BIO Thema Huisvesting Informatievoorziening

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
Dit Normenkader is deel van ISOR.

Dit document bevat een referentiekader voor Huisvesting Informatievoorzieningen (IV). Het is gebaseerd op controls uit ISO 27001-bijlage A en BIO v0.5. Voor die aspecten, waar de ISO-27002 onvoldoende praktische invulling geeft, zijn de volgende best practices geraadpleegd: de BIR 1.0 de Standard of Good Practice van ISF (SoGP), de NIST, en Cobit.
Afbeelding 'Positie van het themadocument "Huisvesting Informatievoorziening"' geeft de positie weer van het themadocument "BIO thema Huisvesting Informatievoorziening".

”Positie van het themadocument "Huisvesting Informatievoorziening”
Positie van het themadocument "Huisvesting Informatievoorziening"


Afbeelding 'Overzicht van thema’s en de positie van Huisvesting Informatievoorziening' geeft de relatie weer tussen het thema Huisvesting Informatievoorziening en de overige thema’s.

Bestand:Thema Huisvesting - Overzicht van thema's en de positie van Huisvesting Informatievoorziening.png
Alt="Overzicht van thema's en de positie van Huisvesting Informatievoorziening"

Binnen dit normenkader

Relatie tussen principes en onderliggende normen

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


Indelingen binnen BIO Thema Huisvesting Informatievoorziening

Alle onderdelen van BIO Thema Huisvesting Informatievoorziening zijn ingedeeld volgens de SIVA-methode. Dat betekent dat alle principes en onderliggende normen zijn ingedeeld in één van drie aspecten: Beleid, Uitvoering of Control (B, U of C). Binnen normenkaders die geheel volgens de SIVA-methode zijn opgesteld herken je bovendien een tweede indeling, in de invalshoeken Intentie of Functie of Gedrag of Structuur (I, F, G of S). Deze indeling heeft binnen SIVA tot doel om lacunes te ontdekken in de objectanalyse die leidt tot normen. Voor de Privacy Baseline en de SSD-stukken geldt een uitzondering. Daar heeft IFGS geen rol gespeeld bij de samenstelling van het 'normenkader'. De IFGS-aanduiding kan hier achteraf zijn toegevoegd als indicatie van het handelingsperspectief.

De principes en onderliggende normen van BIO Thema Huisvesting Informatievoorziening zijn op basis hiervan in een aantal overzichten gezet:

Principes uit BIO Thema Huisvesting Informatievoorziening

In deze tabel staan alle principes uit BIO Thema Huisvesting Informatievoorziening, met het unieke ID, Criterium en de trefwoorden die verder zijn uitgewerkt in normen. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabellen zijn ook beschikbaar als csv-download (export alle beveiligingsaspecten / beleid / uitvoering / Control) en in uitgebreide versie met alle bestaande eigenschappen.

Beleid (principes)

export principes Beleid als csv

IDPrincipeCriterium
Huisv_B.02Wet en regelgevingVoor elke Huisvestingsdienst behoren alle relevante wettelijke, statutaire, regelgevende en contractuele eisen en de aanpak van de Huisvestingsorganisatie om aan deze eisen te voldoen expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Huisv_B.03EigenaarschapHuisvesting-IV bedrijfsmiddelen behoren in het inventarisoverzicht te worden bijgehouden en behoren een eigenaar te hebben.
Huisv_B.04CertificeringDe Huisvesting-IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden.
Huisv_B.05ContractmanagementHuisvestingsvoorzieningen die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers.
Huisv_B.06Service LevelmanagementHet management van Huisvesting-IV behoort diensten te leveren conform een dienstenniveau overeenkomst (Service Level Agreement of SLA).
Huisv_B.07Interne en Externe bedreigingenFysieke bescherming tegen natuurrampen, ongelukken en kwaadwillige aanvallen behoort te worden ontworpen en toegepast .
Huisv_B.08Training en AwarenessAlle medewerkers van de organisatie en contractanten behoren, voor zover relevant voor hun functie, een passende bewustzijnsopleiding en -training te krijgen, gevolgd door regelmatige bijscholing van de beleidsregels en procedures van de organisatie.
Huisv_B.09OrganisatiestructuurDe huisvestingsorganisatie behoort voor de te realiseren Huisvesting-IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden (TVB) vast te stellen.

Uitvoering (principes)

export principes Uitvoering als csv

IDPrincipeCriterium
Huisv_U.01Richtlijnen gebieden en ruimtenVoor het werken in beveiligde gebieden behoren richtlijnen te worden ontwikkeld en toegepast.
NB: Omdat de criteria over 'richtlijnen' gaan, is het woord ‘procedures’ uit de ISO norm vervangen door ‘richtlijnen’.
Huisv_U.02Bedrijfsmiddelen inventarisBedrijfsmiddelen die samenhangen met informatie en informatie-verwerkende faciliteiten behoren te worden geïdentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.
NB: De control uit de BIO is afwijkend van de ISO 27001.
Huisv_U.04Beveiligingsfaciliteiten ruimtenVoor het beveiligen van ruimten behoren faciliteiten te worden ontworpen en te zijn toegepast.
Huisv_U.05NutsvoorzieningenApparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
Huisv_U.06Apparatuur positioneringApparatuur behoort zodanig te zijn gepositioneerd en beschermd, dat risico's van bedreigingen en gevaren van buitenaf en ook de kans op onbevoegde toegang worden verkleind.
NB: Oorspronkelijk werd 'geplaatst' toegepast, dit is gewijzigd in 'gepositioneerd'.
Huisv_U.07Onderhoud ApparatuurApparatuur behoort op een correcte wijze te worden onderhouden.
Huisv_U.08Apparatuur verwijderingAlle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.
Huisv_U.09Bedrijfsmiddelen verwijderingInformatieverwerkende bedrijfsmiddelen, uitgezonderd daarvoor bestemde mobiele apparatuur, mogen niet van de locatie worden verwijderd zonder voorafgaande goedkeuring.
Huisv_U.10Laad en los locatieDe toegangspunten, zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk te worden afgeschermd van IT-voorzieningen.
Huisv_U.11BekabelingDe voedingskabels voor elektrische en telecommunicatievoorzieningen voor het dataverkeer of ondersteunende informatiediensten behoren te zijn beschermd tegen interceptie of beschadiging.
Huisv_U.12Huisvesting-IV architectuurVoor het implementeren van en onderhouden van Huisvestingsvoorzieningen behoren architectuurvoorschriften en benodigde documentatie beschikbaar te zijn.

Control (principes)

export principes Control als csv

IDPrincipeCriterium
Huisv_C.01Controle richtlijnBedrijfsmiddelen behoren periodiek te worden gecontroleerd op basis van formeel vastgestelde richtlijnen en geconstateerde bevindingen dienen tijdig aan het management te worden gerapporteerd.
Huisv_C.02OnderhoudsplanVoor iedere locatie van de Huisvesting-IV behoort op basis van een risicoafweging en onderhoudsbepalingen een onderhoudsplan te zijn opgesteld.
Huisv_C.03ContinuiteitsmanagementContinuïteitbeheer behoort procesmatig voor de gehele organisatie te zijn ingericht, zodat na het plaatsvinden van een calamiteit de hosting services zo snel mogelijk worden hersteld en voortgezet.
Huisv_C.04Huisvesting-IV beheersingsorganisatieDe stakeholder van de Huisvesting-IV behoort een beheersorganisatie te hebben ingericht waarin de processtructuur, de taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen zijn vastgesteld.

Onderliggende normen

ℹ️Toon uitleg relaties themaprincipe, conformiteitindicator en norm

schema van een themaprincipe met daaronder een aantal conformiteitsindicatoren en onder elke conformiteitsindicator een aantal normen.
Een themaprincipe is een richtinggevende uitspraak binnen een bepaald thema, zoals beveiliging of privacy. Een themaprincipe is vaak nog vrij breed, maar valt uiteen in een aantal deelonderwerpen, die met trefwoorden zijn aangegeven: de conformiteitsindicatoren. Onder elk trefwoord valt een aantal normen, concrete aanbevelingen die je kunt uitvoeren om dat deel van het principe te realiseren. Conformeer je je aan alle normen, dan conformeer je je aan de indicator en uiteindelijk aan het principe.

