Huisvesting Informatievoorzieningen Beleid
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Deze informatie is onderdeel van BIO Thema-uitwerking Huisvesting Informatievoorzieningen.
Meer lezen |
Doelstelling[bewerken]
De doelstelling van huisvesting Informatievoorzieningen (IV) in het beleidsdomein is om randvoorwaarden en condities te bieden, zodat huisvesting IV adequaat kan functioneren. Hiermee kan de juiste ondersteuning worden geleverd voor het bereiken van de afgesproken doelstellingen. In dit hoofdstuk worden de objecten en daaraan gerelateerde normen opgenomen, die het mogelijk maken huisvesting IV-omgevingen op een veilige manier te laten functioneren. De objecten in dit beleidsdomein bieden de organisatie kaders op basis waarvan de beveiliging van huisvesting IV moet plaatsvinden.
Risico's[bewerken]
Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.
Objecten, controls en maatregelen
Binnen het beleidsdomein worden maatregelen opgenomen die gerelateerd zijn aan bepaalde beveiligingsobjecten. Per object worden conformiteitindicatoren uitgewerkt. Deze conformiteitindicatoren representeren een vast te stellen set van maatregelen. De objecten die binnen dit domein een rol spelen, zijn in onderstaande afbeelding vermeld. Van de geel gemarkeerde objecten komen de controls uit de Baseline Informatiebeveiliging Overheid (BIO).
Principes uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
ID | Principe | Criterium |
---|---|---|
HVI_B.01 | Huisvesting informatievoorzieningenbeleid | Ten behoeve van het huisvesting IV-beleid behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. |
HVI_B.02 | Wet- en regelgeving Huisvesting IV | Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de huisvesting informatievoorzieningen (IV)-organisatie om aan deze eisen te voldoen behoren voor elke huisvestingsdienst en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden. |
HVI_B.03 | Eigenaarschap Huisvesting IV | Huisvesting IV-bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben. |
HVI_B.04 | Certificering | Huisvesting IV van de leverancier behoort gecertificeerd te zijn conform de gangbare standaarden. |
HVI_B.05 | Contractmanagement | Huisvesting IV die worden verworven, behoren te voldoen aan kwalitatieve en kwantitatieve eisen die zijn vastgelegd in overeenkomsten met de betreffende leveranciers. |
HVI_B.06 | Service Level Management | Het management van huisvesting IV behoort diensten te leveren conform een dienstenniveau-overeenkomst (Service Level Agreement). |
HVI_B.07 | In- en externe bedreigingen | Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast. |
HVI_B.08 | Training en bewustwording | Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. |
HVI_B.09 | Organisatiestructuur huisvesting IV | De huisvesting IV-organisatie behoort voor de te realiseren huisvesting IV een adequate organisatiestructuur in te richten en de aan functionarissen toe te wijzen taken, verantwoordelijkheden en bevoegdheden vast te stellen. |
Normen uit de BIO Thema Huisvesting Informatievoorziening binnen dit aspect[bewerken]
ID | Stelling | Norm |
---|---|---|
HVI_B.01.01 | De organisatie heeft een huisvesting Informatievoorzieningen (IV)-beleid opgesteld dat:
| Er is een huisvesting informatievoorzieningenbeleid |
HVI_B.01.02 | Beleidsregels over het huisvesting informatievoorzieningen (IV)-beleid behandelen eisen die voortkomen uit:
| Beleidsregels huisvesting informatievoorzieningen |
HVI_B.01.03 | Beleidsregels zijn gerelateerd aan specifieke onderwerpen over huisvesting informatievoorzieningen (IV), zoals:
| Beleidsregels verwijzen naar specifieke huisvesting onderwerpen |
HVI_B.02.01 | De verantwoordelijke voor de huisvesting informatievoorzieningen (IV)-organisatie stelt vast welke wetgeving van toepassing is voor huisvesting-IV. | Vaststellen toepasselijkheid wetgeving |
HVI_B.02.02 | Het huisvesting informatievoorzieningen (IV)-beleid waarover de huisvesting IV-organisatie en de klant overeenstemming hebben bereikt, is mede gerelateerd aan alle relevante en specifiek geldende wet- en regelgeving en contractuele verplichtingen. | Klant en organisatie hebben overeenstemming over wet- en regelgeving en contractuele verplichtingen |
HVI_B.03.01 | Personen of afdelingen, die door de directie verantwoordelijk zijn gesteld voor de levenscyclus van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel, zijn als eigenaar benoemd. | Voor de levenscyclus van een bedrijfsmiddel verantwoordelijken zijn als eigenaar benoemd |
HVI_B.03.02 | Het eigenaarschap van een huisvesting informatievoorzieningen (IV)-bedrijfsmiddel wordt toegekend bij het ontstaan en of bij de verwerving van het middel. | Het eigenaarschap van bedrijfsmiddelen wordt toegekend bij ontstaan en/of verwerving van het bedrijfsmiddel |
HVI_B.03.03 | De eigenaar van het huisvesting informatievoorzieningen (IV)-bedrijfsmiddel is verantwoordelijk voor het juiste beheer gedurende de gehele levenscyclus ervan. | De eigenaar is verantwoordelijk voor het juiste beheer gedurende de hele bedrijfsmiddel-levenscyclus |
HVI_B.03.04 | De eigenaar van het bedrijfsmiddel zorgt ervoor dat:
| Inventariseren, classificeren, verwijderen en vernietigen bedrijfsmiddellen |
HVI_B.04.01 | De gangbare principes rondom 'Security by design' zijn uitgangspunt voor de ontwikkeling van software en systemen. | Gangbare principes zijn uitgangspunt voor de ontwikkeling van software en systemen |
HVI_B.04.02 | Huisvesting informatievoorzieningen (IV) die ingezet wordt voor de organisatie is minimaal ISO 27001 (Managementsystemen voor informatiebeveiliging) en ISO 50001 (Energiemanagement) gecertificeerd. | Certificeringseisen van de ingezette Huisvesting Informatievoorziening |
HVI_B.05.01 | De eisen en specificaties voor huisvesting informatievoorzieningen (IV) zijn onderdeel van het eisenpakket dat is opgesteld bij de verwerving van de voorzieningen. | Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties |
HVI_B.05.02 | Het verwerven van huisvesting informatievoorzieningen (IV) vindt uitsluitend plaats met een overeenkomst of andere formele afspraak. | Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst |
HVI_B.05.03 | De bij Service Level Agreements (SLA’s) en Dossier Afspraken en Procedures (DAP’s) betrokken rollen Contractmanagement en Service Level Management zijn vastgelegd. | Vastleggen betrokken rollen Contractmanagement en Service Level Management |
HVI_B.05.04 | Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in Service Level Agreement (SLA’s) en Dossier Afspraken en Procedures (DAP’s). | Afspraken contractueel vastgeleggen in SLA’s en DAP’s |
HVI_B.05.05 | De levering van voorzieningen wordt periodiek geëvalueerd door een onafhankelijke partij. | Evalueren levering van voorzieningen |
HVI_B.06.01 | De huisvesting IV-organisatie heeft de te leveren diensten en bijbehorende dienstenniveaus beschreven. | Beschrijven van de te leveren Huisvestingservices, met bijbehorende service niveau |
HVI_B.06.02 | Deze dienstenniveaus zijn in lijn met het huisvesting IV- beveiligingsbeleid. | De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening |
HVI_B.06.03 | De dienstenniveaus zijn onder andere gericht op de aspecten: beschikbaarheid, openstelling, vertrouwelijkheid (zonering) en herstel (disaster recovery). | De aspecten waarop de Service Levels o.a. zijn gericht |
HVI_B.07.01 | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijfskritisch zijn. | De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn |
HVI_B.07.02 | Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging. | Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging |
HVI_B.07.03 | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen. | Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen |
HVI_B.07.04 | De aanwezige brandblusapparatuur wordt jaarlijks op geschiktheid gekeurd door de brandweer of een hiertoe erkend keuringsinstituut. | De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid |
HVI_B.08.01 | Binnen huisvesting Informatievoorzieningen (IV) nemen alle medewerkers regelmatig deel aan beveiligingsbewustwording (bijvoorbeeld I-bewustzijn) en trainingsprogramma’s of nemen deel aan workshops hierover. | Awareness-activiteiten m.b.t. de binnen de Huisvesting Informatievoorziening actieve medewerkers |
HVI_B.08.02 | Aan de medewerkers wordt regelmatig training (e-learning) aangeboden en zij worden regelmatig op de hoogte gesteld van de ontwikkelingen rond rekencentrumbeveiliging met brochures en nieuwsberichten. | Aanbod van training en op de hoogte stellen van ontwikkelingen rond Rekencentrum beveiliging |
HVI_B.09.01 | Binnen de huisvestingsorganisatie hebben de verantwoordelijken voor huisvesting Informatievoorzieningen (IV) een formele positie. | De verantwoordelijken voor de Huisvesting-IV hebben een formele positie |
HVI_B.09.02 | Voor huisvesting Informatievoorzieningen (IV) is een organisatieschema beschikbaar. | Er is een Huisvestingsorganisatieschema beschikbaar |
HVI_B.09.03 | Het organisatieschema toont de rollen/functionarissen binnen de huisvesting Informatievoorzieningen (IV)-organisatie. | Het organisatieschema toont de rollen/functionarissen binnen de Huisvestingsorganisatie |
HVI_B.09.04 | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen binnen huisvesting Informatievoorzieningen (IV) zijn expliciet vastgelegd en belegd. | De taken, verantwoordelijkheden en bevoegdheden van de functionarissen zijn expliciet belegd |