken zijn bij SLA’s en DAP zijn vastgelegd.Bij SLA en DAP betrokken rollen voor Contractmanagement Service Level Management zijn vastgelegd
    Huisv_B.05.04overeenkomstenAfspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    Huisv_B.05.05overeenkomstenDe levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    Huisv_B.06.01service level agrreementDe Huisvestingsorganisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    Huisv_B.06.02service level agrreementDe dienstenniveaus zijn in lijn met het Huisvesting Informatievoorziening beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    Huisv_B.06.03service level agrreementDe dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen., openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    Huisv_B.07.01natuurrampen, ongelukken en kwaadwillige aanvallenDe organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    Huisv_B.07.02natuurrampen, ongelukken en kwaadwillige aanvallenTegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    Huisv_B.07.03natuurrampen, ongelukken en kwaadwillige aanvallenBij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen, veroorzaakt door de natuur en menselijk toedoen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    Huisv_B.07.04ongelukkenDe brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheidDe brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    Huisv_B.08.01bewustzijnsopleiding, –training en bijscholingBinnen de Huisvesting-IV nemen alle medewerkers regelmatig aan beveiligings-awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshop hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    Huisv_B.08.02bewustzijnsopleiding, –training en bijscholingAan de medewerkers worden regelmatig e-learning training aangeboden en worden zij regelmatig op de hoogte gesteld van de ontwikkelingen rond Rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    Huisv_B.09.01organisatiestructuurBinnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting Informatievoorziening een formele positie.ISOR:De verantwoordelijken voor de Huisvesting Informatievoorziening hebben een formele positie
    Huisv_B.09.02organisatiestructuurVoor Huisvesting Informatievoorziening is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    Huisv_B.09.03functionarissenHet organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    Huisv_B.09.04taken bevoegdheden en verantwoordelijkhedenDe taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd

    Uitvoering

    csv normen uitvoering

    IDtrefwoordStellingNorm
    Huisv_U.01.01richtlijnenPersoneel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied.Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
    Huisv_U.01.02richtlijnenZonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.In beveiligde gebieden wordt slechts onder toezicht gewerkt
    Huisv_U.01.03richtlijnenLeegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
    Huisv_U.01.04richtlijnenTenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
    Huisv_U.01.05richtlijnenBezoekers van kritieke faciliteiten:
    • worden slechts toegang geboden voor vastgestelde doeleinden;
    • worden continu aan toezicht onderworpen;
    • worden gemonitord bij aankomst en vertrek;
    • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
    • Wordt verteld dat het gebruik van beeld en geluidopname materiaal/apparatuur niet is toegestaan;
    • dragen verplicht een badge.
    Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
    Huisv_U.02.01inventarisVoor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie geïdentificeerd (zie 8.2).Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
    Huisv_U.02.02inventarisDe Huisvesting Informatievoorziening organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting Informatievoorziening relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, waarbij:
  • de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
  • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
  • Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
    Huisv_U.02.03inventarisDe inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel, consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten.Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
    Huisv_U.02.04inventarisDe Huisvesting Informatievoorziening organisatie heeft inventarisoverzichten:
  • deze inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
  • deze inventarisoverzichten kunnen vereist zijn, zoals voor financieel (beheer van bedrijfsmiddelen), verzekeringen, of voor gezondheid of veiligheid redenen.
  • Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
    Huisv_U.03.01beveiligde zonesVoor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:

    @ het Kader Rijkstoegangsbeleid (2010); @ het Normenkader Beveiliging Rijkskantoren (NkBR 2015);