Stel dat het thema Gezondheid onderdeel uitmaakte van de NORANederlandse Overheid Referentie Architectuur. Dan zou een gezondheidsprincipe kunnen zijn: de volwassene eet gezond en in gepaste hoeveelheden. Logischerwijs valt dat uiteen in een aantal trefwoorden, de conformiteitsindicatoren: eet gezond en gepaste hoeveelheden. Iemand kan immers heel gezond eten naar binnen werken, maar veel te veel of juist te weinig. Of de juiste hoeveelheid calorieën binnenkrijgen uit eenzijdige voeding en zo toch niet gezond eten. In de praktijk heb je aan deze kernwoorden nog niets: je hebt normen nodig die uitwerken hoe je dit realiseert en meet. De normen die gepaste hoeveelheid concretiseren zouden bijvoorbeeld betrekking kunnen hebben op de afmeting van de volwassene, de hoeveelheid beweging en de calorische waarde van het eten.

Klik verder voor alle eigenschappen van themaprincipes, conformiteitsindicatoren en normen.


In deze tabel staan alle normen uit BIO Thema Huisvesting Informatievoorziening. Van links tot rechts zie je het unieke ID van de norm, welk trefwoord van het bovenliggende principe de norm realiseert, de tekst van de norm en een link naar de aparte pagina van die norm. Gebruik de pijltjes bovenaan de kolommen om de sortering aan te passen en klik op een principe om alle eigenschappen te zien en de onderliggende normen te bekijken. Deze tabel is ook beschikbaar als csv-download (alle beveiligingsaspecten / beleid / uitvoering / control) en in uitgebreide versie.

Beleid (normen)

export normen Beleid als csv

IDtrefwoordStellingNorm
Huisv_B.01.01huisvesting-IV beleidDe organisatie heeft een Huisvestingsbeleid opgesteld en dit beleid:
  • bevat doelstellingen en principes van Huisvesting-IV beveiliging;
  • bevat specifieke verantwoordelijkheden en rollen;
  • bevat processen voor het behandelen van afwijkingen en uitzonderingen;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen.
Aan - door de organisatie opgesteld - Huisvestingsbeleid gestelde eisen
Huisv_B.01.02beleidsregelsBeleidsregels inzake Huisvestingsbeleid, behandelen eisen die voorkomen uit:
  • de bedrijfsstrategie;
  • wet- en regelgeving;
  • huidige en verwachte bedreigingen op het gebied van Huisvesting-IV.
  • Beleidsregels behandelen uit bedrijfsstrategie wet- en regelgeving en bedreigingen voorkomende eisen
    Huisv_B.01.03beleidsregelsBeleidsregels zijn gerelateerd aan specifieke onderwerpen met betrekking tot Huisvesting-IV, zoals:
  • fysieke beveiligingszone;
  • fysieke toegangsbeveiliging personeel.
  • Aan specifieke onderwerpen gerelateerde beleidsregels m.b.t. Huisvesting Informatievoorziening
    Huisv_B.02.01wettelijke, statutaire, regelgevende en contractuele eisenDe verantwoordelijke voor de Huisvesting-IV organisatie stelt vast welke wetgeving van toepassing is voor Huisvesting-IV.De voor de Huisvesting Informatievoorziening-verantwoordelijke stelt toepasselijkheid van wetgeving vast
    Huisv_B.02.02wettelijke, statutaire, regelgevende en contractuele eisenHet Huisvesting-IV beleid waarover de Huisvesting-IV organisatie en de klant overeenstemming hebben bereikt is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen.Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen
    Huisv_B.03.01eigenaarPersonen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een bedrijfsmiddel, zijn als eigenaar benoemd.Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd
    Huisv_B.03.02eigenaarHet eigenaarschap van bedrijfsmiddelen wordt toegekend bij het ontstaan en/of bij de verwerving van het bedrijfsmiddel.Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel
    Huisv_B.03.03eigenaarDe eigenaar van het bedrijfsmiddel is gedurende de gehele levenscyclus verantwoordelijk voor het juiste beheer van het bedrijfsmiddel.De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus
    Huisv_B.03.04eigenaarDe eigenaar van het bedrijfsmiddel zorgt ervoor dat:
  • bedrijfsmiddelen geïnventariseerd worden;
  • bedrijfsmiddelen passend worden geclassificeerd;
  • toegangsbeperkingen en classificatie van belangrijke bedrijfsmiddelen worden gedefinieerd, en periodiek worden beoordeeld;
  • bedrijfsmiddelen op basis van juiste procedures worden verwijderd of vernietigd.
  • Op passende wijze inventariseren, classificeren, verwijderen en vernietigen van bedrijfsmiddellen
    Huisv_B.04.01gangbare standaardenDe gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen.Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen
    Huisv_B.04.02gangbare standaardenDe Huisvesting Informatievoorzieningen die ingezet worden voor de organisatie zijn minimaal gecertificeerd voor de volgende standaarden:
  • ISO 27001 - Informatiebeveiliging;
  • ISO 50001 - Energie-efficiëntie.
  • Certificeringseisen van de ingezette Huisvesting Informatievoorziening
    Huisv_B.05.01kwalitatieve en kwantitatieve eisenDe eisen en specificaties voor de Huisvesting-IV voorzieningen zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen.Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
    Huisv_B.05.02overeenkomstenHet verwerven van Huisvesting-IV voorzieningen vindt uitsluitend plaats op basis van een overeenkomst of andere formele afspraak.Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
    Huisv_B.05.03overeenkomstenDe bij SLA’s en DAP’s betrokken rollen Contractmanagement en Servicelevel Management zijn vastgelegd.Bij SLA en DAP betrokken rollen voor Contractmanagement en Service Level Management zijn vastgelegd
    Huisv_B.05.04overeenkomstenAfspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s.Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
    Huisv_B.05.05overeenkomstenDe levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd.De levering van voorzieningen wordt periodiek door een onafhankelijke partij geëvalueerd
    Huisv_B.06.01service level agreementDe Huisvesting-IV organisatie heeft de te leveren services, met bijbehorende service niveaus beschreven.Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau
    Huisv_B.06.02service level agreementDe dienstenniveaus zijn in lijn met het Huisvesting-IV beveiligingsbeleid.De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
    Huisv_B.06.03service level agreementDe dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen (zonering) en herstel (disaster recovery).De aspecten waarop de Service Levels o.a. zijn gericht
    Huisv_B.07.01natuurrampen, ongelukken en kwaadwillige aanvallenDe organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn.De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
    Huisv_B.07.02natuurrampen, ongelukken en kwaadwillige aanvallenTegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
    Huisv_B.07.03natuurrampen, ongelukken en kwaadwillige aanvallenBij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen veroorzaakt door de natuur en menselijk toedoen.Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
    Huisv_B.07.04natuurrampen, ongelukken en kwaadwillige aanvallenDe aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd, de keuring wordt uitgevoerd door de Brandweer of door een hiertoe erkend keuringsinstituut.De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
    Huisv_B.08.01bewustzijnsopleiding, –training en bijscholingBinnen de Huisvesting-IV nemen alle medewerkers regelmatig deel aan beveiliging awareness (I-bewustzijn) en trainingsprogramma of nemen deel aan workshops hierover.Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers
    Huisv_B.08.02bewustzijnsopleiding, –training en bijscholingAan de medewerkers wordt regelmatig e-learning training aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrum beveiliging d.m.v. brochures en nieuwsletters.Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging
    Huisv_B.09.01organisatiestructuurBinnen de Huisvestingsorganisatie hebben de verantwoordelijken voor Huisvesting-IV een formele positie.De verantwoordelijken voor de Huisvesting-IV hebben een formele positie
    Huisv_B.09.02organisatiestructuurVoor Huisvesting-IV is een organisatieschema beschikbaar.Er is een Huisvestingsorganisatieschema beschikbaar
    Huisv_B.09.03functionarissenHet organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie.Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie
    Huisv_B.09.04taken, verantwoordelijkheden en bevoegdhedenDe taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd.De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd

    Uitvoering (normen)

    export normen Uitvoering als csv

    IDtrefwoordStellingNorm
    Huisv_U.01.01richtlijnenPersoneel is alleen op grond van ‘need-to-know’ bekend met het bestaan van of de activiteiten binnen een beveiligd gebied.Personeel is op grond van ‘need-to-know’ bekend met het beveiligd gebied
    Huisv_U.01.02richtlijnenZonder toezicht wordt niet gewerkt in de beveiligde gebieden, dit is zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten.In beveiligde gebieden wordt slechts onder toezicht gewerkt
    Huisv_U.01.03richtlijnenLeegstaande beveiligde ruimten moeten fysiek worden afgesloten en periodiek te worden geïnspecteerd.Leegstaande beveiligde ruimten worden fysiek afgesloten en periodiek geïnspecteerd
    Huisv_U.01.04richtlijnenTenzij goedgekeurd wordt beeld en geluidopnameapparatuur, zoals in mobiele apparatuur niet toegelaten in de beveiligde ruimten.Foto-, video-, audio- of andere opnameapparatuur wordt niet toegelaten
    Huisv_U.01.05richtlijnenBezoekers van kritieke faciliteiten:
    • krijgen slechts toegang voor vastgestelde doeleinden;
    • krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;
    • wordt verteld dat het gebruik van beeld en geluidopname materiaal/apparatuur niet is toegestaan;
    • dragen verplicht een badge;
    • worden gemonitord bij aankomst en vertrek;
    • worden continu aan toezicht onderworpen.
    Richtlijnen m.b.t. bezoek tot kritieke faciliteiten
    Huisv_U.02.01inventarisVoor elk van de geïdentificeerde bedrijfsmiddelen is het eigenaarschap toegekend (zie 8.1.2) en de classificatie van het bedrijfsmiddel is geïdentificeerd (zie 8.2).Eigenaarschap en classificatie is toegekend aan elk van de geïdentificeerde bedrijfsmiddelen
    Huisv_U.02.02inventarisDe Huisvesting-IV organisatie identificeert de bedrijfsmiddelen, welke voor Huisvesting-IV relevant zijn in de levenscyclus van informatie en documenteert het belang daarvan, * de levenscyclus van informatie (de aanmaak, verwerking, opslag, overdracht, verwijdering en vernietiging) omvat;
  • de documentatie onderhouden wordt in speciale of bestaande inventarislijsten indien van toepassing.
  • Identificatie en documentatie van bedrijfsmiddelen voor de Huisvesting-IV
    Huisv_U.02.03inventarisDe inventarislijst van de bedrijfsmiddelen wordt nauwkeurig, actueel en consistent bijgehouden en is in overeenstemming met andere inventarisoverzichten.Actualiteit, consistentie en overeenstemming van de inventarislijst van bedrijfsmiddelen
    Huisv_U.02.04inventarisDe Huisvesting-IV organisatie heeft inventarisoverzichten:
  • inventarisoverzichten van bedrijfsmiddelen helpen zeker te stellen dat doeltreffende bescherming plaatsvindt;
  • inventarisoverzichten kunnen vereist zijn, zoals voor financieel (beheer van bedrijfsmiddelen), verzekeringen, of voor gezondheid of veiligheid redenen.
  • Doeltreffende bescherming is zekergesteld m.b.v. inventarisoverzichten
    Huisv_U.03.01beveilingszonesVoor het inrichten van beveiligde zones wordt gebruik gemaakt van de volgende voorschriften:
  • het Kader Rijkstoegangsbeleid (2010);
  • het Normenkader Beveiliging Rijkskantoren (NkBR 2015);
  • het Beveiligingsvoorschrift Rijk (BVR 2013).
  • Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
    Huisv_U.03.02beveilingszonesBeveiligingszones worden gedefinieerd en de locatie en sterkte van elke zone hangt af van de beveiligingseisen van de bedrijfsmiddelen die zich binnen de zone bevinden en van de resultaten van een risicobeoordeling.Beveiligingszonelocatie en -sterkte hangt af van risicobeoordeling en eisen aan de bedrijfsmiddelen
    Huisv_U.03.03beveilingszonesInformatieverwerkende faciliteiten die worden beheerd door de organisatie moeten fysiek of logisch zijn gescheiden van informatieverwerkende faciliteiten die door externe partijen worden beheerd.Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
    Huisv_U.03.04beveilingszonesAlle medewerkers dragen zichtbaar een identificatiemiddel en informeren beveiligingspersoneel als zij in de niet publieke ruimten personen zonder begeleiding en zonder zichtbaar identificatiemiddel tegenkomen.Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
    Huisv_U.03.05beveilingszonesElke fysieke toegang wordt gecontroleerd en fysiek of elektronisch in een logboek vastgelegd.Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd
    Huisv_U.04.01faciliteitenBelangrijke faciliteiten zijn zo gesitueerd dat ze niet voor iedereen toegankelijk zijn.Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
    Huisv_U.04.02faciliteitenFaciliteiten zijn zo geconfigureerd, dat wordt voorkomen dat vertrouwelijke informatie activiteiten van buitenaf zichtbaar en/of hoorbaar zijn; voor zover van toepassing wordt ook elektromagnetische afscherming overwogen.Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
    Huisv_U.04.03faciliteitenAdresboeken en interne telefoonboeken, waarin locaties worden aangeduid met faciliteiten die vertrouwelijke informatie verwerken, zijn niet vrij toegankelijk voor onbevoegden.Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
    Huisv_U.04.04faciliteitenSleutelbeheer is ingericht op basis van een sleutelplan (NKBR 5.4).Sleutelbeheer is ingericht op basis van een sleutelplan
    Huisv_U.05.01nutsvoorzieningenNutsvoorzieningen:
  • zijn in overeenstemming met de technische beschrijving van de fabrikant en de lokale wettelijke eisen;
  • worden regelmatig onderzocht om te beoordelen of hun capaciteit toereikend is voor de groei van het bedrijf en de interactie met andere nutsvoorzieningen;
  • worden regelmatig geïnspecteerd en getest om te waarborgen dat ze correct functioneren;
  • zijn zo nodig voorzien van een alarmsysteem om disfunctioneren op te sporen;
  • beschikken voor zover nodig over meervoudige voeding, elk met een verschillende fysieke route.
  • De nutsvoorzieningen
    Huisv_U.05.02nutsvoorzieningenNoodverlichting en (nood)communicatiemiddelen zijn aanwezig.Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
    Huisv_U.05.03nutsvoorzieningenNabij nooduitgangen of ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas en eventuele andere voorzieningen kunnen worden uitgeschakeld.Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
    Huisv_U.05.04nutsvoorzieningenVoor de netwerkverbinding(en) is redundantie verkregen via meerdere routes en vanaf meer dan één aanbieder.Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
    Huisv_U.06.01gepositioneerd en beschermdApparatuur en informatie verwerkende- en opslagfaciliteiten worden zodanig geplaatst, dat onbevoegden hier geen toegang toe hebben en dat ze beveiligd zijn tegen onbevoegde kennisname van gegevens.Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
    Huisv_U.06.02gepositioneerd en beschermdApparatuur wordt beschermd tegen bedreiging (zoals overspanning, blikseminslag, diefstal, weglekken van informatie door Elektro Magnetische Straling) van buitenaf.Apparatuur wordt beschermd tegen externe bedreigingen
    Huisv_U.07.01correcte wijzeApparatuur wordt onderhouden in overeenstemming met de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften.Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
    Huisv_U.07.02correcte wijzeReparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel.Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel
    Huisv_U.07.03correcte wijzeReparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd tenzij geen data (meer) op het apparaat aanwezig of toegankelijk is.Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
    Huisv_U.07.04correcte wijzeVan alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden registraties bijgehouden.Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
    Huisv_U.07.05correcte wijzeAan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd wordt voldaan.Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
    Huisv_U.07.06correcte wijzeVoordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze niet slecht functioneert.Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
    Huisv_U.08.01geverifieerdVoorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslagmedia bevat.Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
    Huisv_U.08.02verwijderdHet verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen: inleveren, verwijderen, vernietigen en afvoeren:
  • Inleveren - Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd;
  • Verwijderen - De beheerorganisatie zorgt voor een verantwoorde verwijdering van data, zodat geen data op het apparaat aanwezig of toegankelijk is;
  • Vernietigen - Als verwijdering niet mogelijk is wordt de data vernietigd;
  • Afvoer - De beheerorganisatie zorgt voor een verantwoorde afvoer; het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
  • NB: Dit zijn criteria uit BIR versie 1.0.
    Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
    Huisv_U.09.01bedrijfsmiddelenIn het beveiligingsbeleid is geborgd dat het invoeren en afvoeren van bedrijfsmiddelen volgens een vaste procedure plaatsvindt; onderdeel van deze procedure is een formeel toestemmingstraject.Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
    Huisv_U.09.02bedrijfsmiddelenMedewerkers en gebruikers van externe partijen die bevoegd zijn om toe te staan dat bedrijfsmiddelen van de locatie worden meegenomen moeten worden geïdentificeerd.Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
    Huisv_U.09.03bedrijfsmiddelenAan de afwezigheid van bedrijfsmiddelen worden tijdsgrenzen gesteld en geverifieerd wordt of ze worden teruggebracht.Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
    Huisv_U.09.04bedrijfsmiddelenVoor zover nodig en gepast wordt het meenemen en de terugkeer van bedrijfsmiddelen geregistreerd.Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
    Huisv_U.09.05bedrijfsmiddelenDe identiteit, rol en connectie van iedereen die bedrijfsmiddelen hanteert of gebruikt, wordt gedocumenteerd en deze documenten worden samen met de apparatuur, informatie of software geretourneerd.Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
    Huisv_U.10.01toegangspuntenEr is een procedure voor het omgaan met verdachte brieven en pakketten in postkamers en laad- en losruimten (R).Een procedure beschrijft het omgaan met verdachte brieven en pakketten
    Huisv_U.10.02toegangspuntenDe toegang vanaf buiten het gebouw tot de 'laad en los' locatie(s) is beperkt tot geïdentificeerd en bevoegd personeel.Toegang van buitenaf tot laad- en loslocaties wordt beperkt tot geïdentificeerd en bevoegd personeel
    Huisv_U.10.03toegangspuntenDe laad- en los- locatie zijn zo ontworpen dat goederen kunnen worden geladen en gelost zonder dat de leverancier toegang heeft tot andere delen van het gebouw.Eisen aan de laad- en loslocatie
    Huisv_U.10.04toegangspuntenDe buitendeuren van de 'laad- en los' locatie(s) zijn beveiligd (gesloten) als de binnendeuren open zijn.De buitendeuren van een laad- en loslocatie moeten beveiligd te zijn als de binnendeuren open zijn
    Huisv_U.10.05toegangspuntenInkomende materialen worden bij binnenkomst op de locatie geregistreerd in overeenstemming met de procedures voor bedrijfsmiddelenbeheer.Inkomende materialen worden bij binnenkomst op de locatie geregistreerd
    Huisv_U.10.06toegangspuntenInkomende en uitgaande zendingen worden, voor zover mogelijk, fysiek gescheiden.Inkomende en uitgaande zendingen moeten, voor zover mogelijk, fysiek te worden gescheiden
    Huisv_U.10.07toegangspuntenInkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing tijdens het transport; elke ontdekte vervalsing wordt direct aan het beveiligingspersoneel gemeld.Inkomende materialen worden gecontroleerd op mogelijke aanwijzingen voor vervalsing
    Huisv_U.11.01voedingskabelsKabels worden bij voorkeur ondergronds aangelegd.Kabels worden bij voorkeur ondergronds aangelegd
    Huisv_U.11.02voedingskabelsDe Huisvesting-IV is ingericht op basis van de volgende “Best Practices”:
    • TIA-942 (Telecommunication Infrastructure Standard for Data Centers);
    • NEN-EN 50600 (Information technology - Data centre facilities and infrastructures);
    • NPR5313:2014 (Computer rooms and data centres).
    De huisvesting van de Rekencentra is ingericht op basis van “Best Practices”
    Huisv_U.11.03voedingskabelsVoedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden.Voedings- en telecommunicatiekabels zijn beveiligd en niet toegankelijk door onbevoegden
    Huisv_U.12.01architectuurvoorschriftenDe aanwezige architectuurvoorschriften voor de fysieke inrichting van Huisvesting-IV voorzieningen worden actief onderhouden.De architectuurvoorschriften voor de Huisvesting-IV worden actief onderhouden
    Huisv_U.12.02architectuurvoorschriftenDe inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd.De inrichting van de Huisvesting-IV voorzieningen en bekabelingen zijn gedocumenteerd
    Huisv_U.12.03documentatieHet document:
  • heeft een eigenaar;
  • is voorzien van een datum en versienummer;
  • bevat een documenthistorie (wat is wanneer en door wie aangepast);
  • is actueel, juist en volledig;
  • is door het juiste (organisatorische) niveau vastgesteld/geaccordeerd.
  • Aan het architectuurdocument gestelde eisen

    Control (normen)

    export normen Control als csv

    IDtrefwoordStellingNorm
    Huisv_C.01.01richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen.De Huisvesting-IV organisatie beschikt over richtlijnen voor controle van bedrijfsmiddelen
    Huisv_C.01.02richtlijnenDe Huisvesting-IV organisatie beschikt over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten.Beschikking over geautomatiseerde middelen voor effectieve ondersteuning van de controle activiteiten
    Huisv_C.01.03richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor het uitvoeren van registratie, statusmeting, analyse, rapportage en evaluatie.Beschikking over richtlijnen voor registratie, statusmeting, analyse, rapportage en evaluatie
    Huisv_C.01.04richtlijnenDe Huisvesting-IV organisatie beschikt over richtlijnen voor het evalueren van de Huisvesting-IV organisatie.Beschikking over richtlijnen voor evalueren van de Huisvesting-IV organisatie
    Huisv_C.01.05richtlijnenDe Huisvesting-IV organisatie heeft de taken, verantwoordelijkheden en bevoegdheden (TVB’s) van controle functionarissen vastgelegd.Vastlegging van taken, verantwoordelijkheden en bevoegdheden van controle functionarissen
    Huisv_C.02.01onderhoudsplanDe verantwoordelijke functionaris laat het vastgoed (o.a. gebouwen) op alle locaties van de Huisvesting van Rekencentra onderhouden op basis van een vastgesteld onderhoudsplan.Verantwoordelijke functionaris laat het vastgoed onderhouden o.b.v. vastgesteld onderhoudsplan
    Huisv_C.02.02onderhoudsbepalingenVoor kwetsbare voorzieningen (binnen én buiten het gebouw) zijn duidelijke onderhoudsbepalingen gesteld.Voor kwetsbare voorzieningen zijn duidelijke onderhoudsbepalingen gesteld
    Huisv_C.03.01procesmatigHet Business Continuity Management System (BCMS) is beschreven, goedgekeurd door het management en:
    • toegekend aan een verantwoordelijke functionaris;
    • behandeld onder nadere: planning, uitvoering van scope, rapporte-ren en bespreken van verbetervoorstellen.
    Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management
    Huisv_C.03.02procesmatigDe beoordelingsrapportage bevat kwetsbaarheden en verbetervoorstellen en worden gecommuniceerd met verantwoordelijken/eigenaren van systemen waarin kwetsbaarheden en zwakheden gevonden zijn.Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
    Huisv_C.03.03hersteld en voortgezetEen continuïteitsplan is opgesteld met daarin activiteiten, rollen en verantwoordelijkheden, uit te voeren validaties, escalatiepaden en signaleringsrapportage t.a.v. continuïteit.Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
    Huisv_C.03.04hersteld en voortgezetDe herstelprocessen en -procedures voor de Huisvesting-IV organisatir zijn gedocumenteerd.De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
    Huisv_C.03.05hersteld en voortgezetEr is gezorgd voor afdoende uitwijkfaciliteiten, zodat bij calamiteiten de services (dienstverlening) binnen de daartoe gestelde termijn voortgezet kan worden.Realisatie van afdoende uitwijkfaciliteiten
    Huisv_C.03.06hersteld en voortgezetGebruik van de uitwijkfaciliteit(en) en het draaiboek worden periodiek op correctheid en doelmatigheid getest.Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
    Huisv_C.03.07hersteld en voortgezetDe Huisvesting-IV organisatie is verantwoordelijk voor het beheer, periodiek testen, en controleren van de uitwijkvoorzieningen.Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
    Huisv_C.04.01processtructuurDe samenhang van de processen wordt door middel van een processtructuur vastgelegd.De samenhang van de Huisvestings-IV processen wordt d.m.v. een processtructuur vastgelegd
    Huisv_C.04.02beheersingsorganisatieDe belangrijkste functionarissen (stakeholders) voor de beheersorganisatie zijn benoemd en de relaties tussen hen zijn door middel van een organisatieschema inzichtelijk gemaakt.Functionarissen voor de beheersingsorganisatie en hun interrelatie zijn benoemd en inzichtelijk
    Huisv_C.04.03beheersingsorganisatieDe verantwoordelijkheden voor de beheersprocessen zijn aan een specifieke functionaris toegewezen en vastgelegd.Verantwoordelijkheden voor beheersprocessen zijn aan specifieke functionaris toegewezen en vastgelegd
    Huisv_C.04.04beheersingsorganisatieDe organisatie heeft de taken en verantwoordelijkheden voor de uitvoering van de beheerwerkzaamheden beschreven en de bijbehorende bevoegdheden vastgelegd in een autorisatiematrix.Taken, bevoegdheden en verantwoordelijkheden voor de beheerwerkzaamheden zijn vastgelegd