    @ het Beveiligingsvoorschrift Rijk (BVR 2013).
    Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
    Huisv_U.03.02beveiligde zonesBeveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
    Huisv_U.03.03beveiligde zonesInformatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
    Huisv_U.03.04beveiligde zonesAlle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als personen zonder begeleiding geen zichtbaar identificatiemiddel dragen.Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
    Huisv_U.03.05beveiligde zonesVan elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord.Van elke fysieke toegang wordt een fysiek of elektronisch logboek onderhouden en gemonitord
    Huisv_U.04.01faciliteitenBelangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn.Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
    Huisv_U.04.02faciliteitenFaciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie of activiteiten van buitenaf zichtbaar en hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
    Huisv_U.04.03faciliteitenAdresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., zijn niet vrij toegankelijk voor onbevoegden.Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
    Huisv_U.04.04faciliteitenSleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4).Sleutelbeheer is ingericht op basis van een sleutelplan
    Huisv_U.05.01nutsvoorzieningenNutsvoorzieningen:
    • zijn in overeenstemming met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
    • worden regelmatig onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
    • worden regelmatig geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
    • worden zo nodig voorzien van een alarmsysteem om disfunctioneren op te sporen;
    • beschikken voor zover nodig over meervoudige voeding met een verschillende fysieke route.
    De nutsvoorzieningen
    Huisv_U.05.02nutsvoorzieningenNoodverlichting en (nood)communicatiemiddelen zijn aanwezig.Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
    Huisv_U.05.03nutsvoorzieningenNabij nooduitgangen of ruimten waar apparatuur aanwezig is, moeten noodschakelaars en knoppen zijn waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld.Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
    Huisv_U.05.04nutsvoorzieningenVoor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder..Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
    Huisv_U.06.01gepositioneerd en beschermdApparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd..Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
    Huisv_U.06.02gepositioneerd en beschermdApparatuur wordt beschermd tegen bedreiging (zoals overspanningen, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische straling) van buitenaf.Apparatuur wordt beschermd tegen externe bedreigingen
    Huisv_U.07.01correctApparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
    Huisv_U.07.02correctAlleen bevoegd onderhoudspersoneel mag reparaties en onderhoudsbeurten aan apparatuur uitvoeren.Alleen bevoegd onderhoudspersoneel behoort reparaties en onderhoudsbeurten aan apparatuur uit te voeren
    Huisv_U.07.03correctReparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is (R).Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
    Huisv_U.07.04correctVan alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud wordt registratie bijgehouden.Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
    Huisv_U.07.05correctAan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan.Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
    Huisv_U.07.06correctVoordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat er niet is geknoeid wordt met de apparatuur en dat deze niet slecht functioneert.Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
    Huisv_U.08.01geverifieerdVoorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat.Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
    Huisv_U.08.02verwijderdHet verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde ver-wijdering van data zodat er geen data op het apparaat aanwezig of toe-gankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
  • Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
    Huisv_U.09.01bedrijfsmiddelenIn het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt. Onderdeel van deze procedure is een formeel toestemmingstraject.Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
    Huisv_U.09.02bedrijfsmiddelenMedewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd.Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
    Huisv_U.09.03bedrijfsmiddelenAan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht.Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
    Huisv_U.09.04bedrijfsmiddelenVoor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
    Huisv_U.09.05bedrijfsmiddelenDe identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd.Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
    Huisv_U.10.01toegangspuntenEr is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R).Een procedure beschrijft het omgaan met verdachte brieven en pakketten
    Huisv_U.10.02toegangspuntenToegang tot een laad- en loslocatie van buiten het gebouw behoort te worden beperkt tot geïdentificeerd en bevoegd personeel.Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
    Huisv_U.10.03toegangspuntenDe laad- en loslocatie behoort zo te zijn ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.Eisen aan de laad- en loslocatie
    Huisv_U.10.04toegangspuntenDe buitendeuren van een laad- en loslocatie moeten beveiligd zijn (gesloten) als de binnendeuren open zijn.De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
    Huisv_U.10.05toegangspuntenInkomende materialen moeten bij binnenkomst op de locatie te worden geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer.Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
    Huisv_U.10.06toegangspuntenInkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden.Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
    Huisv_U.10.07toegangspuntenInkomende materialen moeten worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport. Indien vervalsing wordt ontdekt behoort dit direct aan beveiligingspersoneel te worden gemeld.Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
    Huisv_U.11.01voedingskabelsKabels worden bij voorkeur ondergronds aangelegd.Kabels worden bij voorkeur ondergronds aangelegd
    Huisv_U.11.02voedingskabelsDe huisvesting van de Rekencentra is ingericht op basis van de volgende “Best Practices”:
  • TIA-942 - Telecommunication Infrastructure Standard for Data Centers;
  • NEN-EN 50600 - NPR5313:2014.
  • De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
    Huisv_U.11.03voedingskabelsVoedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
    Huisv_U.12.01architectuurvoorschriftenDe aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden.De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
    Huisv_U.12.02architectuurvoorschriftenDe inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd.De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
    Huisv_U.12.03documentatieHet document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Aan het architectuurdocument gestelde eisen

    Control

    csv normen control

    IDtrefwoordStellingNorm
    Huisv_C.01.01richtlijnenDe Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen.De Huisvesting Informatievoorziening organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
    Huisv_C.01.02richtlijnenDe Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    Huisv_C.01.03richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
    Huisv_C.01.04richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-IV organisatie.Beschikking over richtlijnen voor evalueren van de Huisvesting-RC-organisatie
    Huisv_C.01.05richtlijnenDe Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd.Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
    Huisv_C.02.01onderhoudsplanDe verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan.Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
    Huisv_C.02.02onderhoudsbepalingenVoor kwetsbare voorzieningen (binnen of buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld.Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
    Huisv_C.03.01procesmatigHet BCSM is beschreven, goedgekeurd door het management en:
    • toegekend aan een verantwoordelijke functionaris;
    • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
    Het BCSM is beschreven, goedgekeurd, toegekend en behandeld door het management
    Huisv_C.03.02procesmatigDe beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
    Huisv_C.03.03hersteld en voortgezetEen continuïteitsplan is opgesteld, met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signalerings-rapportage t.a.v. continuïteit.Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
    Huisv_C.03.04hersteld en voortgezetDe herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd.De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
    Huisv_C.03.05hersteld en voortgezetEr is gezorgd voor afdoende uitwijkfaciliteiten zodat bij calamiteiten de serviceverlening binnen de daartoe gestelde termijn voortgezet kan worden.Realisatie van afdoende uitwijkfaciliteiten
    Huisv_C.03.06hersteld en voortgezetGebruik van de uitwijkfaciliteit(en) en het draaiboek wordt periodiek op correctheid en doelmatigheid getest.Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
    Huisv_C.03.07hersteld en voortgezetDe Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van uitwijkvoorzieningen.Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
    Huisv_C.04.01processtructuurDe samenhang van de processen wordt door middel van een processtructuur vastgelegd.ISOR:De samenhang van de Huisvestings-IV processen wordt d.m.v. een processtructuur vastgelegd
    Huisv_C.04.02beheersingsorganisatieDe belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
    Huisv_C.04.03beheersingsorganisatieDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
    Huisv_C.04.04beheersingsorganisatieDe organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd